Moderner Passwortschutz nach dem aktuellen Stand der Technik

Warum Passwörter Ihre Zugänge nicht mehr zeitgemäß absichern

Viele Unternehmen sind sich unsicher, wenn es um die Anforderungen der DSGVO beim Passwortschutz geht. Dabei ist der Trend eindeutig: Erste Firmen erhielten schon Strafen, weil sie keine Multi-Faktor-Authentifizierung (MFA) umgesetzt hatten. Wir geben Ihnen daher Tipps an die Hand, wie Sie Accountsicherheit in Ihrem Unternehmen sicherstellen.

Die reine Nutzung von Passwörtern zur Absicherung von Log-ins ist in den vergangenen Jahren in Verruf geraten. Mit der simplen Kombination aus Nutzername und Passwort kommt jeder klar, das ändert aber nichts daran, dass sie aus Sicht von IT-Security-Experten ein großes Risiko darstellt. Einfache Passwörter lassen sich zwar leicht merken, bieten aber kaum Sicherheit. Komplex aufgebaute Passwörter kann dagegen kaum jemand im Gedächtnis behalten, dafür bieten sie einen höheren Schutz vor Cyberangriffen. Fließen weitere Aspekte wie der Diebstahl von Zugangsdaten und der illegale Handel damit in die Überlegungen ein, dann schneiden herkömmliche Passwörter sogar noch weit schlechter ab.

In mehreren Blog-Beiträgen sind wir bereits auf diese Probleme eingegangen. Diesmal beschäftigen wir uns mit der Frage, wie es mit den unter anderem von der Datenschutz-Grundverordnung (DSGVO) geforderten Sicherheitsmaßnahmen nach dem „Stand der Technik“ aussieht. Müsste diesen Vorgaben eine weitere Nutzung herkömmlicher Passwörter nicht zuwiderlaufen?

Was die DSGVO zum Stand der Technik beim Passwortschutz sagt

Die DSGVO gilt seit dem 25. Mai 2018, ihr wichtigstes Ziel ist hierbei der Schutz personenbezogener Daten europäischer Bürger. Um diesen zu gewährleisten, schreibt die DSGVO die Nutzung „entsprechender technischer und organisatorischer Maßnahmen“ vor, die dem „Stand der Technik“ entsprechen müssen. Was sie damit aber genau meint, steht dort nicht. Das liegt daran, dass den Autoren ein Aspekt sehr wohl bewusst war: IT-Sicherheit ist ein äußerst dynamisches Feld, das sich laufend ändert. Mitarbeiter in Unternehmen, die sich mit IT-Security beschäftigen, müssen deshalb mit der aktuellen Bedrohungslage und den technischen Entwicklungen Schritt halten. Was heute noch gilt, kann morgen schon überholt sein.

Immerhin drohen empfindliche Strafen, wenn die von einer Firma getroffenen Sicherheitsmaßnahmen zum Schutz der von ihr verarbeiteten und gespeicherten personenbezogenen Daten als unzureichend eingestuft werden. Dass die DSGVO kein Papiertiger ist, haben bereits einige Unternehmen erfahren müssen.

Warum Datenschutzbehörden bereits saftige Strafen verhängten

Beispielsweise hat die niederländische Datenschutzbehörde (Dutch Data Protection Authority, DPA) der Fluggesellschaft Transavia Airlines eine Strafe in Höhe von 400.000 Euro wegen mangelhafter Sicherheitsmaßnahmen aufgebrummt. Die Behörde wirft der Fluglinie vor, dass es einem Hacker 2019 wegen dieser Mängel gelungen sei, in die Systeme der Airline einzudringen. Dort hätte er auf die Daten von bis zu 25 Millionen Passagieren zugreifen können. Nach dem Diebstahl von 83.000 Datensätzen konnte der Angriff aber zum Glück gestoppt werden.

Die niederländische Behörde nennt drei Gründe für die Strafe: Erstens sei das verwendete Passwort viel zu leicht gewesen. Zweitens habe es ausgereicht, alleine mit diesem einen Passwort Zugang zu dem System zu erhalten – es sei keine Multi-Faktor-Authentifizierung vorhanden gewesen. Drittens habe der Angreifer auf weitere IT-Systeme zugreifen können, nachdem er sich erfolgreich eingeloggt hatte.

„Es ist sehr bedenklich, dass ein Hacker in der Lage war, auf die persönlichen Daten von Millionen von Menschen zuzugreifen, indem er mit einem sehr einfachen Passwort in das System einbrach. Eines, das seit Jahren an der Spitze der Liste der meistgenutzten Passwörter steht – wie ,123456‘, ,Welcome‘ und ,password‘“, kritisierte das DPA-Vorstandsmitglied Katja Mur die Fluggesellschaft. „Und das ist noch nicht alles: Andere wichtige Barrieren, die es einem Hacker schwer gemacht hätten, sich Zugang zu verschaffen, waren nicht vorhanden“, so Mur.

In Norwegen musste eine Gemeinde ebenfalls etwa 400.000 Euro Strafe zahlen, weil es wegen „defizitärer Sicherheitsmaßnahmen“ zu einer Datenpanne gekommen war. Etwa 30.000 Dokumente wurden von Angreifern gelöscht. Die Gemeinde verfügte „über keine zufriedenstellenden Back-up- und Protokollierungssysteme“ und verwendete zudem „bei der Anmeldung in ihre Systeme keine Zwei-Faktor-Authentisierung“.

Wo Unternehmen Tipps zu modernen IT-Sicherheitsmaßnahmen finden

Die genannten Beispiele bilden nur die Spitze des Eisbergs. Weitere Fälle finden sich unter anderem im DSGVO-Portal im Bereich „Bußgelder“. Sie belegen, dass jetzt schon eine Reihe der zuständigen Datenschutzbehörden in Europa veraltete Sicherheitsmaßnahmen wie die alleinige Nutzung von Passwörtern als nicht mehr dem „Stand der Technik“ entsprechend einstufen. Es ist nur eine Frage der Zeit, bis auch andere Behörden diese Auffassung übernehmen und entsprechend handeln.

Aufgrund der aktuellen Lage hat der Bundesverband IT-Sicherheit e.V. (Teletrust) eine „Handreichung zum ‚Stand der Technik‘“ in PDF-Form veröffentlicht. Sie soll ein „Ausgangspunkt bei der Ermittlung von gesetzlichen IT-Sicherheitsmaßnahmen, die dem Stand der Technik entsprechen“ sein, kann aber naturgemäß keine „technische, organisatorische oder rechtliche Beratung oder Bewertung im Einzelfall“ ersetzen. Trotzdem gibt sie viele Tipps zu einer umfassenden und modernen Absicherung von IT-Systemen.

Wieso es höchste Zeit für eine individuelle Betrachtung des Schutzbedarfs ist

Die darin zusammengetragenen Hinweise erweisen sich als sehr hilfreich. So weisen die Autoren ausdrücklich darauf hin, dass es zulässig sein kann, „bei der Auswahl der Schutzmaßnahmen auch wirtschaftliche Aspekte zu berücksichtigen“. Ob eine Maßnahme wirtschaftlich ist, könne „nur durch individuelle Betrachtung des eigenen Schutzbedarfes sowie der Realisierungskosten erforderlicher Maßnahmen festgestellt werden“. Zudem sollte die Haftungsfrage nicht unter den Tisch fallen. Die DSGVO hat die Haftung ausgeweitet, sodass sie für Unternehmer existenzgefährdende Ausmaße annehmen kann, wenn sie erforderliche Sicherheitsmaßnahmen nicht belegen können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinem IT-Grundschutz-Kompendium (PDF) ebenfalls den Einsatz einer Multi-Faktor-Authentifizierung für Benutzerkennungen mit erweiterten Berechtigungen (zum Beispiel Administratoren) sowie für den Schutz von Verbindungen zur Fernwartung. Diese sollten mit zusätzlichen Maßnahmen wie etwa zeitbasierten Einmal-Tokens geschützt werden. Dasselbe gelte aber auch für die Anmeldung an Clients.

Die Ausführungen zeigen, dass es höchste Zeit ist, den Umstieg in eine moderne Multi-Faktor-Authentifizierung einzuleiten. Sonst drohen möglicherweise bald hohe Strafen. NCP hat eine Authenticator-App entwickelt, die zahlreiche Plattformen mit TOTP-Support unterstützt und Einmal-Codes in Sekundenschnelle generiert. Sprechen Sie uns an. Wir stellen Ihnen gerne die Vorteile vor.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.