Umgang mit Passwörtern – Art 32 DSGVO Sicherheit der Verarbeitung

Lesezeit: ca. 7 Minuten

Passwörter als Authentisierungsmittel sind nach wie vor ein zentrales Sicherheitselement im Internet und oft das wesentlichste oder gar einzige, das vor Zugriffen durch Unbefugte schützt. Dieser Beitrag enthält sowohl Hinweise zur Passwortauswahl für Nutzer, als auch Hinweise für Dienstanbieter und Entwickler zum Umgang und zur Speicherung von Passwörtern.

Rechtsgrundlage

Nach Artikel 32 DSGVO stellt der Authentifizierungsvorgang mit Nutzername und Passwort eine technische und organisatorische Maßnahme dar. Sind die eingesetzten Maßnahmen durch den Verantwortlichen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste unzureichend, können Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens drohen. So sind Verantwortliche dazu angehalten, angemessene technische und organisatorische Maßnahmen vorzunehmen.

Hinweise zur Passwortauswahl

Das Risiko, dass Passwörter von Dritten erraten oder ermittelt werden könnten, drängt die Nutzer dazu, selbst starke Passwörter auszuwählen. Der baden-württembergische Landesdatenschutzbeauftragte stellt dafür einige Regeln und Möglichkeiten auf.

Starke Passwörter wählen

Je wichtiger das Passwort für den Nutzer und seine Datensicherheit ist, desto länger sollte es sein. Im besten Fall verwendet man aus 12 oder mehr Zeichen bestehende Passwörter, die Klein- und Großbuchstaben, Ziffern und Satzzeichen enthalten. Umlaute und Sonderzeichen sind nicht zu empfehlen, da sie auf unterschiedlichen Tastaturen bzw. Geräten, teilweise unterschiedlich eingegeben werden müssen.

Es kommt nicht selten vor, dass Angreifer sich Zugriff auf Passwort-Datenbanken von Online-Diensten verschaffen. Auch wenn die Anbieter die Passwörter nicht im Klartext speichern sollten, gelingt es durch Ausprobieren die passenden Passwörter zu finden. Je nach Verfahren, das vom Verantwortlichen gewählt wurde, können Hacker mehrere Milliarden Passwörter pro Sekunde ausprobieren.

Daher ist es entscheidend starke, geeignete Passwörter zu wählen. Der Landesdatenschutzbeauftragte schlägt einige Methoden vor, die das Merken solcher Passwörter erleichtern können.

Die erster-Buchstabe-Methode:

Bei einem Satz werden von jedem Wort jeweils  der erste oder ein anderer markanter Buchstabe genommen. Als Beispiel wird genannt.

Ich muss mir selbst 1 tollen Satz ausdenken, das hier 1st nur eines von 42 Beispielen.

Das Passwort wäre in diesem Fall:  Imms1tSa,dh1nev42B.

Sätze, die jemand erraten könnte, die etwas mit ihrem Umfeld zu tun haben, sind zu vermeiden. Wenn ein Auszug aus einem bekannten Gedicht, ein Spruch, eine Liedzeile oder ähnliches gewählt wird, sollte der Inhalt etwas verfälscht werden.

Die ganzer-Satz-Methode:

Für schnelle Tipper empfiehlt sich auch ein ausgeschriebener Satz. Hilfreich sind das Einbauen von sinnlosen Phantasiewörtern und zufällig aneinandergereihten Wörtern. Das genannte Beispiel:

Die-13-lilablassroten-Beispielpasswoerter-nehme-ICH-nieniemals!

Passwortgenerator:

In einigen Browsern besteht die Möglichkeit, zufällige Passwörter generieren zu lassen, welche dann in einem Passwort-Safe gespeichert werden, ohne dass der Nutzer sie sieht. Sofern der Passwort-Safe die Daten gut verschlüsselt und kein Dritter Zugriff auf die Daten erlangt, ist dies ein sicheres Verfahren und mitunter der komfortabelste Weg für den Nutzer.

Passwort-Karten und –Schablonen:

Vorsicht ist geboten im Umgang mit Passwort-Karten und –Schablonen. Es gibt zwar zahlreiche Anbieter, oftmals kann jedoch nicht garantiert werden, dass jeder Nutzer unterschiedliche Zeichen und Schablonen verwendet. In diesem Fall ist die Methode nicht sicher.

