Zum Inhalt

Sicherheit

MobiLec wurde durch den TÜV Rheinland mehrfach auditiert.

Im Zuge dieser Auditierung wurde durch den Zertifizierungs-Beauftragten das System auf sicherheitsrelevante Aspekte geprüft. Dabei wurde auch die Möglichkeit eines Zugriffs auf die MobiLec-Daten durch nicht autorisierte Personen geprüft. Eine der Möglichkeiten solchen Zugriff zu erlangen ist das Ausprobieren möglicher Anmelde-Daten, um eine gültige Kombination zu finden, mit dem man sich im System als berechtigte Person autorisieren kann. Um dies zu verhindern, gilt es die Kombinationen kompliziert zu gestalten und die Möglichkeit der Anzahl von Versuchen zu beschränken.

Login-Name

Um eine möglichst komplexe Anmelde-Kombination zu erreichen, besteht die Anmeldung aus zwei Schlüsseln, der Login-Name und das Passwort. Der Login-Name ermöglicht dem autorisierten Benutzer die Trennung der Anmeldung von seiner E-Mail-Adresse. Dadurch wird verhindert, dass über die Kenntnis einer Firmen-Struktur, die E-Mail-Adresse als Schlüssel zum Authentifizieren im MobiLec-System erraten werden kann.

Passwort-Richtlinien

Die Passwort-Richtlinien entsprechen den aktuellen Vorgaben des Zertifizierungs-Beauftragten. Folgende Richtlinien sind bei der Einhaltung des Passwortes zu beachten.

Das Passwort muss mindestens 8 Zeichen lang sein und 3 der folgenden 4 Sicherheitskriterien entsprechen:

  • Mindestens ein kleingeschriebener Buchstabe
  • Mindestens ein großgeschriebener Buchstabe
  • Mindestens eine Zahl
  • Mindestens ein Sonderzeichen

IP-Sperre

Erkennt das MobiLec-System eine hohe Anzahl an fehlerhaften Authentifizierungen innerhalb eines kurzen Zeitraumes von der gleichen IP-Adresse, wird automatisch eine IP-Sperre ausgesprochen. Das bedeutet, dass alle folgenden Zugriffe von dieser IP-Adresse für einen längeren Zeitraum gesperrt sind.

Die IP-Sperre ist systemübergreifend.

Das bedeutet, dass die Sperre sich auf alle erreichbaren Dienste des Systems gilt. Sobald in einem der Dienste ein unberechtigter Zugriffs-Versuch erkannt wird, schützt sich das gesamte MobiLec-System und unterbindet den Zugriff auf alle Dienste.

Zu beachten bei Firmen-Zugriff über eine IP-Adresse.

Problematisch wird die IP-Sperre bei vielen MobiLec-Nutzern, die über dieselbe IP-Adresse im Internet angebunden sind. Löst ein Nutzer durch falsche Eingaben seiner Anmelde-Daten die Sperre zufällig aus, so werden alle Nutzer, die über die gleiche IP-Adresse im Internet angebunden sind, aus dem System ausgesperrt.

Auslöser

Auslöser einer IP-Sperre kann einer der MobiLec-Dienste sein. Die Regel, wann eine IP-Sperre ausgelöst wird, ist abhängig von der Wichtigkeit des Dienstes innerhalb des MobiLec-Systems.

  • Portal nach 5 fehlerhaften Authentifizierungs-Versuchen in einem Zeitraum von 15 Minuten.
  • Mini nach 10 fehlerhaften Authentifizierungs-Versuchen in einem Zeitraum von 5 Minuten.

Zeitraum

Der aktuelle Zeitraum beträgt 12 Stunden unabhängig von dem Dienst, der die Sperre auslöst.

Zurücksetzen

Um die IP-Sperre zurückzusetzen, wenden Sie sich bitte an den MobiLec-Support oder nutzen Sie die Funktion "Sperre der IP-Adresse aufheben". Durch Angabe des Login-Namens und der in der MobiLec-Benutzerverwaltung hinterlegten E-Mail-Adresse beziehungsweise Mobilfunknummer können Sie sich einen Entsperrcode zusenden lassen. Wird dieser Entsperrcode innerhalb von 10 Minuten eingegeben, wird die IP-Sperre zurückgesetzt.