Fachnews 03.05.2019

Datenschutz: Passwortsicherheit rückt in den Beratungsfokus der Aufsichtsbehörde TEIL 2 - Unternehmen und Software-Entwickler

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDi BW) hat Mitte Februar 2019 über seinen Webauftritt Hinweise zum Umgang mit Passwörtern veröffentlicht. Neben Hinweisen zur Auswahl von sicheren Passwörtern, die sich an Privatpersonen richten, enthält die Handreichung auch Empfehlungen für Administratoren und Entwickler zur Verbesserung der Passwortsicherheit.

Mit seinen Hinweisen zum Umgang mit Passwörtern und zur Passwortsicherheit richtet sich der Landesdatenschutzbeauftragte nicht nur an private IT-Nutzer (hierzu auch Teil 1 unseres Beitrags mit Blick auf die Hinweise an Betroffene). Mit den in der Handreichung angeführten „Hinweisen für Administratoren und Entwickler“ bietet der LfDi BW insbesondere für IT-Verantwortliche, die sich in ihrer täglichen Arbeit nicht regelmäßig mit den Themen der Passwortsicherheit und Kryptografie beschäftigen können, einen guten Überblick über den „Stand der Technik“ im Bereich der Passwortsicherheit, der zumindest für einen nicht unerheblichen Teil der Unternehmen bei entsprechender Umsetzung die in der Praxis zum Teil noch bestehenden Sicherheitslücken schließen würde.

Passwort-Richtlinie

Mit dem ersten Hinweis an Administratoren und Entwickler baut der Landesdatenschutzbeauftragte  eine Brücke zu den Passwort-Empfehlungen der Anwender, indem er rät, die dort gegebenen Hinweise in eine Passwort-Richtlinie einzubinden.

Keine regelmäßige Änderung erzwingen

Mit seinem Hinweis, die früher vertretene regelmäßige Änderung von Passwörtern durch eine wirksame Sensibilisierung der Beschäftigten zu ersetzen, folgt der LfDi BW den  Empfehlung des National Cyber Security Centre (NCSC) wie auch des National Institute of Standards and Technology des U.S. Department of Commerce (NIST) und schließt schlüssig an seine entsprechenden Hinweise für private Anwender an.

Sperrung nach fehlerhafter Anmeldung

Auch von der bislang noch in vielen IT-Systemen üblichen Account-Sperrung nach fehlerhaften Anmeldeversuchen wird abgeraten.  Vor dem Hintergrund zunehmend systematischerer und automatisierterer Angriffe steigt die Verzögerung nach mehreren fehlgeschlagenen Anmeldeversuchen stetig an. .

Passwörter keinesfalls im Klartext speichern

Mit einem ausdrücklichen Hinweis auf mögliche Verstöße gegen Artikel 32 DSGVO wie auch die in diesem Zusammenhang bereits verhängten Geldbußen (hierzu auch unser Blogbeitrag zur Datenpanne beim sozialen Netzwerk Knuddels.de) wird nochmals ausdrücklich auf die Notwendigkeit der Nutzung moderner Passwort-Hashing-Verfahren und die Sicherstellung ausreichender Entropie hingewiesen.

Sichere Speicherung von Passwort-Datenbanken

Ebenfalls in die Blickrichtung der Passwortspeicherung geht auch die Empfehlung, Passwort-Datenbanken besonders zu sichern und hier auch auf der Ebene der Administratoren eine sehr restriktive Rechte- und Rollenstruktur anzuwenden. Interessanterweise verzichtet der LfDi BW an dieser Stelle, anders als zuvor, auf einen Verweis auf Artikel 32 DSGVO und die in diesem Zusammenhang stehenden Bußgeldandrohungen.

