Passwortrichtlinie im betrieblichen Datenschutz: Tipps aus der Praxis

26.06.2017

Das ständige Eingeben von Passwörtern betrachten Mitarbeiter oft als lästig. Als externer Datenschutzbeauftragter sind wir uns der Problematik bewusst: viel zu oft werden vom Nutzer einfache Passwörter festgelegt, die leicht zu erraten sind. Im Hinblick auf den betrieblichen Datenschutz stellt dies ein Risiko dar. Eine fachgerecht ausgearbeitete und umgesetzte Passwortrichtlinie verspricht Abhilfe.

Ein entscheidendes Thema im betrieblichen Datenschutz nach BDSG sind Zugangskontrollen. Die Idee dahinter: Ausschließlich Mitarbeiter mit Berechtigung sollen Zugriff auf Daten mit Personenbezug erhalten. Ein Passwortschutz trägt dazu bei, Zugangskontrollen an IT-Systemen zuverlässig durchzuführen.

So manch Datenschutzbeauftragter oder auch Mitarbeiter aus der IT meint, dass sich eine Passwortrichtlinie ausschließlich um die Festlegung von Passwörtern dreht, d.h. es werden Vorgaben gemacht, die als Regeln für die Passwortwahl gelten. Tatsächlich sind aber auch ganzheitliche Ansätze realisierbar, die folgende drei sowie ggf. weitere Bereiche berücksichtigen.

Pflicht zur Nutzung von Passwörtern: Es besteht die Verpflichtung, jedes Gerät, das einen Zugriff auf personenbezogene Daten ermöglichen kann, per Passwortschutz abzusichern.

Festlegung von Passwörtern: Im Mittelpunkt steht die Passwortsicherheit. Die Passwortrichtlinie gibt u.a. vor, welche Anforderungen im Unternehmen an Passwörter gestellt werden. Jeder Benutzer muss sein Passwort unter Berücksichtigung der Sicherheitsrichtlinie festlegen. Ziel sind sichere Passwörter, die unmöglich zu erraten sind. Ebenso kann ein regelmäßiger Passwortwechsel durch den Benutzer verankert werden.

Übermittlung von Passwörtern: Selbst das beste Passwort und regelmäßige Passwortwechsel nutzen wenig, wenn Daten unverschlüsselt durch fremde Netzwerke geleitet werden. Im Rahmen der Passwortrichtlinie kann bestimmt werden, welche Sicherheitsbestimmungen für Netzwerke und Verbindungen (über die eine Übertragung von Passwörtern erfolgt) gelten müssen.

Speicherung von Passwörtern: Dasselbe gilt für die Speicherung von Passwörtern. Sie erfolgt am besten verschlüsselt und zugleich an einem sicheren Ort, wie z.B. auf einem eigenen Server oder bei einem zertifizierten Cloud-Anbieter.

Wie Angreifer den Passwortschutz umgehen

Die Bedeutung der genannten Bereiche erschließt sich spätestens bei einem Blick auf die Methoden, mit denen Angreifer versuchen Passwörter zu erbeuten und sich Zugriff zu Systemen zu verschaffen. So können sie an die gespeicherten Daten mit Personenbezug gelangen. Hier ein Auszug an Methoden der Angreifer, um den Passwortschutz zu überwinden.

Brute Force: Bei einer Brute Force Attacke wird versucht, Passwörter durch Bildung von Kombinationen aus Buchstaben, Satzzeichen, Sonderzeichen und Zahlen zu erraten.

Dictionary Attack: Beim Dictionary Attack ist es hingegen so, dass Angreifer mit Datenbanken arbeiten, die besonders häufig verwendete Passwörter enthalten. Ebenso werden schlichtweg Begriffe aus Wörterbüchern ausprobiert. Simple Wörter eignen sich somit nicht als Kennwort, die gebotene Passwortsicherheit ist zu gering.

Sniffing: Der Datenverkehr einschließlich Passworteingabe sowie der Eingabe vom Benutzername wird überwacht. Die Überwachung kann u.a. durch den Einsatz von Schadsoftware innerhalb der eigenen Systeme erfolgen. Ebenso durch Überwachung von Netzwerkverbindungen außerhalb der eigenen IT.