Keine doppelte Verwendung

Für Nutzer ist es essentiell für alle Accounts bzw. Dienste eigene Passwörter zu verwenden. In den letzten Jahren schafften es Angreifer immer wieder echte Passwörter zu kopieren, da Internet-Portale häufig Sicherheitslücken aufweisen. So sind mehrere Milliarden Passwörter öffentlich bekannt. Angreifer können sich so bei anderen Diensten unrechtmäßiger Weise anmelden oder ähnliche Passwörter leichter knacken.

Zur Überprüfung, ob Ihre E-Mail-Adresse betroffen ist, empfiehlt die Aufsichtsbehörde zwei Internetseiten:

https://sec.hpi.de/ilc/

https://haveibeenpwned.com/

Passwort-Safe

Es bietet sich an, Passwörter in einem Passwort-Safe zu speichern, denn niemand kann sich hunderte Passwörter merken. Programme wie KeePass sind als Freie-und Open-Source-Software kostenlos erhältlich und bei einigen Betriebssystemen werden außerdem direkt welche mitgeliefert. Auch Web-Browser unterstützen häufig die Speicherung von Passwörtern, hier sollte allerdings mit einem Master-Passwort gesichert werden.

Keine Verwendung von Wörterbüchern

Passwörter sollten keine Begriffe, noch Begriffskombinationen aus Wörterbüchern enthalten. Diese können von Angreifern durch schnelles Ausprobieren in kurzer Zeit erraten werden. Eine Ausnahme besteht bei sehr langen aus zufällig aneinandergereihten, nicht zusammenhängenden Begriffen bestehenden Passwörtern.

Keine Weitergabe

Generell sollten Passwörter nie weitergegeben werden. Außerdem sind sie nicht in unverschlüsselten E-Mails zu verschicken oder in ungeschützten Dokumenten zu speichern.

Nur im Sonderfall ändern

In der Vergangenheit forderten Anbieter regelmäßig zur Änderung von Passwörtern auf. Dies gilt heute als überholt, führte es nur zur Notierung der Passwörter im Klartext und zur Wahl besonders leichter und kurzer Passwörter. Nur wenn Anzeichen, dass Passwörter von Dritten erfasst worden sein könnten, vorliegen, sollte zu einer Änderung aufgefordert werden und dieser vom Nutzer nachgegangen werden.

Sichere Passwörter auf Smartphones

Auf Tablets und Smartphones sind Passwörter meist schwieriger einzugeben, dennoch sollten sichere, starke Passwörter gewählt werden. PINs oder Wischmuster entsprechen in der Regel nicht dem ausreichenden Sicherheitsniveau. Gesichtserkennung und Fingerabdruckscanner ermöglichen, dass Passwörter nicht oft eingegeben werden müssen, womit auch längere Passwörter eigentlich zumutbar sein sollten.

Standard-Passwörter ändern

Bei von Dienstleistern vergebenen Standard-Passwörtern handelt es sich häufig nicht um zufällig generierte, sondern um auf allen Geräten identische Passwörter. Diese müssen bei Inbetriebnahme immer sofort geändert werden.

Lügen bei Sicherheitsfragen

Online-Dienste fordern für Sicherheitsfragen oft persönliche Informationen. Diese sind für Angreifer anhand des Umfelds meist leicht zu ermitteln. So empfiehlt es sich bei persönlichen Sicherheitsfragen zu lügen und falsche Angaben, gemeinsam mit den Passwörtern, im Passwort-Safe zu speichern.

Zwei-Faktor-Authentifizierung

Einen weiteren Schutz vor Angreifern bieten viele Web-Dienste mit der Zwei-Faktor-Authentifizierung (2FA) an. Bei Aktivierung der 2FA wird bei jeder Anmeldung mit einem neuen Gerät das Eingeben eines zweiten Faktors gefordert, welcher auf einem anderen Kommunikationsweg übertragen wird. So reicht die Kenntnis des Passworts für einen Angreifer nicht mehr aus, um auf ein Nutzerkonto zuzugreifen.

Hinweise für Administratoren und Entwickler

  1. Passwort-Richtlinie

Verantwortliche sollten in einer Passwort-Richtlinie die obigen Hinweise einbinden und die Nutzer anhalten, sie zu beachten. Sofern möglich und sinnvoll sollte die Beachtung der Hinweise erzwungen werden.

  1. Kein Erzwingen regelmäßiger Änderungen

Wie bereits besagt ist eine regelmäßige Änderung von Passwörtern mittlerweile überholt. Verantwortliche sollten daher ihre Nutzer nicht grundlos auffordern, das Passwort zu ändern, sondern viel mehr für sichere Passwörter sensibilisieren.

  1. Sperrung bei fehlgeschlagener Anmeldung

Eine Account-Sperrung, die eine manuelle Freischaltung erfordert, kann nach mehreren fehlgeschlagenen Anmeldeversuchen sinnvoll sein. Auch dies kann jedoch durch Angreifer genutzt werden, indem so auch dem betroffenen Nutzer selbst der Zugriff auf sein Konto unmöglich gemacht wird. Stattdessen ist es oft sinnvoller, nach eine gewissen Anzahl an fehlgeschlagenen Versuchen eine stetig steigende Verzögerung einzufügen.

  1. Passwörter nie im Klartext speichern

Entwickler müssen die Zugangsdaten bei der Registrierung zum Vergleich beim Login speichern. Passwörter dürfen jedoch nie im Klartext gespeichert werden. Es sind moderne Verfahren wie Argon2 zu nutzen, wofür fertige Libraries für alle gängigen Programmiersprachen verfügbar sind. Es sollten etablierte Software-Bibliotheken und Verfahren für die Speicherung genutzt werden.

Unzureichend gesicherte Passwörter sind ein Verstoß gegen Artikel 32 DSGVO und können sogar Bußgelder zur Folge haben.

Folgende Links listet die Aufsichtsbehörde auf:

https://de.wikipedia.org/wiki/Argon2

https://github.com/P-H-C/phc-winner-argon2

https://de.wikipedia.org/wiki/Salt_(Kryptologie)

  1. Begrenzter Zugriff auf Passwort-Datenbanken

Passwort-Datenbanken müssen in besonderer Weise gesichert werden. Nur einige ausgewählte Mitarbeiter sollten einen so eingeschränkten Zugriff wie möglich haben. Es muss in jedem Fall verhindert werden, dass Daten kopiert werden können.

  1. 2FA implementieren

Administratoren und Entwickler sollten nach Möglichkeit die bereits erwähnte Zwei-Faktor-Authentifizierung implementieren. Dabei sollten Nutzer jedoch nicht zur Herausgabe ihrer Mobilfunknummer genötigt werden. Es sind etablierte Standards zu nutzen (z.B. RFC 6238, Time-based One-time Password Algorithmus  (TOTP)).

Der von der Behörde genannte Link ist:

https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus

  1. Erzwingen von Änderung voreingestellter Passwörter

In manchen Fällen müssen bei Inbetriebnahme eines Gerätes oder Dienstes voreingestellte Passwörter durch den Nutzer geändert werden. Verantwortliche sollten diese Änderung möglichst erzwingen.

Die vorgegebenen Passwörter sollten nicht einfach den Namen der Anwendung tragen, sondern eine klare Aufforderung zur Änderung enthalten, wie etwa „Setze-sicheres-Passwort-in-Produktion“. Dies ist vor allem entscheidend, wenn Anwendungen aufgrund Entwicklungstests und ähnlichem außerhalb der Produktion weitergegeben werden.

  1. Protokoll über missglückte Anmeldeversuche

Fehlgeschlagene Anmeldeversuche können Hinweise auf Angriffsversuche sein. Daher sind diese zu protokollieren und regelmäßig zu analysieren. Nutzer sollten auf fehlgeschlagene Anmeldeversuche hingewiesen werden.

  1. Keine fremden Passwörter sammeln/ weitergeben

Verantwortliche dürfen generell keine fremden Passwörter verarbeiten. Bei der Anmeldung bei verschiedenen Diensten mit gleichen Zugangsdaten bieten sich etablierte Verfahren, wie OAuth2 oder SAML2 (siehe http://www.oasis-open.org/committees/security/ ), an.

Im Beispielfall eines Gerätes, das sich in einem lokalen WLAN-Netz anmeldet, darf jenes die Zugangsdaten des Netzwerks auf keinen Fall an den Hersteller übertragen und zwar weder im Klartext, noch in sonstiger Form.

Weitere Informationen: https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen