Mitbestimmung bei Zugang mit Passwort und biometrischer Abfrage

[Petar T.]

Wenn wir ehrlich sind, gehen 99% der Fälle von Passwortdiebstahl auf Sabine zurück, die seit 25 Jahren dasselbe Passwort nutzt oder, da die böse IT eine Passwortrichtlinie einsetzt, das aktuelle Passwort auf einen Zettel schreibt, der wahlweise direkt unter der Tastatur oder in der obersten Schublade des Rollcontainers aufbewahrt wird.

[highperformer]

die seit 25 Jahren dasselbe Passwort nutzt

Wenn es 25 Jahre gehalten hat, ist es ja auch ausreichend sicher und Sabine hat es im Kopf. Wenn man alle drei Monate irgendwas kompliziertes erfinden muss, läuft es halt auf den Zettel raus. Das ist die einfache Realität.

Und beim Phishing-Angriff ist es egal, wie lange das Passwort schon im Einsatz war, da wird es nämlich innerhalb von Minuten missbraucht. Das Risiko kann man aber mit einem zweiten Faktor deutlich verringern.

Die Frage ist ja jetzt: Was ist die Zielsetzung? Lokale Biometrie zum Komfort bringt genau eines: Komfort. Sicherheit aber eher nicht.

[BAT]

Es gibt mehrere Grundversorgungen: Gas, Strom, Wasser. Inzwischen auch IT und letzere ist die Einzige, in der der Nutzer in den Vorhaltungsprozess als Tätiger mit eingebunden wird. Das mag bei Zugängen teils nicht anders - evtl. aber leichter - möglich sein, erstreckt sich aber viel zu oft auf das reine Laufenhalten des Systems. Das ist nicht Aufgabe des Anwenders.

[Warnstreik]

Wenn es 25 Jahre gehalten hat, ist es ja auch ausreichend sicher und Sabine hat es im Kopf. Wenn man alle drei Monate irgendwas kompliziertes erfinden muss, läuft es halt auf den Zettel raus. Das ist die einfache Realität.

Puh - ernsthaft? Gerade weil viele für alle möglichen Dienste im Netz dann dasselbe Passwort nutzen ist genau das nicht sicher. Es gibt Seiten, da kann man schauen ob seine Mailadresse irgendwo abgegriffen wurde - im schlimmste Fall das Standard-Passwort gleich mit. Es reicht aber eben auch, wenn man an den Mailaccount rankommt um alles andere einfach zurückzusetzen.
Für den Laptop (ohne Reisetätigkeit) muss es aber nicht zu kompliziert sein - aber auch hier ist ein regelmäßiger Wechsel angezeigt.

Und beim Phishing-Angriff ist es egal, wie lange das Passwort schon im Einsatz war, da wird es nämlich innerhalb von Minuten missbraucht. Das Risiko kann man aber mit einem zweiten Faktor deutlich verringern.

Der zweite Faktor ist tatsächlich das beste. Wenn bei einem Fishing-Angriff aber der LogIn (oft die Mailadresse) und das "Standardpasswort" abegriffen wird, kann man das gerne auch bei allen anderen Websites mal ausprobieren. Nicht so toll...

Die Frage ist ja jetzt: Was ist die Zielsetzung? Lokale Biometrie zum Komfort bringt genau eines: Komfort. Sicherheit aber eher nicht.

Gegen unautorisierten Zugriff ist lokale Biometrie schon ziemlich gut. Oft ist es aber nur eine von 3 Optionen, dann macht es wenig Sinn. Ist es zwingend ist es lokal schon der zweite Faktor.

[highperformer]

Puh - ernsthaft?

Teil-Ernsthaft Es ist letztlich eine Sache der Abwägung und der Zielsetzung. Wie gesagt, alle drei Monate irgendwas krudes mit Passwort-Richtlinien erzwingen führt halt genau zu der Sache mit dem Zettel unter der Tastatur und wer weiß wo, wenn man das Passwort im Homeoffice auch braucht.

Die Frage ist, was mit der beruflichen/dienstlichen Mailadresse im Netz so gemacht wird. Im Idealfall wird sich damit gar nicht irgendwo registriert oder den Leuten wird beigebracht, zumindest das dienstliche Passwort nicht extern zu verwenden. Erfolgsaussicht natürlich fraglich.

Wenn man denn unbedingt Biometrie vermeiden möchte als Personalrat, gibt's mit TOTP durchaus eine Option, die jeder auf seinem Handy laufen lassen kann. Finde ich grundsätzlich auch besser als lokale Biometrie, denn effektiv ist Biometrie ein kompliziertes "trust me, bro" seitens des Clients gegenüber dem Server

[Warnstreik]

Wenn man denn unbedingt Biometrie vermeiden möchte als Personalrat, gibt's mit TOTP durchaus eine Option, die jeder auf seinem Handy laufen lassen kann. Finde ich grundsätzlich auch besser als lokale Biometrie, denn effektiv ist Biometrie ein kompliziertes "trust me, bro" seitens des Clients gegenüber dem Server

Für fast alle Anwendung absolut richtig. Aber die Nutzung eines "echten" (externen) zweiten Faktors fürs Entsperren von Laptops wird auch nur zur Folge haben, dass niemand mehr die Rechner sperrt. Ich wüsste aber auch nicht was ein Personalrat dagegen haben sollte hier ein biometrisches Merkmal (lokal) als Zugang zu nutzen.

[Organisator]

Hallo zusammen,

bei uns an der Uni (Bayern) soll ein neues Zugangssystem eingeführt werden:

Man kann sich an seinem Rechner/Notebook nur noch mit einem Passwort und zusätzlich mit einer biometrischen Abfrage einloggen.

Das mit der biometrischen Abfrage ist neu. Ein Testballon wurde bereits ohne unsere Zustimmung gestartet.

Sind wir hier in der Mitbestimmung? Der Rechenzentrumsleiter sagt nein.

Wir sind uns unsicher, da das System nicht zur Leistungskontrolle genutzt wird.

Herzlichen Dank

Choupette

Die Mitbestimmung ergibt sich dann, wenn ein IT-Verfahren zur Leistungskontrolle geeignet ist. Login mit Passwort und Nutzernamen wäre ein solches IT-Verfahren. Eine zusätzliche biometrische Identifikation stellt jedoch keine zusätzliche Möglichkeit zur Leistungskontrolle dar, daher ist - zumindest über die Regelung der Leistungs- und Verhaltenskontrolle - keine Mitbestimmung gegeben.