Dilletantismus bei den IDW – Login für Gemeinderäte

Kürzlich war die Extranet-Webseite der Stadt nicht mehr erreichbar, also die Seite, wo die Gemeinderäte Zugang auf vertrauliche Informationen haben. Das notabene ausgerechnet auch an einem Montag, an dem Kommissionssitzungen stattfanden, deren Daten ebendort verfügbar sind. Danach hiess es, es sei nun kein Zugang mit Benutzername Passwort mehr möglich, sondern nur noch per SMS/Mobile-TAN. Nun, bisher lief die Anmeldung mit zwei Buchstaben aus Vorname und Nachname und vorhersehbaren Zahlen, beim mir war der Benutzername «wama99» und das Passwort «wa5678ma», folglich gab es schon Verbesserungspotential, z.B. die Möglichkeit, das Passwort anzupassen. Doch mit Mobile-TAN wäre der Zugang des Gemeinderats schon fast auf dem Stand von Bankgeschäften, nur mit dem Unterschied, dass Bankgeschäfte einfacher sind: Bei der Bank muss man das Passwort nicht regelmässig ändern, der Mobile-TAN reicht aus.

Hier zeigt sich zum ersten Mal der Dilletantismus, man hat offenbar keine Ahnung, was es für eine angemessene Sicherheitsstufe überhaupt braucht und tut einfach mal alles, was einem einfällt oder was machbar ist. Doch es geht ungereimt weiter. Wenn man sich das erste Mal anmeldet, muss man sofort sein Passwort wechseln. Ein einfaches Passwort würde völlig genügen, wird es doch mit der Mobile-TAN kombiniert. Gibt man aber ein einfaches Passwort ein, wird es abgelehnt, es entspreche nicht der Richtlinie. Hier zeigt sich der Gipfel des Dilletantismus, denn die Richtlinie wird nicht genannt. Der Benutzer kann nur raten, wie er sein Passwort zu verbessern hat. Gesteigert wird die Unfähigkeit dadurch, dass sich der genervte Anwendern nun nochmals eine neue SMS zuschicken lassen muss, weil er unnötigerweise aus der Sitzung rausgeworfen wird. Auf die Idee, dass jemand dringend etwas nachschauen müsste, kommt die IDW nicht, oder es ist ihr egal.

Auch später ist die aufwendig und teuer aufgebaute Verbindung nur von kurzer Dauer. Kaum nutzt man den Zugang eine Weile nicht, wird man schon wieder rausgeworfen.

Die Verbindung ins GGR-Extranet muss nicht sicherer sein, als was Banken für Finanzgeschäfte anbieten. Ich fordere daher ultimativ das Selbstverständliche:

  • Anständige Fehlermeldungen, die dem Benutzer zeigen, was von ihm erwartet wird.
  • Ein Sessionsmanagement, das die Session offen lässt und nicht andauernd den Anwender raus wirft.
  • Die Abschaffung des Passwortwechselzwangs.
  • Die Abschaffung der Mindestanforderungen an das Passwort.
  • Eine Möglichkeit, sich ohne Handy anzumelden, wenn man keines hat, keine Handynummer angeben will, oder auch Fallweise, wenn man es zuhause liegengelassen hat.

Im Rahmen des Spar- und Effizientsprogramms wäre noch interessant zu erfahren, was die Stadt dieser Spass kostet. Vielleicht raffe ich mich ja noch zu einer schriftlichen Anfrage auf. Den IDW sollte man nochmals kräftig das Budget kürzen.

Post By Marc Wäckerlin (166 Posts)

Gemeinderat der Piratenpartei in Winterthur seit 2010 Vorstand Piratenpartei Winterthur Vorstand Piratenpartei Zürich Präsident FreidenkerInnen Region Winterthur

Website: → Marc Wäckerlin

Connect

The short URL of the present article is: http://pp-winti.ch/rcdXy
Veröffentlicht unter Persönliche Erklärung | Verschlagwortet mit , , | Kommentare deaktiviert für Dilletantismus bei den IDW – Login für Gemeinderäte

Die Kommentarfunktion ist geschlossen.