Nützliche Infos & Tipps zum Thema Accountsicherheit




Veröffentlicht am 17.05.2022
#accountsicherheit
#sicherheitseinstellungen
#passwörter


Zurück zur Übersicht »

Datenschutz- und sicherung spielen heutzutage in nahezu jedem Lebensbereich eine wichtige Rolle, nicht zuletzt durch die seit 2018 in der EU geltende Datenschutz-Grundverordnung.


Auch ihr als Vereinsverantwortliche steht damit in der Pflicht, nicht nur das Vereinsheim oder eure Sportanlagen mit sicheren Schlössern oder Zäunen auszustatten sondern auch im digitalen Bereich dafür zu sorgen, dass keine sensiblen Daten in falsche Hände geraten oder vernichtet werden.


Im folgenden Artikel informieren wir euch ausführlich wie ihr allgemein im Internet eure Daten am besten schützen könnt und welche welche Sicherheitsfeatures euch speziell in easyVerein zur Verfügung stehen um unbefugte Zugriffe und Datenmissbrauch zu verhindern.

 


“Einfach gemerkt” ist keine ratsame Maxime bei Passwörtern: 


Das Hanno-Plattner-Institut in Potsdam veröffentlicht regelmäßig eine Auswertung zu den am häufigsten in Deutschland verwendeten Passwörtern, für das Jahr 2021 machten “123456” und “passwort” auf den Plätzen 1 und 2 das Rennen. Dass der Sicherheitsfaktor dieser und weiterer Passwörter aus den Top 10 gen Null geht, ist klar. Hier einige allgemeine Empfehlungen zur Sicherheit von Passwörtern, die wir ebenfalls unterstützen:


  • Länger heißt sicherer: Verwendet in Passwörtern mindestens 6, im Idealfall 15-20 Zeichen. 
  • Vielfalt gewinnt: Wenn ihr in euren Passwörtern Buchstaben, Zahlen und Sonderzeichen kombiniert, erhöht das die Passwortsicherheit erheblich. 
  • Hacker mögen es nicht logisch: Vermeidet direkt aufeinanderfolgende Zahlen (z.B. “123”) oder alphabetisch gereihte Buchstaben (“abc”).
  • Denkt abstrakt: Nutzt keine einfachen, alleinigen Wörter (z.B. “Passwort”) als Passwörter und auch keine Begriffe, die leicht mit euch in Verbindung gebracht werden könnten, wie den Namen eures Partners, Haustiers oder Lieblingsvereins. 
  • “Sicherheitsstreuung”und Passwortmanager: Ihr solltet niemals gleiche Passwörter für mehrere Logins oder Accounts verwenden. Wir raten zur Verwendung von Passwortmanagern, bei denen ihr all eure Logins mit den verschiedenen Passwörtern sicher verwalten könnt. Das sogenannte “Master-Passwort” für das Konto bei eurem Passwortmanager solltet ihr so sicher wie möglich, aber auch schnell auffindbar wie notfalls nötig, aufbewahren. 

 

Umsetzung in easyVerein: 


Als Admins könnt ihr in eurem easyVerein-Account unter “Sicherheit & Tools” > “Sicherheitseinstellungen”, festlegen wie lang Passwörter in eurem Vereinsaccount sein müssen und ob sie Buchstaben und/oder Zahlen und/oder Sonderzeichen beinhalten müssen. Die hier getätigten Einstellungen betreffen sämtliche Admin-Zugänge eures Vereins, aber auch die Mitgliederlogins, solltet ihr den Mitgliederbereich verwenden. 


Gespeicherte Passwörter werden in easyVerein niemals klar angezeigt und das System kann nur eine Richtig-oder-Falsch-Abfrage durchführen. Wenn ihr euer Passwort vergessen habt, erhaltet ihr über “Neues Passwort anfordern” eine E-Mail an eure hinterlegte Login E-Mail-Adresse über die ihr euch ein neues Passwort erstellen könnt. 


Bitte beachtet, dass unser Support-Team aus Sicherheitsgründen keine Zugänge auf telefonische Anfrage freischalten kann und ihr Login-Probleme möglichst immer innerhalb eures Vereins lösen solltet.

 


Mit 2FA etwas mehr Zeit in den Login zu investieren zahlt sich aus: 


2FA steht für “
2-Faktor-Authentifizierung” und beschreibt den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Faktoren. 


Konkret bedeutet das, dass im Falle einer aktivierten 2FA eure Zugangsdaten zu einem Nutzerkonto (i.d.R. Benutzername und Passwort) nicht für den Login ausreichen. Nach erfolgreicher Eingabe der eigentlichen Zugangsdaten wird ein weiteres Einmalpasswort benötigt. Dieses erhaltet ihr z.B. per E-Mail oder über eine Authenticator-App, deren Konten wiederum selbst Passwort-geschützt sind. Ebenfalls bekannt ist die 2FA auch aus dem Online-Banking wo es zum Beispiel für Überweisungen ab einem bestimmten Betrag immer zwingend einer TAN als 2. Faktor bedarf um die Transaktion anzuweisen. 


Bei aktivierter 2FA müsste ein Hacker also sowohl eure eigentlichen Zugangsdaten für ein bestimmtes Konto als auch die Zugangsdaten für euer E-Mail-Konto oder eure Authenticator-App knacken um Zugriff zu erlangen. Das ist, unter der Voraussetzung dass ihr wie oben empfohlen überall verschiedenen Passwörter verwendet, deutlich sicherer als ein Login ohne 2FA.  


Umsetzung in easyVerein:


Unter “Sicherheit & Tools” > “Sicherheitseinstellungen”, könnt ihr als Admins festlegen, ob 2FA für die weiteren Admins des Vereins freiwillig aktiviert werden kann, bei jedem Login empfohlen werden soll oder gar Pflicht sein muss und ohne 2FA kein Login möglich ist. 


Jeder Admin kann die 2FA unter “Einstellungen” > “Persönliche Einstellungen” für sich aktivieren und dabei auswählen ob er/sie das Einmal-Passwort per E-Mail oder an eine Authenticator-App (z.B. Google Authenticator) gesendet bekommen möchte. 

 


Nachvollziehbar protokollierte Vorgänge und Loginsperren:

 

Speziell bei Online-Anwendungen, in denen mehrere Personen unter Umständen sogar gleichzeitig arbeiten und der Zugriff nicht auf ein Gerät an einem festen kontrollierbaren Ort beschränkt ist, sollte es die Möglichkeit geben, nachzuvollziehen wer wann welche Änderungen im Programm vorgenommen hat. Anmeldeprotokolle geben euch Aufschluss zu erfolgreichen und fehlgeschlagenen Login-Versuchen und den dabei verwendeten IP-Adressen. 

 

Admins sollten immer die Möglichkeit haben, bestimmte Zugänge zur Anwendung bei Sicherheitsbedenken oder aus anderen Gründen zu sperren. 


Umsetzung in easyVerein:

 

Änderungsprotokoll und Anmeldeprotokoll mit allen relevanten Informationen findet ihr unter “Sicherheit & Tools”. In den “Sicherheitseinstellungen” könnt ihr außerdem definieren wie lange Änderungs- und Anmeldeprotokolle bei euch gespeichert werden sollen. Die maximale Dauer wird vom “Recht auf Löschung” aus Art. 17, Abs. 1 der DS-GVO beschränkt, nach der Verlaufsdaten nicht unbegrenzt gespeichert werden dürfen. Details dazu findet ihr in unserem Artikel zu Backups und der Wiederherstellung gelöschter Daten

 

Um unerwünschte Zugriffe aus easyVerein zu verhindern stehen euch zwei Möglichkeiten zur Verfügung: 

 

  • Sperre nach Vereinsaustritt: Sowohl bei Admins als auch normalen Mitgliedern kann im Mitgliederprofil unter “Mitgliedschaft” ein Austrittsdatum hinterlegt werden. Ist dieses erreicht, wird damit automatisch der Zugang zur Software gesperrt. 
  • Sperre bei laufender Mitgliedschaft: In jedem Mitgliederprofil kann unter “Zugangsdaten ändern” die Checkbox “Zugriff auf den Login verweigern” angehakt und ein Grund für die Sperre eingetragen werden. Diese Option kann z.B. genutzt werden, wenn ein Mitglied aufgrund offener Rechnungen temporär keinen Zugriff mehr zur Software haben soll oder auch bei Sicherheitsbedenken. Der Grund für die Sperre ist auch für die anderen Admins des Vereins mit Zugriff auf die Mitgliederverwaltung sichtbar.


Softwareseitige Sicherheitsvorkehrungen und personengebundene Zugänge:

 

Zusätzlich zu den Sicherheitseinstellungen für Anwender:innen sollte eine cloud-basierte Software auch eigene Tools & Prüfungen zur Accountsicherheit bereitstellen. Die Vorgabe, wie und von wem Zugänge zur Anwendung genutzt werden dürfen, sollte vom Anbieter kontrolliert werden, auch zur Sicherheit der Nutzer:innen. 

 

Umsetzung in easyVerein:

 

easyVerein erkennt verdächtige Aktivitäten bei Login-Vorgängen und sperrt vorsorglich Zugänge, wenn z.B. in sehr kurzer Zeit eine hohe Anzahl fehlgeschlagener Login-Versuche oder unerwartete Eingaben festgestellt wurde. 

 

Unser Support-Team ist angewiesen, bei accountspezifischen Anfragen den in der E-Mail oder telefonisch genannten Admin-Namen und die tagesaktuelle Support-Pin abzugleichen. Bei Abweichungen oder sonstiger Bedenken erfolgt ein entsprechender Sicherheitshinweis an die im System hinterlegte Login E-Mail-Adresse des Admins. 

 

Das System prüft außerdem in regelmäßigen Abständen auf sog. “Sammelaccounts”, die die Nutzung eines Admin-Zugangs durch mehrere Personen vermuten lassen. Hier geht es z.B. um Zugänge mit Begriffen wie “Vorstand Verein XY” oder “Team Mitgliederverwaltung”. 

 

Beachtet hier bitte §4 (6) unserer easyVerein-Nutzungsbedingungen wonach jeder Admin-Zugang eindeutig einer realen Person zugeordnet sein muss und auch nur von dieser einen Person verwendet werden darf. Das ist hauptsächlich so, weil die Anzahl an Admins pro Verein Teil unseres Preismodells ist, aber zum anderen auch aus Gründen der Accountsicherheit, denn auch ihr als Verein solltet immer genau wissen welche Person einen Zugang nutzt und dann auch für bestimmte Änderungen im Account verantwortlich ist.




Wir hoffen sehr dass ihr aus diesem Artikel ein paar nützliche Infos für eure zukünftige Arbeit in easyVerein und allgemein im Internet mitnehmen könnt. 

 

Bei Fragen zur Accountsicherheit und den genannten Einstellungen in easyVerein wendet euch gerne an unseren Support.