Zwei-Faktor-Authentifizierung implementieren

Die Forderung „soweit möglich“ immer Zwei-Faktor-Authentifizierungen zu implementieren bzw. zu konfigurieren kombiniert der Landesdatenschutzbeauftragte mit dem Hinweis, den Benutzer hierbei nicht durch die Hintertüre der IT-Sicherheit zur Preisgabe bislang nicht erhobener personenbezogener Daten, im Beispiel zur Herausgabe einer Mobilfunknummer, zu nötigen und greift hier, ohne ausdrückliche Erwähnung, den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO auf. Auf die hier in der Praxis nach wie vor bestehenden erheblichen Umsetzungsdefizite, meist subjektiv begründet durch die erwarteten Einschränkungen der Benutzerfreundlichkeit (Usability), wird nicht weiter eingegangen. 

Änderung voreingestellter Passwörter erzwingen

Die Anforderung an Administratoren und Entwickler, bei Inbetriebnahme eines Gerätes oder Dienstes die Änderung voreingestellter Passwörter zu erzwingen, schließt an die Empfehlung gegenüber Anwendern an, Standard-Passwörter immer zu ersetzen. An dieser Stelle der Handreichung zeigt sich damit sehr transparent, dass (auch) beim Thema der Passwortsicherheit viele Wege an das erwünschte Ziel führen und Verantwortliche gut beraten sind, bei der Gestaltung des Themas organisatorische und IT-technische Wege parallel einzuschlagen.

Fehlgeschlagene Anmeldeversuche protokollieren

Da erfolglose Anmeldeversuche in der Praxis auf interne oder externe Angriffe (Eindringversuche) hinweisen können, sollten diese protokolliert und regelmäßig, idealerweise systematisch, analysiert werden.

Keine fremden Passwörter sammeln

Mit der abschließenden Empfehlung des Landesdatenschutzbeauftragen an Online-Dienstanbieter, grundsätzlich keine fremden Passwörter zu sammeln und in Fällen, in denen Anmeldungen bei verschiedenen Diensten mit den gleichen Zugangsdaten erfolgen, standardisierte, sichere API-Autorisierungen und entsprechende Frameworks zum Austausch von Authentifizierungs- und Autorisierungsinformationen zu nutzen, geht die Handreichung über das Design sicherer hinaus und fokussiert nochmals direkt auf die weiterreichenden Anforderungen an die Sicherheit der Verarbeitung aus Art. 32 DSGVO.

Fazit

Anders als in seinen Empfehlungen an Anwender, geht der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg in seinen Hinweisen an Administratoren und Entwickler deutlich intensiver auf die wohl als „Stand-der-Technik“ zu wertenden Möglichkeiten der Sicherheit der Verarbeitung aus Sicht des Datenschutzes ein. Die Empfehlungen verdeutlichen zum einen die bereits heute umfangreichen Möglichkeiten zur Gestaltung starker Passwörter und zu einer entsprechenden Passwortsicherheit, zum anderen aber auch die Notwendigkeit zur Umsetzung dieser Themen in der Praxis. Verantwortliche können sich heute keinesfalls mehr auf „technische Unwissenheit“ oder eine „praktische Übung der gesamten Branche“ berufen.

Die Wirksamkeit, Vollständigkeit, Aktualität und Angemessenheit der Sicherheitsmaßnahmen sollte von den Verantwortlichen vor diesem Hintergrund regelmäßig und mit Blick auf die Accountability-Pflichten aus Art. 5 Abs. 2 DSGVO auch nachweislich im Rahmen geeigneter IT-Revisionen evaluieren werden.

Die Anforderungen an IT-Sicherheitsmaßnahmen und an die Sicherheit der Verarbeitung personenbezogener Daten stellen eine der zentralen Anforderungen des Datenschutzrechts dar. Die Publikationen der Aufsichtsbehörden und deren Prüfungsschwerpunkte (hierzu auch unser Beitrag: zur Prüfung des Bayerischen Landesamtes für Datenschutz zu Löschroutinen in ERP-Systemen) zeigen, dass auch die Blickrichtung der staatlichen Datenschützer immer stärker in diese Richtung gehen wird.

 

Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter