Zugangsschutz für mehr Datenschutz

Zugangsschutz für mehr Datenschutz

Dass lediglich Großkonzerne Opfer von Cyberkriminalität werden können, entspricht einer veralteten Wahrnehmung. Heutzutage hantiert in der Regel jedes Unternehmen mit Daten, sodass dementsprechend auch alle Unternehmen, ungeachtet ihrer Größe, zum Opfer werden können. Bekanntlich sind Daten in der heutigen Zeit das „neue Gold“ und stellen eine beliebte Ware bei Cyberkriminellen dar. Quantität, aber auch Qualität der Daten machen es also umso wichtiger, diese zu schützen. Im folgenden Beitrag wollen wir daher den Schwerpunkt im Rahmen des Zugangsschutzes auf die Passwörter legen.

Die Methoden, welche Cyberkriminelle anwenden, um Passwörter zu erbeuten und an die gespeicherten Daten zu gelangen, haben in den Jahren an Perfidität zugenommen. Ein Beispiel ist das sog. „Sniffing“ („Schnüffeln“), bei dem Cyberkriminelle in der Regel mittels Schadsoftware den Datenverkehr einschließlich der Eingabe von Benutzernamen und Passwörtern überwachen. Eine andere Methode ist das „Social-Engineering“ („zwischenmenschliche Manipulation“), bei dem sich die Angreifer z.B. als Kollegen aus der IT ausgeben und zu angeblichen Testzwecken die Passwörter erfragen. 

In der DSGVO sind wichtige Compliance-Vorgaben enthalten, welche den Schutz vor unerlaubtem Zugang zu IT-Systemen, mit denen personenbezogene Daten verarbeitet werden, fordern. Der Erwägungsgrund 39 „Grundsätze der Datenverarbeitung“ besagt folgendes zur Zugangssicherung: 
„Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.“

In welcher Form eine Zugangssicherung zu erfolgen hat, welche auch den Vorgaben der DSGVO entspricht, müssen die Unternehmen in der Regel selbst ermitteln und festlegen. Artikel 32 DSGVO verlangt bekanntlich die dort genannten „Rahmenbedingungen“. Hiernach wird vom Verantwortlichen und Auftragsverarbeiter verlangt, dass sie geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko entsprechenden Schutzniveaus unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfanges, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen.

Folglich erläutern die Erwägungsgründe die zu berücksichtigenden Risiken. Oben genannte Ausführungen zu den Risiken machen deutlich, dass im Umgang mit Passwörtern eine Passwortrichtlinie im Rahmen des Zugangsschutzes im Unternehmen unerlässlich ist. Verkannt wird in diesem Kontext oftmals, dass es sich bei der Passwortrichtlinie nicht vorrangig um die Festlegung von Passwörtern handelt, sondern dass es vielmehr darum geht, ganzheitliche Ansätze zu realisieren. Neben die Passwortfestlegung treten somit auch das Übermitteln und Speichern von Daten, welche für die Erstellung von sinnvollen Passwortrichtlinien berücksichtigt werden sollten. In der Passwortrichtlinie wird die Verpflichtung manifestiert, jedes Gerät, das einen Zugriff auf personenbezogene Daten ermöglichen kann, per Passwortschutz abzusichern. Unter anderem gibt die Richtlinie vor, dass jeder Benutzer sein Passwort unter Berücksichtigung der Sicherheitsrichtlinie festlegen muss. Überdies hinaus können auch Sicherheitsbestimmungen für Netzwerke und Verbindungen in der Passwortrichtlinie verankert werden. Dasselbe gilt für die Speicherung von Passwörtern, sodass festgelegt wird, ob die Passwörter verschlüsselt und zugleich an einem sicheren Ort aufbewahrt werden.

Die Entwicklung und Einführung von einer zuverlässigen Passwortrichtlinie wird im Hinblick auf die Zugangskontrolle von Datenschützern zwingend empfohlen. Bei der Entwicklung der Passwortrichtlinie können sich Unternehmen von den Datenschutzbeauftragten sowie den Fachkräften aus der IT-Abteilung Unterstützung einholen. Nachfolgende Punkte sollte bei der Erstellung der Passwortrichtlinie bedacht werden:

  • Mindestzahl an Zeichen und Zeichenarten
  • Messung und Anzeige der Passwortstärke
  • Änderung von kompromittierten Passwörtern
  • Keine Wiederverwendung von kompromittierten Passwörtern
  • Erzwingen eines Passwortwechsels nur in Sonderfällen
  • Startpasswörter umgehend ändern, sofern Kenntnis durch Dritte nicht ausgeschlossen ist
  • Festhalten von fehlgeschlagenen Anmeldeversuchen
  • Begrenzen der Anmeldeversuche
  • Dokumentation von Angriffen auf Nutzerzugänge
  • Festhalten von Änderungen und außergewöhnlichen Anmeldungen
  • Angebot eines Passwort-Resets
  • Verschlüsselte Übertragung von Passwörtern
  • Verschlüsselte Speicherung von Passwörtern
  • Schutz der Passwortdatenbanken
  • Angebot einer Zwei-Faktor-Authentifizierung
  • Trennen von Authentifikations- und Nutzerdaten
  • Verwalten per Passwort-Manager

Nähere Orientierungshilfen und Hinweise zur Zugangssicherung finden Sie auch auf der Website des BSI.

Essenz

  • Unternehmen werden Opfer von Cyberkriminalität – unabhängig von ihrer Größe
  • Methoden zur Passwort- und Datenerbeutung haben an Perfidität zugenommen, z.B. „Sniffing“ und „Social-Engineering“
  • DSGVO enthält wichtige Compliance-Vorgaben für die Zugangssicherung (Art. 32 DSGVO & Erwägungsgrund 39) 
  • Passwortrichtlinie als Mittel der Realisierung ganzheitlicher Ansätze 
  • Entwickeln und Einführen einer zuverlässigen Passwortrichtlinie wird zwingend empfohlen
  • Orientierungshilfen und Hinweise auch auf Website vom BSI