Social Engineering: Anstatt Passwörter zu erraten oder abzufangen, werden sie direkt bei den Anwendern erfragt. Angreifer täuschen ihre Opfer, indem sie sich beispielsweise am Telefon als Kollegen aus der IT ausgeben und angeblich zu Testzwecken Passwörter erfragen. Die Opfer handeln im guten Glauben und geben ihre Zugangsdaten (Benutzername und Passwort) preis, ohne sich der Risiken für den Datenschutz bewusst zu sein.

Tipps für eine hohe Passwortsicherheit

In zunehmend mehr Unternehmen werden von Betriebssystemen sowie anderen Programmen nur noch Passwörter akzeptiert, wenn diese neben Buchstaben auch Zahlen und Sonderzeichen beinhalten. Prinzipiell ist dies eine gute Vorgehensweise, da eine hohe Sicherheit vor der Dictionary Attack geboten wird.

Sicherheitsstufe festlegen: Allerdings kann immer noch eine hohe Anfälligkeit gegenüber Brute Force Attacken bestehen. Deshalb ist es ratsam, dass der Administrator außerdem eine hohe Kennwortlänge festsetzt. Je länger das Passwort, desto mehr Zeit muss der Angreifer aufwenden. Sieht die Sicherheitsrichtlinie besonders lange Passwörter (z.B. mehr als 24 Zeichen) vor, sind Passwörter selbst mit stärksten Computern vermutlich nach Jahren noch nicht entschlüsselt.

Vorgeschriebene Passwortänderungen: Ein weiterer Tipp lautet, die Passwörter regelmäßig zu wechseln. Viele Betriebssysteme und Programme unterstützen eine Wechselpflicht, d.h. der Benutzer muss sein Passwort nach einem bestimmten Zeitraum ändern. Ein häufiger Passwortwechsel dienst als zusätzlicher Schutz. Der Administrator sollte außerdem festlegen können, dass verwendete Passwörter vom System nicht akezptiert werden.

Zulässige Passwort-Manager: Angesichts der heutigen Passwortflut gelangen in vielen Unternehmen sogenannte Passwortmanager zum Einsatz. Dank solcher Programme müssen sich Mitarbeiter nicht sämtliche Passwörter merken. Gleichzeitig wird sichergestellt, dass sich Mitarbeiter die Passwörter nicht anderweitig notieren. Allerdings könnte die Software ein Sicherheitsrisiko darstellen, weshalb nur der Einsatz ausgewählter Passwort-Manager gestattet werden sollte.

Arbeitsplatz sperren: Es ist entscheidend, dass Mitarbeiter ihre Arbeitsgeräte sperren, sollten sie ihren Platz verlassen. Nur dann ist der Passwortschutz aktiv und gewährleistet eine Kontrolle über den Zugriff. Bei Mobilgeräten, wie z.B. Smartphones oder Tablets, sollte nach Inaktivität ebenfalls ein Passwort abgefragt werden.

Zuverlässige Passwortrichtlinie entwickeln und einführen

Die Passwortrichtlinie kann z.B. der Datenschutzbeauftragte zusammen mit einem Administrator oder anderen Fachkräften aus der IT-Abteilung ausarbeiten. So lässt sich ein Schutz der Daten gewährleisten – und das auf Basis eines Konzepts, das innerhalb der jeweiligen IT-Struktur gut umzusetzen ist. Eine entsprechende Konfiguration der IT stellt sicher, dass Benutzer die Sicherheitsrichtlinie automatisch einhalten und somit der Zugriff auf Daten kontrolliert erfolgt.

Im Sinne der DSGVO kann eine IT-Richtlinie als „technische und organisatorische Maßnahme“ dienen, wenn ein schriftlicher Nachweis besteht. Diesbezüglich empfiehlt es sich, von Mitarbeitern die Akzeptanz der Richtlinie mit Unterschrift bestätigen zu lassen.

Das Thema Passwortrichtlinie ist ein umfassendes und komplexes Themengebiet, insbesondere in Verbindung mit Zugriffskonzepten. Sie möchten mehr hierüber erfahren oder suchen Unterstützung bei der Einführung einer Sicherheitsrichtlinie? Als externer Datenschutzbeauftragter verfügen wir über umfassende Erfahrung und betreuen Unternehmen in vielen Deutschen Städten und Regionen, wie z.B. Dresden, Hamburg oder Stuttgart. Für weitere Informationen rund um den betrieblichen Datenschutz und unsere weiteren Leistungen erreichen Sie uns telefonisch unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular.