Zu den Wahlen in den USA gab es in den letzten Wochen viele Nachrichten, aber Eine erstaunte Sicherheitsexperten weltweit: Im Bundesstaat Colorado wurde eine Liste mit Details zu den eingesetzten Wahlmaschinen veröffentlicht. Die Liste war jedoch nicht einfach eine Liste, sondern ein Excel-Dokument, das vermutlich initial für den internen Gebrauch gedacht war. Jedenfalls enthielt die Tabelle eine ausgeblendete Seite mit den Administrations-Passwörtern für den Großteil der Geräte. Das Passwort konnte man nur mit direktem Zugang zum Gerät nutzen, und es wurde vermutlich auch noch ein zweites Passwort für die Anmeldung gebraucht. Dennoch wurden nach dem Bekanntwerden die Passwörter aller Geräte geändert.
Welche Lektion kann man aus der Geschichte ziehen? Es fängt mit der Veröffentlichung der Tabelle an, die offensichtlich nicht ausreichend auf versteckte Informationen geprüft wurde. Wissen in Ihrer Organisation alle, worauf sie bei einer solchen Prüfung achten sollten?
Weiterhin sollten die Passwörter auch für den internen Gebrauch nicht in einer Excel-Tabelle gesammelt werden. Hier bieten sich Passwortmanager an. In diesem Fall vermutlich nur solche, die auch mehreren Personen den Zugriff auf die Passwörter gewähren und eine gewisse Verfügbarkeit garantieren, damit am Wahltag die berechtigten Personen auch die Geräte in Betrieb nehmen können.
Kennen in Ihrer Organisation auch die Personen außerhalb der IT die Möglichkeiten und Grenzen von Passwortmanagern? In unseren Tests finden wir auch heute noch regelmäßig Listen mit Zugangsdaten, über die meist nicht-technische Teams ihre Online-Zugänge verwalten.
https://www.coloradosos.gov/pubs/newsRoom/pressReleases/2024/PR20241101Passwords.html
https://www.sos.state.co.us/pubs/elections/FAQs/passwords.html
