Automatisch verfügbarNoch sicherer: ClubDesk Release 4.4.8 bringt starke Sicherheitsupdates

ClubDesk war schon immer die sichere Lösung für Vereine – jetzt ist es noch sicherer. Mit Release 4.4.8 wurden zahlreiche Sicherheitsverbesserungen umgesetzt, viele davon auf Basis eines unabhängigen Penetrationstests durch externe IT-Security-Profis. So sind all eure Vereinsdaten richtig gut geschützt. Und das Beste: Für euch passiert das ganz automatisch.

Mit ClubDesk sind Vereine in Sachen Sicherheit schon seit eh und je sehr gut aufgestellt. Doch die digitalen Bedrohungen entwickeln sich ständig weiter. Deshalb setzt ClubDesk immer wieder auf externe Profis, die unsere Systeme wochenlang intensiv prüfen. Für den jüngsten Sicherheitstest hat ClubDesk mit der renommierten Firma Compass Security zusammengearbeitet, einem anerkannten und CREST-zertifizierten Anbieter für Penetrationstests. In einem solchen Penetrationstest (kurz: PenTest) versuchen die erfahrenen IT-Sicherheitsexpert*innen, gezielt Schwachstellen in ClubDesk zu finden, und zwar genauso, wie es echte Hacker auch tun würden.

Solche Tests durchzuführen ist wichtig, um nicht nur theoretisch sicher zu sein, sondern auch aus Sicht unabhängiger Fachleute, die sich tagtäglich mit den neuesten Sicherheitslücken und Angriffstechniken befassen. An dieser Stelle geht der Dank auch an die diversen IT-Sicherheitsexperten und besonders an David Fischer, die ClubDesk in ihrem Verein einsetzen und immer wieder hilfreiche Tipps und Verbesserungsvorschläge geben. Die Ergebnisse solcher Analysen fließen direkt in die Weiterentwicklung von ClubDesk ein: jeder Hinweis wird geprüft, fachlich bewertet und empfohlene Verbesserungen gezielt umgesetzt.

In der aktuellen Version 4.4.8 wurden zahlreiche Maßnahmen integriert. Von weiteren technischen Absicherungen der Server-Infrastruktur über Anpassungen der Software-Architektur bis hin zu erweiterten Prüfungen im Hintergrund. So wurden jetzt sogar Massnahmen gegen bösartige Skripte integriert, die euren Verein selbst dann schützen, wenn einmal jemand aus eurem Verein mit internen Zugriffsrechten betrügerische Absichten verfolgt.

Passwortchecks wie bei Apple, Google & co.

Eine der größten Schwachstellen beim Schutz von Daten sind unsichere Passwörter. Viel zu häufig werden im privaten oder halbprivaten Umfeld zu einfache Passwörter genutzt. Oder es werden dieselben Passwörter mehrfach verwendet und dann bei einer nicht ganz so sicheren Plattform gestohlen. Ein besonders wirkungsvoller und einfacher Sicherheitsgewinn betrifft daher den Passwortschutz. 

Mit ClubDesk konntet ihr euch schon immer sicher sein, dass alle, denen ihr Zugang zu euren Vereinsdaten gegeben habt, Passwörter verwenden, die ein gewisses Sicherheitsniveau erfüllen (z.B. Mindestanzahl Zeichen, Ziffern oder Sonderzeichen). Neu führt ClubDesk jetzt Checks durch, die gewährleisten, dass geleakte (gestohlene) und dadurch auch häufig genutzte Passwörter (wie zum Beispiel “Test123”) nicht mehr verwendet werden können. ClubDesk nutzt dafür dieselben Mechanismen, wie sie auch von großen Tech-Konzernen wie Apple oder Google eingesetzt werden.

Konkret geht es um eine automatische Prüfung, ob ein gewähltes Passwort bereits Teil eines bekannten Datenlecks ist, also irgendwo im Internet, z. B. im Darknet, veröffentlicht oder zum Kauf angeboten wurde. Die Prüfung erfolgt beim Speichern oder Ändern des Passworts – direkt im Hintergrund und innerhalb von Millisekunden. Dazu verwendet ClubDesk nun einen der weltweit meistgenutzten Dienste. Dieser betreibt eine Datenbank mit über 15 Milliarden geleakten Passwörtern, die selbstverständlich permanent aktualisiert wird. Wenn ein Nutzer ein Passwort eingibt, sendet ClubDesk natürlich nicht das Passwort, sondern nur einen verschlüsselten Teil davon an diesen Dienst (einen sogenannten „Hash-Teil“). Dieser prüft dann, ob das Passwort schon einmal im Zusammenhang mit einem Datenleck aufgetaucht ist. So wird erreicht, dass niemand in eurem Verein aus Versehen ein unsicheres, bereits veröffentlichtes Passwort eingeben kann, um auf Vereinsdaten zuzugreifen.

Da Passwörter aber nicht nur beim neu Anlegen, sondern bei jedem Login überprüft werden, verhindert dies auch, dass Hacker ganz neu veröffentlichte Passwörter nutzen können, um sich unrechtmäßig Zugriff auf Vereinsdaten zu verschaffen. Selbst wenn sich ein Vorstandsmitglied monatelang nicht bei ClubDesk anmeldet und so gar nicht merkt, dass sein Passwort im Darknet geleakt wurde, macht das nichts, da dieses Passwort nicht mehr funktioniert.

Diese Funktionen sorgen für einen top-modernen, datenschutzkonformen Passwortschutz – ohne zusätzlichen Aufwand für eure Vorstands- und Vereinsmitglieder. Ihr könnt also sicher sein: Mit ClubDesk-Passwörtern sind eure Vereinsdaten mit dem neuesten Stand der Technik geschützt.

Das ClubDesk-Versprechen: Sicherheit ohne Mehraufwand

Für einen ehrenamtlich geführten Verein ist es heute sehr schwierig, den ständig höher werdenden Sicherheitsanforderungen gerecht zu werden. Gerade bei der Nutzung vieler verschiedener IT-Tools und Daten, die auf privaten Computern oder bei verschiedenen Cloud-Diensten gespeichert sind, ist das fast unmöglich.

Soll und will sich euer Verein zum Beispiel Regeln für den Schutz von privat genutzten PCs, WLAN-Routern, Excel-Listen, Cloud-Diensten usw. überlegen? Seid ihr bereit, diese Regeln zu dokumentieren? Eure Vorstände und Mitglieder schulen und noch schwieriger, für deren tatsächliche Einhaltung sorgen?

Gleiches gilt für das Erstellen von Backups, das DSGVO-konforme Löschen von Daten oder die Verschlüsselung von Datenträgern und Backups. (Mehr Infos, was ihr für technische und organisatorische Maßnahmen im Verein umsetzen solltet, findet ihr im ClubDesk-Vereinswissen-Ratgeber “Datenschutz im Verein in der Schweiz” und “Datenschutz im Verein in Deutschland”). Wollt ihr euch regelmäßig die externe Überprüfung eurer IT-Sicherheit leisten, inklusive aller Geräte und Dienste, auf denen ihr Personen-, Finanz- oder andere sensible Daten speichert?

Oder wollt ihr all das nicht lieber ClubDesk überlassen? Damit nehmt ihr eure Verantwortung beim Datenschutz wahr, ohne euch um komplizierte IT-Themen kümmern zu müssen. Denn anders als bei lokal gespeicherten Excel-Dateien, die oft unverschlüsselt oder nur mit schwachen Passwörtern geschützt sind, übernimmt ClubDesk zentrale Sicherheitsaufgaben wie Zugriffssteuerung, verschlüsselte Speicherung, automatische Updates und Backups für euch.

Hinter den Kulissen betreibt ClubDesk für euch einen enormen technischen und finanziellen Aufwand, um eure Vereinsdaten zuverlässig zu schützen. Und das so, dass die Arbeit mit euren Vereinsdaten für euch gleichzeitig super einfach bleibt.

Cybersicherheit: ClubDesk und "NIS2"

Die NIS2-Richtlinie ("Network and Information Security Directive") beschreibt Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in Europa und soll die Cybersicherheit in Europa verbessern. NIS2 ist in der EU im Januar 2023 in Kraft getreten und soll in diesem Jahr 2025 als als NIS2-Umsetzungsgesetz in Deutschland verpflichtend werden. Vereine sind i.d.R. von NIS2 nicht betroffen, denn es gilt nur für Unternehmen, die mehr als 50 Personen beschäftigen oder einen Jahresumsatz von >10 Mio EUR haben.

Auch wenn ClubDesk nicht unter NIS2 fällt, orientieren wir uns bei der Weiterentwicklung von ClubDesk und bei sicherheitsrelevanten Entscheidungen an solchen Standards.

Hinweis: Das Update wird immer bereitgestellt und muss nicht installiert werden. Die neuen Funktionen stehen also automatisch zur Verfügung.