Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit in Baden-Württemberg (LfDi BW) hat Mit­te Febru­ar 2019 über sei­nen Web­auf­tritt Hin­wei­se zum Umgang mit Pass­wör­tern ver­öf­fent­licht. Neben Hin­wei­sen zur Aus­wahl von siche­ren Pass­wör­tern, die sich an Pri­vat­per­so­nen rich­ten, ent­hält die Hand­rei­chung auch Emp­feh­lun­gen für Admi­nis­tra­to­ren und Ent­wick­ler zur Ver­bes­se­rung der Passwortsicherheit.

Anders als in sei­nen Emp­feh­lun­gen an Anwen­der, geht der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit in Baden-Württemberg in sei­nen Hin­wei­sen an Admi­nis­tra­to­ren und Ent­wick­ler deut­lich inten­si­ver auf die wohl als „Stand-der-Technik“ zu wer­ten­den Mög­lich­kei­ten der Sicher­heit der Ver­ar­bei­tung aus Sicht des Daten­schut­zes ein.” – Mat­thi­as Herkert

Mit sei­nen Hin­wei­sen zum Umgang mit Pass­wör­tern und zur Pass­wort­si­cher­heit rich­tet sich der Lan­des­da­ten­schutz­be­auf­trag­te nicht nur an pri­va­te IT-Nutzer (hier­zu auch Teil 1 unse­res Bei­trags mit Blick auf die Hin­wei­se an Betrof­fe­ne). Mit den in der Hand­rei­chung ange­führ­ten „Hin­wei­sen für Admi­nis­tra­to­ren und Ent­wick­ler“ bie­tet der LfDi BW ins­be­son­de­re für IT-Verantwortliche, die sich in ihrer täg­li­chen Arbeit nicht regel­mä­ßig mit den The­men der Pass­wort­si­cher­heit und Kryp­to­gra­fie beschäf­ti­gen kön­nen, einen guten Über­blick über den „Stand der Tech­nik“ im Bereich der Pass­wort­si­cher­heit, der zumin­dest für einen nicht uner­heb­li­chen Teil der Unter­neh­men bei ent­spre­chen­der Umset­zung die in der Pra­xis zum Teil noch bestehen­den Sicher­heits­lü­cken schlie­ßen würde.

Passwort-Richtlinie

Mit dem ers­ten Hin­weis an Admi­nis­tra­to­ren und Ent­wick­ler baut der Lan­des­da­ten­schutz­be­auf­trag­te  eine Brü­cke zu den Passwort-Empfehlungen der Anwen­der, indem er rät, die dort gege­be­nen Hin­wei­se in eine Passwort-Richtlinie einzubinden.

Kei­ne regel­mä­ßi­ge Ände­rung erzwingen

Mit sei­nem Hin­weis, die frü­her ver­tre­te­ne regel­mä­ßi­ge Ände­rung von Pass­wör­tern durch eine wirk­sa­me Sen­si­bi­li­sie­rung der Beschäf­tig­ten zu erset­zen, folgt der LfDi BW den  Emp­feh­lung des Natio­nal Cyber Secu­ri­ty Cent­re (NCSC) wie auch des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy des U.S. Depart­ment of Com­mer­ce (NIST) und schließt schlüs­sig an sei­ne ent­spre­chen­den Hin­wei­se für pri­va­te Anwen­der an.

Sper­rung nach feh­ler­haf­ter Anmeldung

Auch von der bis­lang noch in vie­len IT-Systemen übli­chen Account-Sperrung nach feh­ler­haf­ten Anmel­de­ver­su­chen wird abge­ra­ten.  Vor dem Hin­ter­grund zuneh­mend sys­te­ma­ti­sche­rer und auto­ma­ti­sier­te­rer Angrif­fe steigt die Ver­zö­ge­rung nach meh­re­ren fehl­ge­schla­ge­nen Anmel­de­ver­su­chen ste­tig an. .

Pass­wör­ter kei­nes­falls im Klar­text speichern

Mit einem aus­drück­li­chen Hin­weis auf mög­li­che Ver­stö­ße gegen Arti­kel 32 DSGVO wie auch die in die­sem Zusam­men­hang bereits ver­häng­ten Geld­bu­ßen (hier­zu auch unser Blog­bei­trag zur Daten­pan­ne beim sozia­len Netz­werk Knuddels.de) wird noch­mals aus­drück­lich auf die Not­wen­dig­keit der Nut­zung moder­ner Passwort-Hashing-Verfahren und die Sicher­stel­lung aus­rei­chen­der Entro­pie hingewiesen.

Siche­re Spei­che­rung von Passwort-Datenbanken

Eben­falls in die Blick­rich­tung der Pass­wort­spei­che­rung geht auch die Emp­feh­lung, Passwort-Datenbanken beson­ders zu sichern und hier auch auf der Ebe­ne der Admi­nis­tra­to­ren eine sehr restrik­ti­ve Rechte- und Rol­len­struk­tur anzu­wen­den. Inter­es­san­ter­wei­se ver­zich­tet der LfDi BW an die­ser Stel­le, anders als zuvor, auf einen Ver­weis auf Arti­kel 32 DSGVO und die in die­sem Zusam­men­hang ste­hen­den Bußgeldandrohungen.

Zwei-Faktor-Authentifizierung imple­men­tie­ren

Die For­de­rung „soweit mög­lich“ immer Zwei-Faktor-Authentifizierungen zu imple­men­tie­ren bzw. zu kon­fi­gu­rie­ren kom­bi­niert der Lan­des­da­ten­schutz­be­auf­trag­te mit dem Hin­weis, den Benut­zer hier­bei nicht durch die Hin­ter­tü­re der IT-Sicherheit zur Preis­ga­be bis­lang nicht erho­be­ner per­so­nen­be­zo­ge­ner Daten, im Bei­spiel zur Her­aus­ga­be einer Mobil­funk­num­mer, zu nöti­gen und greift hier, ohne aus­drück­li­che Erwäh­nung, den Grund­satz der Daten­mi­ni­mie­rung aus Art. 5 Abs. 1 lit. c DSGVO auf. Auf die hier in der Pra­xis nach wie vor bestehen­den erheb­li­chen Umset­zungs­de­fi­zi­te, meist sub­jek­tiv begrün­det durch die erwar­te­ten Ein­schrän­kun­gen der Benut­zer­freund­lich­keit (Usa­bi­li­ty), wird nicht wei­ter eingegangen.

Ände­rung vor­ein­ge­stell­ter Pass­wör­ter erzwingen

Die Anfor­de­rung an Admi­nis­tra­to­ren und Ent­wick­ler, bei Inbe­trieb­nah­me eines Gerä­tes oder Diens­tes die Ände­rung vor­ein­ge­stell­ter Pass­wör­ter zu erzwin­gen, schließt an die Emp­feh­lung gegen­über Anwen­dern an, Standard-Passwörter immer zu erset­zen. An die­ser Stel­le der Hand­rei­chung zeigt sich damit sehr trans­pa­rent, dass (auch) beim The­ma der Pass­wort­si­cher­heit vie­le Wege an das erwünsch­te Ziel füh­ren und Ver­ant­wort­li­che gut bera­ten sind, bei der Gestal­tung des The­mas orga­ni­sa­to­ri­sche und IT-technische Wege par­al­lel einzuschlagen.

Fehl­ge­schla­ge­ne Anmel­de­ver­su­che protokollieren

Da erfolg­lo­se Anmel­de­ver­su­che in der Pra­xis auf inter­ne oder exter­ne Angrif­fe (Ein­dring­ver­su­che) hin­wei­sen kön­nen, soll­ten die­se pro­to­kol­liert und regel­mä­ßig, idea­ler­wei­se sys­te­ma­tisch, ana­ly­siert werden.

Kei­ne frem­den Pass­wör­ter sammeln

Mit der abschlie­ßen­den Emp­feh­lung des Lan­des­da­ten­schutz­be­auf­tra­gen an Online-Dienstanbieter, grund­sätz­lich kei­ne frem­den Pass­wör­ter zu sam­meln und in Fäl­len, in denen Anmel­dun­gen bei ver­schie­de­nen Diens­ten mit den glei­chen Zugangs­da­ten erfol­gen, stan­dar­di­sier­te, siche­re API-Autorisierungen und ent­spre­chen­de Frame­works zum Aus­tausch von Authentifizierungs- und Auto­ri­sie­rungs­in­for­ma­tio­nen zu nut­zen, geht die Hand­rei­chung über das Design siche­rer hin­aus und fokus­siert noch­mals direkt auf die wei­ter­rei­chen­den Anfor­de­run­gen an die Sicher­heit der Ver­ar­bei­tung aus Art. 32 DSGVO.

Fazit

Anders als in sei­nen Emp­feh­lun­gen an Anwen­der, geht der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit in Baden-Württemberg in sei­nen Hin­wei­sen an Admi­nis­tra­to­ren und Ent­wick­ler deut­lich inten­si­ver auf die wohl als „Stand-der-Technik“ zu wer­ten­den Mög­lich­kei­ten der Sicher­heit der Ver­ar­bei­tung aus Sicht des Daten­schut­zes ein. Die Emp­feh­lun­gen ver­deut­li­chen zum einen die bereits heu­te umfang­rei­chen Mög­lich­kei­ten zur Gestal­tung star­ker Pass­wör­ter und zu einer ent­spre­chen­den Pass­wort­si­cher­heit, zum ande­ren aber auch die Not­wen­dig­keit zur Umset­zung die­ser The­men in der Pra­xis. Ver­ant­wort­li­che kön­nen sich heu­te kei­nes­falls mehr auf „tech­ni­sche Unwis­sen­heit“ oder eine „prak­ti­sche Übung der gesam­ten Bran­che“ berufen.

Die Wirk­sam­keit, Voll­stän­dig­keit, Aktua­li­tät und Ange­mes­sen­heit der Sicher­heits­maß­nah­men soll­te von den Ver­ant­wort­li­chen vor die­sem Hin­ter­grund regel­mä­ßig und mit Blick auf die Accountability-Pflichten aus Art. 5 Abs. 2 DSGVO auch nach­weis­lich im Rah­men geeig­ne­ter IT-Revisionen eva­lu­ie­ren werden.

Die Anfor­de­run­gen an IT-Sicherheitsmaßnahmen und an die Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten stel­len eine der zen­tra­len Anfor­de­run­gen des Daten­schutz­rechts dar. Die Publi­ka­tio­nen der Auf­sichts­be­hör­den und deren Prü­fungs­schwer­punk­te (hier­zu auch unser Bei­trag: zur Prü­fung des Baye­ri­schen Lan­des­am­tes für Daten­schutz zu Lösch­rou­ti­nen in ERP-Systemen) zei­gen, dass auch die Blick­rich­tung der staat­li­chen Daten­schüt­zer immer stär­ker in die­se Rich­tung gehen wird.

Autor: Mat­thi­as Her­kert, Lei­ter Fach­be­reich Con­sul­ting und exter­ner Datenschutzbeauftragter

Artikel zum selben Thema:

AI-Act – ein Überblick

20. Juni 2024|

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter