Passwörter für den täglichen Gebrauch

Bei Passwörtern, die man regelmäßig nutzt, ist die sichere Aufbewahrung die größte Herausforderung. Dazu gibt es im Prinzip zwei Möglichkeiten:

1) Man merkt sich das Passwort

Es gibt verschiedene Techniken, wie man sich Passwörter gut merken kann. Zum Beispiel kann man sich einen einfachen Satz überlegen und daraus Anfangsbuchstaben, Endbuchstaben, ggf. auch Satzzeichen o. Ä. übernehmen. "Wie denke ich mir 1 sicheres Passwort aus?" wird z. B. zu "Wdim1sPa?". Dabei sollte das Passwort mindestens 8 Zeichen haben. Eine andere Möglichkeit ist ein vergleichsweise langes Passwort, das sich aus ganzen Wörtern zusammensetzt. Diese Wörter sollten möglichst in keinem direkten Zusammenhang stehen bzw. keinen Satz bilden. Beispiel: "Hund, Katze, Maus, Echse, Spock" - so hat man zwar einiges zum Tippen, kann sich das Passwort aber relativ einfach merken. Sicher ist es trotzdem, da beim Ausprobieren auf Basis aller möglichen Kombinationen 5 (zufällige) Wörter ungefähr so schwer zu erraten sind wie 10 zufällige Buchstaben.

2) Benutzung eines sicheren Passwortspeichers

Auf den Seiten des BSI gibt es gute Hinweise zur Nutzung eines Passwort-Managers. Empfehlenswert ist z. B. das Tool KeePass. Für den "Hausgebrauch" reicht es allerdings auch aus, sich einen Passwort-Hinweis als Gedächtnisstütze an einer sicheren Stelle zu deponieren (z. B. in der eigenen Geldbörse).

Andere Lösungen wie Aufschreiben des ganzen Passworts auf einem Zettel (egal ob unter der Tastatur oder verschlossen im Schreibtisch) oder ungesicherte Datei-Ablagen auf Smartphones oder Cloudstorage sind zu unsicher.

Admin-Passwörter / Passphrasen zur Verschlüsselung

Passwörter, die man sich nicht merken muss, weil sie selten benutzt werden und zum Beispiel in verschlüsselten Passwortarchiven aufgehoben und nicht abgetippt werden, sollten zufällig generiert werden.

Empfehlenswert ist dazu das ZENDAS-Tool - mit 32 Zeichen sind Sie nach heutigem Stand auf der sicheren Seite.

Änderung von Passwörtern

Glücklicherweise wurde die übliche Praxis, regelmäßige Passwortänderungen zu empfehlen oder zu erzwingen, inzwischen aufgegeben. Solange Ihr Passwort geheim bleibt, gibt es keinen Grund, es zu ändern. Falls Sie den Verdacht haben, dass ein Passwort gehackt oder ausgespäht wurde, sollten Sie es natürlich trotzdem sofort ändern.

Weiterführende Informationen zum Thema Passwörter finden Sie z. B. gut aufbereitet auf den Seiten des BSI.

Im Rahmen des Forschungsdatenmanagements gibt es diverse rechtliche Vorschriften, die beachtet werden müssen. Daraus können im Einzelfall komplexe Fragestellungen entstehen. Zu den relevanten Themen und Rechtsgebieten gehören unter anderem:

• Urheber-, Leistungsschutz- und Patentrechte
• Zuordnung bzw. Eigentumsfragen
• Geheimhaltungsvereinbarungen
• Dienstvertragliche Regelungen
• Lizenzmodelle bei der Veröffentlichung
• Haftungsfragen
• Persönlichkeitsrechte und Datenschutz

Aufgrund des großen Spektrums an Daten und in Frage kommenden gesetzlichen Regelungen ist es schwer, allgemeingültige Empfehlungen zu geben. Es existieren jedoch bereits umfangreiche und gut aufbereitete Veröffentlichungen von Rechtsexperten. Gerne verweisen wir auf eine Kurzzusammenfassung der rechtlichen Rahmenbedingungen (unter CC-BY-SA 4.0 Lizenz) und einen ausführlichen Leitfaden zu Rechtsfragen bei Open Science (unter CC-BY 4.0 Lizenz).

Die Servicestelle Forschungsdatenmanagement darf keine Rechtsberatung erteilen. Bei konkreten rechtlichen Fragen oder Problemen wenden Sie sich bitte an PGR - Allgemeine Rechtsangelegenheiten bzw. zum Thema Datenschutz an die Stabsstelle Datenschutz und Informationssicherheit. Die Servicestelle Forschungsdatenmanagement steht Ihnen gerne für allgemeine Empfehlungen und insbesondere für Unterstützung bei der technischen Umsetzung zur Verfügung.

Wie kann ich Daten verschlüsselt übertragen?

In der Forschung müssen häufig vertrauliche (ggf. auch personenbezogene) Daten ausgetauscht werden. Dabei wird vorausgesetzt und teilweise auch von Ethikkommissionen oder Datenschützern explizit eingefordert, dass die Daten derart sicher übertragen werden, dass sie von Dritten nicht eingesehen werden können.

Etablierte Kommunikationsmedien (z. B. E-Mail) oder Cloudstorage-/Messenger-Lösungen, die man evtl. im privaten Bereich nutzt (z. B. Dropbox, WhatsApp oder vergleichbare Anbieter) stoßen dabei an Grenzen. Bei der Nutzung externer Dienste ist regelmäßig das Problem, dass keine geeignete vertragliche Vereinbarung mit dem Anbieter besteht und somit die Vertraulichkeit der Daten nicht gewährleistet werden kann. Aus diesem Grund ist die dienstliche Nutzung solcher Dienste für vertrauliche Daten grundsätzlich nicht zulässig. Ein anderes häufiges Problem ist die unsichere (unverschlüsselte) Übertragung der Daten, die z. B. beim normalen E-Mail-Versand nicht gewährleistet werden kann und deshalb ebenfalls die Vertraulichkeit gefährdet.

Bei der Verschlüsselung sind drei grundsätzliche Verfahren zu unterscheiden, die in diesem Bereich oft genannt oder eingesetzt werden:

1. Dateiverschlüsselung

Die Verschlüsselung auf Datei-Ebene bietet grundsätzlich den höchsten Schutz, ist aber auch die unkomfortabelste Form. In der Praxis ist der größte Nachteil die schlechte Verbreitung entsprechender Tools (Installation, Nutzerschulung,...), da alle Beteiligten diese verwenden müssen.

Empfehlenswert ist ggf. die Nutzung der Software 7-Zip (mit AES-256), VeraCrypt oder ähnlicher Tools, wenn Dateien verschlüsselt abgelegt oder per E-Mail verschickt werden müssen.

2. E-Mail-Verschlüsselung (Inhaltsverschlüsselung)

Die Verschlüsselung von E-Mails funktioniert über S/MIME Zertifikate (die über die IT-Dienste vom DFN bezogen werden können) oder über vergleichbare Alternativen wie PGP. Einmal konfiguriert ist das eine komfortable Möglichkeit verschlüsselt zu kommunizieren, aber hier ist das Problem der mangelnden Verbreitung sogar noch größer als bei den Tools für die Dateiverschlüsselung, so dass dieser Weg in der Praxis kaum empfohlen werden kann. Obwohl gut konfigurierte Mailserver auch Transportverschlüsselung nutzen, kann man sich darauf nicht verlassen und sollte daher E-Mail ohne weitere Maßnahmen als unverschlüsselt ansehen.

Achtung: Neben der Inhaltsverschlüsselung gibt es auch digitale Signaturen, die in Outlook mit einen Siegel-Symbol dargestellt werden. Dies bedeutet nicht, dass die E-Mail automatisch verschlüsselt ist. Es bedeutet nur, dass die Identität des Senders von der Zertifikatsstelle geprüft wurde.

3. Transportverschlüsselung

Die Transportverschlüsselung ist heute bei vielen Tools bereits gängige Praxis und passiert in der Regel ohne Zutun des Benutzers und ohne, dass besondere Software installiert werden müsste. Bei webbasierten Systemen erkennt man die Verschlüsselung am „https“ bzw. an dem Schloss-Symbol im Browser.

Transportverschlüsselung sollte grundsätzlich eingesetzt werden. Es ist aber allgemein gesagt nur dann auch eine hinreichende Maßnahme, wenn die verwendeten Tools oder Portale auch sicher sind (und ggf. organisatorisch/vertraglich an die UOL gebunden sind).

Für eine transportverschlüsselte Übertragung von Dateien in die universitäre Infrastruktur hinein oder aus ihr heraus bietet sich der von den IT-Diensten selbst betriebene Cloud-Storage Dienst an. Anleitungen dazu finden Sie auf den Seiten der IT-Dienste.

Sofern alle Beteiligten einen UOL-Account haben, sollte die direkte Freigabe über die Eingabe der berechtigten Namen bzw. E-Mail-Adressen verwendet werden. Der Empfänger wird dann automatisch benachrichtigt und benötigt nur seine UOL-Zugangsdaten, so dass der Sender keine sensiblen Daten (insbesondere Passwörter) verschicken muss.

Für die Freigabe an Externe muss die Freigabe über "Link teilen" mit der Option "Passwortschutz" erfolgen. Hierbei ist zu beachten, dass das Passwort nicht zu einfach gewählt wird (am besten zufällig generieren) und das Passwort auch sicher übermittelt wird. Das Verschicken eines Passworts per E-Mail zusammen mit dem Link ist dabei leider keine besonders gute Lösung. Am besten wäre es, wenn das Passwort auf einem ganz anderen Kanal (z. B. persönlich oder telefonisch) übermittelt würde.

Informationen zu Sicherheitsanforderungen hinsichtlich Transport Layer Security (TLS) gibt es beispielweise beim BSI. Zum Beispiel sollte TLS nur in den aktuellen Versionen 1.2 und 1.3 verwendet werden (Mindeststandard des BSI vom 15.03.2022, zuletzt auf Aktualität geprüft am 03.03.2023). Bei IT-Services der Universität Oldenburg kann man davon ausgehen, dass entsprechende Standards berücksichtigt werden. Bei Eigenentwicklungen oder externen Angeboten sollte man das prüfen bzw. entsprechende Vereinbarungen abschließen.

Wie speichere ich meine Forschungsdaten ab?

Die Servicestelle Forschungsdatenmanagement empfiehlt, für die Speicherung von Forschungsdaten die von der Universität Oldenburg angebotenen Infrastruktur-Services zu nutzen. Diese sind hoch-performant, ausfall- und desastersicher konzipiert und die Daten verbleiben auf den Universitäts-eigenen Servern. Zu diesen Services gehören:

• Netzlaufwerke
  Das persönliche Netzlaufwerk (L-Laufwerk) steht jedem Universitäts-Angehörigen zur Verfügung und ist zugriffsbeschränkt auf den eigenen Universitäts-Account. Wenn der Datenzugriff von weiteren Personen benötigt wird, kann bei den IT-Diensten ein Gruppenlaufwerk beantragt werden. Dieses können Sie für andere Universitäts-Angehörige freischalten.
   
• Cloud-Storage (Nextcloud)
  Der Cloud-Storage bietet die Möglichkeit ein lokales Verzeichnis auf Ihrem Rechner mit dem Datenhaltungssystem der Universität zu synchronisieren. Der Vorteil gegenüber der Verwendung des Netzlaufwerks ist, dass einzelne Dateien oder ganze Ordner im Cloud-Storage mit externen Personen geteilt werden können. So ist die gemeinsame Arbeit an den Daten auch möglich, wenn Projektpartner keinen Angehörigen-Status an der Universität Oldenburg besitzen. Der Dienst ist erreichbar unter cloud.uol.de/. Weitere Informationen finden Sie auf der Seite der IT-Dienste.
   
• MySQL-Datenbanken
  Je nach Art, Ausmaß und Verwendung der Forschungsdaten kann es von Vorteil sein die Daten in einer Datenbank abzuspeichern. Hierfür können Sie eine MySQL-Datenbank bei den IT-Diensten beantragen. Lassen Sie sich gern von uns beraten, wenn Sie sich unsicher sind, ob dies das geeignete Speicherformat für Ihre Daten ist.
   
• GitLab
  Nicht zu vernachlässigen ist, dass ebenfalls Programmcode unter den Begriff „Forschungsdaten“ fällt. Zur Versionsverwaltung steht unter gitlab.uni-oldenburg.de/ der GitLab-Dienst der Universität zur Verfügung.

Hinweis zur Datensicherung und Wiederherstellung
Für die Netzlaufwerke und Datenbanken wird täglich ein Backup erstellt, welches 30 Tage lang vorgehalten wird. Die Wiederherstellung kann sowohl für das ganze Netzlaufwerk als auch für einzelne Dateien erfolgen. Der Cloud-Storage verfügt über eine einfache Versionskontrolle, sodass beim Ändern von Dateien automatisch die alten Versionen für eine begrenzte Zeit gespeichert und von Ihnen wiederhergestellt werden können. Versehentlich gelöschte Dateien können ebenfalls wiederhergestellt werden. Eine Übersicht, wie lange die Versionen wiederherstellbar sind, finden Sie hier.
Da die Backups eine begrenzte Zeit vorgehalten bzw. einmal pro Tag erstellt werden, empfehlen wir Ihnen, bei größeren Änderungen an den Daten eine manuelle Kopie zu erstellen (z. B. mit Zeitstempel im Dateinamen). Vor allem wenn mehrere solcher Änderungen an einem Tag durchgeführt werden, ist dies sinnvoll, da mit dem automatischen Backup keine Zwischenstände von diesem Tag wiederhergestellt werden können.
Wenn Sie unseren REDCap- oder SoSci-Survey-Service nutzen, werden von Ihren dort enthaltenen Daten und Dateien automatisch einmal täglich Backups erstellt. Aber auch hier gilt: Zwischenstände innerhalb eines Tages können nur manuell zurückgesetzt werden. Daher ist ebenfalls eine manuelle Sicherung vor größeren Änderungen zu empfehlen. Hierfür stellen beide Services geeignete Funktionen bereit. Weitere Informationen zur Sicherung und Wiederherstellung sind in dem jeweiligen Betriebskonzept zu finden.

Wenn Sie die empfohlenen Services der Universität nicht nutzen und Ihre Forschungsdaten lokal speichern wollen, sollten Sie auf ausreichenden Schutz vor unautorisiertem Zugriff (z. B. durch Verschlüsselung oder Passwortschutz) achten. Zudem sollten Sie regelmäßig Backups auf einem physikalisch separaten Speichermedium erstellen, welches ebenfalls vor unautorisiertem Zugriff geschützt ist.

Generell sollte mit der Speicherung Ihrer Forschungsdaten auch die Beschreibung der Daten durch Metadaten und die Speicherung dieser einhergehen.

Die hier beschriebenen Empfehlungen beziehen sich nicht auf die Langzeitarchivierung, die nach guter wissenschaftlicher Praxis einen Zeitraum von zehn Jahren vorsieht. Aktuell steht für diesen Bereich noch kein Service von uns zur Verfügung. Wir nehmen aber gern Ihre Anfragen hierfür entgegen.

Wir weisen hierzu gerne auf die umfangreiche Sammlung von FAQs und nützlichen Hinweisen auf den Seiten der Stabsstelle Datenschutz und Informationssicherheit hin.