Passwortrichtlinie im betrieblichen Datenschutz: Tipps aus der Praxis

12.03.2022

Mitarbeiter empfinden die ständige Eingaben von Passwörtern oft als lästig. Als externer Datenschutzbeauftragter sind wir uns der Problematik bewusst: Häufig werden vom Nutzer einfache Passwörter festgelegt, die leicht zu erraten sind. Im Hinblick auf betrieblichen Datenschutz und Datensicherheit ist dies ein Risiko. Eine fachgerecht ausgearbeitete und umgesetzte Passwortrichtlinie verspricht Abhilfe.

Ein entscheidendes Thema im betrieblichen Datenschutz nach BDSG sind Zugangskontrollen. Ausschließlich Mitarbeiter mit Berechtigung sollen Zugriff auf Daten mit Personenbezug erhalten. Ein Passwortschutz trägt dazu bei, Zugangskontrollen an IT-Systemen zuverlässig durchzuführen.

Einige interne Datenschutzbeauftragte oder auch Mitarbeiter aus der IT meinen, dass sich eine Passwortrichtlinie ausschließlich um die Festlegung von Passwörtern dreht, d.h. es werden Vorgaben gemacht, die als Regeln für die Passwortwahl gelten. Tatsächlich sind aber auch ganzheitliche Ansätze realisierbar, die folgende drei sowie ggf. weitere Bereiche berücksichtigen.

  • Pflicht zur Nutzung von Passwörtern: Es besteht die Verpflichtung, jedes Gerät, das einen Zugriff auf personenbezogene Daten ermöglichen kann, per Passwortschutz abzusichern.
  • Festlegung von Passwörtern: Im Mittelpunkt steht die Passwortsicherheit. Die Passwortrichtlinie gibt u.a. vor, welche Anforderungen im Unternehmen an Passwörter gestellt werden. Jeder Benutzer muss sein Passwort unter Berücksichtigung der Sicherheitsrichtlinie festlegen. Ziel sind sichere Passwörter, die unmöglich zu erraten sind. Ebenso kann ein regelmäßiger Passwortwechsel durch den Benutzer verankert werden.
  • Übermittlung von Passwörtern: Selbst das beste Passwort und regelmäßige Passwortwechsel nutzen wenig, wenn Daten unverschlüsselt durch fremde Netzwerke geleitet werden. Im Rahmen der Passwortrichtlinie kann bestimmt werden, welche Sicherheitsbestimmungen für Netzwerke und Verbindungen (über die eine Übertragung von Passwörtern erfolgt) gelten müssen.

Speicherung von Passwörtern: Dasselbe gilt für die Speicherung von Passwörtern. Sie erfolgt am besten verschlüsselt und zugleich an einem sicheren Ort, wie z.B. auf einem eigenen Server oder bei einem zertifizierten Cloud-Anbieter.

Wie Angreifer den Passwortschutz umgehen

Die Bedeutung der genannten Bereiche erschließt sich spätestens beim Blick auf die Methoden, mit denen Angreifer Passwörter erbeuten. So können sie sich Zugriff auf Systeme verschaffen und an gespeicherte Daten mit Personenbezug gelangen. Hier ein Auszug an Methoden der Angreifer, um den Passwortschutz zu überwinden.

  • Brute Force: Bei einer Brute Force Attacke wird versucht, Passwörter durch Bildung von Kombinationen aus Buchstaben, Satzzeichen, Sonderzeichen und Zahlen zu erraten.
  • Dictionary Attack: Beim Dictionary Attack ist es hingegen so, dass Angreifer mit Datenbanken arbeiten, die besonders häufig verwendete Passwörter enthalten. Ebenso werden schlichtweg Begriffe aus Wörterbüchern ausprobiert. Simple Wörter eignen sich somit nicht als Kennwort, die gebotene Passwortsicherheit ist zu gering.
  • Sniffing: Der Datenverkehr einschließlich Passworteingabe sowie der Eingabe vom Benutzernamen wird überwacht. Die Überwachung kann u.a. durch den Einsatz von Schadsoftware innerhalb der eigenen Systeme erfolgen. Ebenso durch Überwachung von Netzwerkverbindungen außerhalb der eigenen IT. Ein weiteres Risiko sind Hardware Keylogger, die sich z.B. zwischen Computer und Tastatur verstecken.
  • Social Engineering: Anstatt Passwörter zu erraten oder abzufangen, werden sie direkt bei den Anwendern erfragt. Angreifer täuschen ihre Opfer, indem sie sich beispielsweise am Telefon als Kollegen aus der IT ausgeben und angeblich zu Testzwecken Passwörter erfragen. Die Opfer handeln im guten Glauben und geben ihre Zugangsdaten (Benutzername und Passwort) preis, ohne sich der Risiken für den Datenschutz bewusst zu sein.

Tipps für eine hohe Passwortsicherheit

In zunehmend mehr Unternehmen werden von Betriebssystemen und Anwendungen nur noch Passwörter akzeptiert, wenn diese neben Buchstaben auch Zahlen und Sonderzeichen beinhalten. Prinzipiell ist dies eine gute Vorgehensweise, da eine höhere Sicherheit vor der Dictionary Attack geboten wird. Nachfolgende Tipps können zu einer noch höheren Passwortsicherheit beitragen.

  • Sicherheitsstufe festlegen: Trotz der Verwendung von Sonderzeichen kann eine hohe Anfälligkeit gegenüber Brute Force Attacken bestehen. Deshalb ist es ratsam, dass der Administrator außerdem eine hohe Kennwortlänge festsetzt. Je länger das Passwort, desto mehr Zeit muss der Angreifer aufwenden. Sieht die Sicherheitsrichtlinie besonders lange Passwörter (z.B. mehr als 24 Zeichen) vor, sind Passwörter selbst mit stärksten Computern vermutlich nach Jahren noch nicht entschlüsselt.
  • Vorgeschriebene Passwortänderungen: Ein ergänzender Ansatz besteht darin, Passwörter regelmäßig zu wechseln. Viele Betriebssysteme und Programme unterstützen eine Wechselpflicht, d.h. der Benutzer muss sein Passwort nach einem bestimmten Zeitraum ändern. Ein häufiger Passwortwechsel dienst als zusätzlicher Schutz. Der Administrator sollte außerdem festlegen können, dass bereits zuvor verwendete Passwörter vom System nicht akzeptiert werden.
  • Zulässige Passwort-Manager: Angesichts der heutigen Passwortflut gelangen in vielen Unternehmen sogenannte Passwortmanager zum Einsatz. Dank solcher Programme müssen sich Mitarbeiter nicht sämtliche Passwörter merken. Gleichzeitig wird sichergestellt, dass sich Mitarbeiter die Passwörter nicht anderweitig notieren. Allerdings könnte die Software ein Sicherheitsrisiko darstellen, weshalb nur der Einsatz ausgewählter Passwort-Manager zur Authentisierung gestattet werden sollte.
  • Arbeitsplatz sperren: Es ist entscheidend, dass Mitarbeiter ihre Arbeitsgeräte sperren, sollten sie ihren Platz verlassen. Nur dann ist der Passwortschutz aktiv und gewährleistet eine Kontrolle über den Zugriff. Bei Mobilgeräten, wie z.B. Smartphones oder Tablets, sollte nach Inaktivität ebenfalls ein Sicherheitsmechanismus greifen. Dies kann beispielsweise die Entsperrung via Passworteingabe oder Gesichtserkennung sein.
  • Mehrfache Fehleingaben begrenzen: Es kommt vor, dass sich Anwender bei der Passworteingabe vertippen. Im Regelfall sind deshalb mehrere Anmeldeversuche zulässig. Diese sollten jedoch begrenzt sein, damit Angreifer keine direkten Brute Force oder Dictionary Attacken durchführen können.

Zwei-Faktor-Authentisierung

Beim Zugriff auf sicherheitskritische Anwendungen (z.B. Payment) empfiehlt sich die Zwei-Faktor-Authentisierung (2FA). Zur vollständig Legitimation muss der Nutzer nicht nur sein Passwort eingeben. Die Anmeldung ist durch eine zweite Handlung zu betätigen, wie z.B. durch Eingabe eines Codes, der ihm per E-Mail oder SMS zugesendet wird.

IT-Sicherheitskonzept für eine ganzheitliche Absicherung

Nutzerzugänge sind nur einer von zahlreichen Berührungspunkten, die Angriffsfläche bieten. Zur Erreichung und Aufrechterhaltung eines hohen Niveaus in der Datensicherheit empfehlen sich ganzheitliche Ansätze, wie z.B. per Umsetzung eines IT-Sicherheitskonzepts (z.B. BSI IT-Grundschutz) empfehlen. Darin lässt sich auch eine Richtlinie zur Passwortvergabe verankern.

Zuverlässige Passwortrichtlinie entwickeln und einführen

Eine Passwortrichtlinie kann z.B. der Datenschutzbeauftragte zusammen mit einem Administrator oder anderen Fachkräften aus der IT-Abteilung erarbeiten. So lässt sich ein Schutz der Daten gewährleisten – und das auf Basis eines Konzepts, das innerhalb der jeweiligen IT-Struktur gut umzusetzen ist. Eine entsprechende Konfiguration der IT stellt sicher, dass Benutzer die Sicherheitsrichtlinie automatisch einhalten und somit der Zugriff auf Daten kontrolliert erfolgt.

Im Sinne der DSGVO kann eine IT-Richtlinie als „technische und organisatorische Maßnahme“ dienen, wenn ein schriftlicher Nachweis besteht. Diesbezüglich empfiehlt es sich, von Mitarbeitern die Akzeptanz der Richtlinie mit Unterschrift bestätigen zu lassen.

Das Thema Passwortrichtlinie ist ein umfassendes und komplexes Themengebiet, insbesondere in Verbindung mit Zugriffskonzepten. Sie möchten mehr hierüber erfahren oder suchen Unterstützung bei der Einführung einer Sicherheitsrichtlinie? Als externer Datenschutzbeauftragter verfügen wir über umfassende Erfahrung und betreuen Unternehmen in vielen Deutschen Städten und Regionen, wie z.B. Dresden, Hamburg oder Stuttgart. Für weitere Informationen rund um den betrieblichen Datenschutz und unsere weiteren Leistungen erreichen Sie uns telefonisch unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular.