Passwortrichtlinie im betrieblichen Datenschutz: Tipps aus der Praxis

26.06.2017

Passwort

Die regelmäßige Eingabe von Passwörtern wird von vielen Mitarbeitern als lästig betrachtet. Als externer Datenschutzbeauftragter sind wir uns dem Problem bewusst: viel zu oft werden vom Nutzer einfache Passwörter festgelegt, die leicht zu erraten sind. Im Hinblick auf den betrieblichen Datenschutz stellt dies ein Risiko dar. Eine fachgerecht ausgearbeitete und umgesetzte Passwortrichtlinie sorgt für Abhilfe.

Ein entscheidendes Thema im betrieblichen Datenschutz nach BDSG sind Zugangskontrollen. Die Idee dahinter: Ausschließlich Mitarbeiter mit Berechtigung sollen Zugriff auf Daten mit Personenbezug erhalten. Ein Passwortschutz trägt dazu bei, Zugangskontrollen an IT-Systemen zuverlässig durchzuführen.

So manch Datenschutzbeauftragter oder auch Mitarbeiter aus der IT meint, dass sich eine Passwortrichtlinie ausschließlich um die Festlegung von Passwörtern dreht, d.h. es werden Vorgaben gemacht, die als Regeln für die Passwortwahl gelten. Tatsächlich können aber auch ganzheitliche Ansätze realisiert werden, die folgende drei sowie ggf. weitere Bereiche berücksichtigen.

Festlegung von Passwörtern: Im Mittelpunkt steht die Passwortsicherheit. Die Passwortrichtlinie gibt u.a. vor, welche Anforderungen im Unternehmen an Passwörter gestellt werden. Jeder Benutzer muss sein Passwort unter Berücksichtigung der Sicherheitsrichtlinie festlegen. Ziel sind sichere Passwörter, die u.a. unmöglich zu erraten sind. Ebenso kann ein regelmäßiger Passwortwechsel durch den Benutzer verankert werden.

Übermittlung von Passwörtern: Selbst das beste Passwort und regelmäßige Passwortwechsel nutzen wenig, wenn Daten unverschlüsselt durch fremde Netzwerke geleitet werden. Im Rahmen der Passwortrichtlinie kann bestimmt werden, welche Sicherheitsbestimmungen für Netzwerke und Verbindungen (über die Eine Übertragung von Passwörtern erfolgt) gelten müssen.

Speicherung von Passwörtern: Dasselbe gilt für die Speicherung von Passwörtern. Sie erfolgt am besten verschlüsselt und zugleich an einem sicheren Ort, wie z.B. auf einem eigenen Server oder bei einem zertifizierten Cloud-Anbieter.

Wie Angreifer den Passwortschutz umgehen

Die Bedeutung der genannten Bereiche erschließt sich spätestens bei einem Blick auf die Methoden, mit denen Angreifer versuchen Passwörter zu erbeuten und sich Zugriff zu Systemen zu verschaffen. So können sie an die gespeicherten Daten mit Personenbezug gelangen. Hier ein Auszug an Methoden der Angreifer, um den Passwortschutz zu überwinden.

Brute Force: Bei einer Brute Force Attacke wird versucht, Passwörter durch Bildung von Kombinationen aus Buchstaben, Satzzeichen, Sonderzeichen und Zahlen zu erraten.

Dictionary Attack: Beim Dictionary Attack ist es hingegen so, dass Angreifer mit Datenbanken arbeiten, die besonders häufig verwendete Passwörter enthalten. Ebenso werden schlichtweg Begriffe aus Wörterbüchern ausprobiert. Simple Wörter eignen sich somit nicht als Kennwort, die gebotene Passwortsicherheit ist gering.

Sniffing: Der Datenverkehr einschließlich Passworteingabe sowie der Eingabe vom Benutzername wird überwacht. Die Überwachung kann u.a. durch den Einsatz von Schadsoftware innerhalb der eigenen Systeme erfolgen. Ebenso durch Überwachung von Netzwerkverbindungen außerhalb der eigenen IT.

Social Engineering: Anstatt Passwörter zu erraten oder abzufangen, werden sie direkt bei den Anwendern erfragt. Angreifer täuschen ihre Opfer, indem sie sich beispielsweise am Telefon als Kollegen aus der IT ausgeben und angeblich zu Testzwecken Passwörter erfragen. Die Opfer handeln im guten Glauben und geben ihre Zugangsdaten (Benutzername und Passwort) preis, ohne sich der Risiken für den Datenschutz bewusst zu sein.

Tipps für eine hohe Passwortsicherheit

In zunehmend mehr Unternehmen werden von Betriebssystemen sowie anderen Programmen nur noch Passwörter akzeptiert, wenn diese z.B. auch Zahlen und Sonderzeichen beinhalten. Prinzipiell ist dies eine gute Vorgehensweise, da eine hohe Sicherheit vor der Dictionary Attack geboten wird.

Allerdings kann immer noch eine hohe Anfälligkeit gegenüber Brute Force Attacken bestehen. Deshalb ist es ratsam, dass der Administrator außerdem eine hohe Kennwortlänge festsetzt. Je länger das Passwort, desto mehr Zeit muss der Angreifer aufwenden. Sieht die Sicherheitsrichtlinie besonders lange Passwörter (z.B. mehr als 24 Zeichen) vor, sind Passwörter selbst mit stärksten Computern vermutlich nach Jahren noch nicht entschlüsselt.

Ein weiterer Tipp lautet, die Passwörter regelmäßig zu wechseln. Viele Betriebssysteme und Programme gestatten es, eine Wechselpflicht einzuführen, d.h. der Benutzer muss sein Passwort z.B. alle drei Monate wechseln. Ein häufiger Passwortwechsel dienst als zusätzlicher Schutz. Es sollte außerdem für den Administrator möglich sein, die zuletzt verwendeten Passwörter nicht mehr zuzulassen.

Zuverlässige Passwortrichtlinie entwickeln und einführen

Die Passwortrichtlinie kann z.B. der Datenschutzbeauftragte zusammen mit einem Administrator oder anderen Fachkräften aus der IT-Abteilung ausarbeiten. So lässt sich ein Schutz der Daten gewährleisten – und das auf Basis eines Konzepts, das innerhalb der jeweiligen IT-Struktur gut umzusetzen ist. Eine entsprechende Konfiguration der IT stellt sicher, dass Benutzer die Sicherheitsrichtlinie automatisch einhalten und somit der Zugriff auf Daten kontrolliert erfolgt.

Das Thema Passwortrichtlinie ist ein umfassendes und komplexes Themengebiet, insbesondere in Verbindung mit Zugriffskonzepten. Sie möchten mehr hierüber erfahren oder suchen Unterstützung bei der Einführung einer Sicherheitsrichtlinie? Als externer Datenschutzbeauftragter verfügen wir über umfassende Erfahrung und betreuen Unternehmen in vielen Deutschen Städten und Regionen, wie z.B. Dresden, Hamburg oder Stuttgart. Für weitere Informationen rund um den betrieblichen Datenschutz und unsere weiteren Leistungen erreichen Sie uns telefonisch unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular.

Schreibe einen Kommentar