Passwortregeln und DSGVO: Zugangsschutz richtig umsetzen
Um den Vorschriften des Datenschutzes zu entsprechen, muss der Zugang zu IT-Systemen und Daten gegen Unbefugte geschützt sein. Hinweise zum richtigen Zugangsschutz im Überblick.
In vielen Unternehmen erfolgt der Zugang zu Systemen und Daten über traditionelle Anmeldewege mit Zugangsdaten. Und auch bei diesen gilt es die entsprechende Sorgfalt anzuwenden, um den Datenschutz zu gewährleiten. Wichtige Compliance-Vorgaben wie die Datenschutz-Grundverordnung (DSGVO/GDPR) fordern den Schutz vor unerlaubten Zugang zu IT-Systemen, mit denen personenbezogene Daten verarbeitet werden.
Datenschutz und Zugangsschutz gehören zusammen
So besagt die DSGVO in den zugehörigen Erwägungsgründen: Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
Doch wie sollte eine Zugangssicherung aussehen, die den Vorgaben der DSGVO entspricht? Generell müssen dies die Unternehmen selbst ermitteln und festlegen. Der Artikel 32 DSGVO (Sicherheit der Verarbeitung) verlangt bekanntlich: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Zugangsschutz muss ein dem Risiko angemessenes Niveau haben
Die Erwägungsgründe erläutern die zu berücksichtigenden Risiken so: Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.
Doch auch wenn die Wahl der geeigneten technisch-organisatorischen Schutzmaßnahmen von den Unternehmen selbst durchgeführt und verantwortet werden muss, sind Empfehlungen und Hinweise der Aufsichtsbehörden für den Datenschutz hilfreich und wichtig.
Hinweise zum Zugangsschutz
Ein angemessener Zugangsschutz muss insbesondere dem Stand der Technik entsprechen. Die Aufsichtsbehörden für den Datenschutz verweisen unter anderem auf entsprechende Veröffentlichungen des BSI (Bundesamt für Sicherheit in der Informationstechnik), sie geben aber auch selbst in einer Orientierungshilfe Hinweise zur Zugangssicherung, insbesondere für den Fall, dass Online-Dienste angeboten werden.
Zu den Empfehlungen der Datenschützer gehören:
Passwortstärke messen und anzeigen: Die Stärke der von den Nutzerinnen und Nutzern gewählten Passwörter muss gemessen und angezeigt werden, um eine sichere Passwortvergabe zu unterstützen.
Mindestens zehn Zeichen: In Abhängigkeit der kryptografischen Speicherverfahren sind dabei in der Regel Passwortlängen von mindestens 10 Zeichen erforderlich, um von einem angemessenen Passwort mittlerer Güte zu sprechen. Im Allgemeinen raten Security-Experten zu deutlich längeren Passwörtern.
Kompromittierte Passwörter nicht wiederverwenden: Es sollte sichergestellt sein, dass bereits kompromittierte Passwörter nicht erneut genutzt werden dürfen.
Passwortwechsel nur in Sonderfällen erzwingen: Sofern starke Passwörter verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich. Security-Experten raten inzwischen von regelmäßigen Wechseln ab, da diese die Sicherheit schwächen könnten. Bei Verdachtsmomenten einer Kompromittierung kann dann ein Passwortwechsel veranlasst werden.
Startpasswörter ändern: Der Wechsel von Passwörtern soll insbesondere dann erzwungen werden, wenn der Dienstanbieter ein Initialpasswort in einer Weise zugeteilt hat, dass eine Kenntnisnahme durch Dritte nicht ausgeschlossen werden kann.
Kompromittierte Passwörter ändern: Passwörter sollen geändert werden, wenn Hinweise auf eine Kompromittierung des Kontos oder sicherheitsrelevante Schwachstellen eingesetzter Softwarekomponenten vorliegen.
Fehlgeschlagene Anmeldeversuche festhalten: Das Fehlschlagen von Anmeldeversuchen ist zu registrieren und der bzw. dem Berechtigten beim nächsten erfolgreichen Login anzuzeigen.
Zahl der Anmeldeversuche begrenzen: Nach einer anwendungsabhängig festzulegenden Anzahl von Fehlversuchen sollte die Anmeldung zeitweise oder dauerhaft gesperrt werden.
Über Angriffe auf Nutzerzugang informieren: Sollte ein Anbieter Kenntnis erlangt haben, dass sein angebotener Dienst kompromittiert worden ist, so muss er entsprechend Artikel 33 DSGVO die zuständige Aufsichtsbehörde und seine Nutzer ohne zeitliche Verzögerung darüber informieren. Zudem sind geeignete Maßnahmen zu ergreifen, die dafür sorgen, dass Unbefugte mit diesen kompromittierten Informationen keinen Zugriff auf die Konten erhalten.
Über Änderungen und besondere Anmeldungen informieren: Anbieter sollten ihre Nutzer über wichtige Ereignisse informieren, etwa darüber, dass gerade eine Telefonnummer oder eine E-Mail-Adresse geändert wurde, über die der Zugang zu einem Konto ermöglicht wird. Hierzu zählen auch erfolgreiche Logins aus anderen Ländern.
Passwort-Reset anbieten: Es sind Passwort-Reset-Verfahren anzubieten, die gegen unbefugte Zugriffsversuche und Social Engineering resistent sind. Verfahren, die ein neues Passwort per E-Mail versenden, sind ungeeignet. Stand der Technik sind Passwort-Reset-Links, bei denen der Link nur ein einziges Mal funktioniert und nur eine kurze Gültigkeitsdauer (maximal eine Stunde) besitzt.
Passwörter verschlüsselt übertragen: Passwörter sind vom Nutzer bei der Registrierung und Nutzung über einen nach Stand der Technik kryptographisch abgesicherten Transportkanal an den Endpunkt des Diensteanbieters zu übertragen.
Passwörter verschlüsselt speichern: Anbieter dürfen Passwörter nur nach Verarbeitung mittels kryptografischer Einwegverfahren (insbesondere (Salted-)Hashverfahren) nach Stand der Technik speichern.
Passwort-Datenbanken schützen: Anbieter müssen die Datenbanken, in denen sie Nutzerpasswörter speichern, vor unbefugtem Zugriff durch eigenes Personal und Dritte sichern.
Zwei-Faktor-Authentifizierung anbieten: Zusätzlich zum Passwortschutz soll eine Zwei-Faktor-Authentifizierung angeboten werden. Eine Zwei-Faktor-Authentifizierung ist bei Verarbeitungen mit hohem Risiko keine reine Empfehlung, sondern zum Erreichen eines angemessenen Schutzniveaus notwendig.
Trennung von Authentifikations- und Nutzdaten: Um die Folgen einer möglichen Kompromittierung von Daten zu beschränken, sollen die zur Authentifikation verwendeten Daten, insbesondere Passwörter, logisch getrennt in unterschiedlichen Datenbank-Instanzen von den Inhaltsdaten gespeichert werden.
Über Passwort-Manager informieren: Nutzerinnen und Nutzern sollen über geeignete Passwort-Manager-Lösungen und deren Gebrauch informiert werden.