Fachnews Datenschutz: Passwortsicherheit rückt in den Beratungsfokus der Aufsichtsbehörde TEIL 2 - Unternehmen und Software-Entwickler Freitag, 03. Mai 2019
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDi BW) hat Mitte Februar 2019 über seinen Webauftritt Hinweise zum Umgang mit Passwörtern veröffentlicht. Neben Hinweisen zur Auswahl von sicheren Passwörtern, die sich an Privatpersonen richten, enthält die Handreichung auch Empfehlungen für Administratoren und Entwickler zur Verbesserung der Passwortsicherheit. Mit seinen Hinweisen zum Umgang mit Passwörtern und zur Passwortsicherheit richtet sich der Landesdatenschutzbeauftragte nicht nur an private IT-Nutzer (hierzu auch Teil 1 unseres Beitrags mit Blick auf die Hinweise an Betroffene). Mit den in der Handreichung angeführten „Hinweisen für Administratoren und Entwickler“ bietet der LfDi BW insbesondere für IT-Verantwortliche, die sich in ihrer täglichen Arbeit nicht regelmäßig mit den Themen der Passwortsicherheit und Kryptografie beschäftigen können, einen guten Überblick über den „Stand der Technik“ im Bereich der Passwortsicherheit, der zumindest für einen nicht unerheblichen Teil der Unternehmen bei entsprechender Umsetzung die in der Praxis zum Teil noch bestehenden Sicherheitslücken schließen würde. Passwort-Richtlinie Mit dem ersten Hinweis an Administratoren und Entwickler baut der Landesdatenschutzbeauftragte eine Brücke zu den Passwort-Empfehlungen der Anwender, indem er rät, die dort gegebenen Hinweise in eine Passwort-Richtlinie einzubinden. Keine regelmäßige Änderung erzwingen Mit seinem Hinweis, die früher vertretene regelmäßige Änderung von Passwörtern durch eine wirksame Sensibilisierung der Beschäftigten zu ersetzen, folgt der LfDi BW den Empfehlung des National Cyber Security Centre (NCSC) wie auch des National Institute of Standards and Technology des U.S. Department of Commerce (NIST) und schließt schlüssig an seine entsprechenden Hinweise für private Anwender an. Sperrung nach fehlerhafter Anmeldung Auch von der bislang noch in vielen IT-Systemen üblichen Account-Sperrung nach fehlerhaften Anmeldeversuchen wird abgeraten. Vor dem Hintergrund zunehmend systematischerer und automatisierterer Angriffe steigt die Verzögerung nach mehreren fehlgeschlagenen Anmeldeversuchen stetig an. . Passwörter keinesfalls im Klartext speichern Mit einem ausdrücklichen Hinweis auf mögliche Verstöße gegen Artikel 32 DSGVO wie auch die in diesem Zusammenhang bereits verhängten Geldbußen (hierzu auch unser Blogbeitrag zur Datenpanne beim sozialen Netzwerk Knuddels.de) wird nochmals ausdrücklich auf die Notwendigkeit der Nutzung moderner Passwort-Hashing-Verfahren und die Sicherstellung ausreichender Entropie hingewiesen. Sichere Speicherung von Passwort-Datenbanken Ebenfalls in die Blickrichtung der Passwortspeicherung geht auch die Empfehlung, Passwort-Datenbanken besonders zu sichern und hier auch auf der Ebene der Administratoren eine sehr restriktive Rechte- und Rollenstruktur anzuwenden. Interessanterweise verzichtet der LfDi BW an dieser Stelle, anders als zuvor, auf einen Verweis auf Artikel 32 DSGVO und die in diesem Zusammenhang stehenden Bußgeldandrohungen. Zwei-Faktor-Authentifizierung implementieren Die Forderung „soweit möglich“ immer Zwei-Faktor-Authentifizierungen zu implementieren bzw. zu konfigurieren kombiniert der Landesdatenschutzbeauftragte mit dem Hinweis, den Benutzer hierbei nicht durch die Hintertüre der IT-Sicherheit zur Preisgabe bislang nicht erhobener personenbezogener Daten, im Beispiel zur Herausgabe einer Mobilfunknummer, zu nötigen und greift hier, ohne ausdrückliche Erwähnung, den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO auf. Auf die hier in der Praxis nach wie vor bestehenden erheblichen Umsetzungsdefizite, meist subjektiv begründet durch die erwarteten Einschränkungen der Benutzerfreundlichkeit (Usability), wird nicht weiter eingegangen. Änderung voreingestellter Passwörter erzwingen Die Anforderung an Administratoren und Entwickler, bei Inbetriebnahme eines Gerätes oder Dienstes die Änderung voreingestellter Passwörter zu erzwingen, schließt an die Empfehlung gegenüber Anwendern an, Standard-Passwörter immer zu ersetzen. An dieser Stelle der Handreichung zeigt sich damit sehr transparent, dass (auch) beim Thema der Passwortsicherheit viele Wege an das erwünschte Ziel führen und Verantwortliche gut beraten sind, bei der Gestaltung des Themas organisatorische und IT-technische Wege parallel einzuschlagen. Fehlgeschlagene Anmeldeversuche protokollieren Da erfolglose Anmeldeversuche in der Praxis auf interne oder externe Angriffe (Eindringversuche) hinweisen können, sollten diese protokolliert und regelmäßig, idealerweise systematisch, analysiert werden. Keine fremden Passwörter sammeln Mit der abschließenden Empfehlung des Landesdatenschutzbeauftragen an Online-Dienstanbieter, grundsätzlich keine fremden Passwörter zu sammeln und in Fällen, in denen Anmeldungen bei verschiedenen Diensten mit den gleichen Zugangsdaten erfolgen, standardisierte, sichere API-Autorisierungen und entsprechende Frameworks zum Austausch von Authentifizierungs- und Autorisierungsinformationen zu nutzen, geht die Handreichung über das Design sicherer hinaus und fokussiert nochmals direkt auf die weiterreichenden Anforderungen an die Sicherheit der Verarbeitung aus Art. 32 DSGVO. Fazit Anders als in seinen Empfehlungen an Anwender, geht der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg in seinen Hinweisen an Administratoren und Entwickler deutlich intensiver auf die wohl als „Stand-der-Technik“ zu wertenden Möglichkeiten der Sicherheit der Verarbeitung aus Sicht des Datenschutzes ein. Die Empfehlungen verdeutlichen zum einen die bereits heute umfangreichen Möglichkeiten zur Gestaltung starker Passwörter und zu einer entsprechenden Passwortsicherheit, zum anderen aber auch die Notwendigkeit zur Umsetzung dieser Themen in der Praxis. Verantwortliche können sich heute keinesfalls mehr auf „technische Unwissenheit“ oder eine „praktische Übung der gesamten Branche“ berufen. Die Wirksamkeit, Vollständigkeit, Aktualität und Angemessenheit der Sicherheitsmaßnahmen sollte von den Verantwortlichen vor diesem Hintergrund regelmäßig und mit Blick auf die Accountability-Pflichten aus Art. 5 Abs. 2 DSGVO auch nachweislich im Rahmen geeigneter IT-Revisionen evaluieren werden. Die Anforderungen an IT-Sicherheitsmaßnahmen und an die Sicherheit der Verarbeitung personenbezogener Daten stellen eine der zentralen Anforderungen des Datenschutzrechts dar. Die Publikationen der Aufsichtsbehörden und deren Prüfungsschwerpunkte (hierzu auch unser Beitrag: zur Prüfung des Bayerischen Landesamtes für Datenschutz zu Löschroutinen in ERP-Systemen) zeigen, dass auch die Blickrichtung der staatlichen Datenschützer immer stärker in diese Richtung gehen wird. Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Fachnews vom 20. Juni 2023 Datenschutz Gruppenpostfächer – Personendaten in vielen Händen Jedes Unternehmen hat mindestens eins davon: Ein Gruppenpostfach. Mit dem Allrounder unter den E‑Mail-Postfächern lassen sich mit wenig Aufwand mehrere Fliegen mit einer Klappe schlagen. Um das datenschutzrechtliche Niveau zu halten, muss bereits bei der Anlage eines Gruppenpostfachs Sorgfalt … Weiterlesen … Gruppenpostfächer – Personendaten in vielen Händen < >