Das Passwort

Das Passwort

Die Basis des Datenschutzes

Warum sind Passwörter notwendig?

ap4b067a10198bb_sPasswörter sind die Basis jedes umfassenden Datenschutzkonzepts, da sie die Integrität, Vertraulichkeit und Authentizität personenbezogener Daten garantieren. Zudem garantieren Passwörter innerhalb eines Unternehmens, dass die Datenverarbeitungsprozesse nicht nur überwacht, sondern auch zu 100 Prozent nachvollzogen werden können. Natürlich schreiben auch die Kontrollanforderungen des Bundesdatenschutzgesetztes die Verwendung von Passwörtern vor.

Das Passwort in Kombination mit der persönlichen Authentifizierung dient sozusagen zur Identifizierung und ist laut dem deutschen Gesetzgeber für eine lokale Umgebung innerhalb einer für ausreichend, bei der ein mittlerer Schutzbedarf im Bereich des Datenschutzes erforderlich ist. Der User weißt sich mit seiner Kennung und dem dazugehörigen Passwort gegenüber dem System aus, dass er zum Zugriff berechtigt ist. Das System wiederum lässt den Zugriff nur zu, wenn Passwort und Nutzername tatsächlich vorhanden sind und mit den Angaben im System übereinstimmen.

Damit so ein System aber dem Zweck des Datenschutzes erfüllen kann, müssen die Daten verarbeitenden Systeme gewisse Mindestanforderungen erfüllen.

Datenschutz und Passwort: die technischen Anforderungen

  • Die im System verschlüsselten Passwörter müssen vor unbefugte Lese- und Schreibzugriffe von unbefugten Dritten separat geschützt werden.
  • Weder in Dateien noch in Protokollen dürfen Passwörter niemals unverschlüsselt dargestellt werden.
  • Das System muss so eingestellt sein, dass mehrmalige Falscheingaben des Passworts ausgeschlossen werden. Bzw. das System darauf mit Restriktion reagieren muss. Ein Beispiel hierfür:

Nach dem das Passwort dreimal falsch eingegeben wurde, muss die Kennung gesperrt werden. Die Freischaltung darf nur durch den Benutzerverwalter bzw. dem Systemadministrator möglich sein. Beide, der Systemadministrator als auch der Benutzerverwalter dürfen eine gesperrte Nutzerkennung nur dann freigeben, wenn der Benutzer seine Berechtigung nachgewiesen hat.

  • Des Weiteren darf die Eingabe des Passworts nur verdeckt erfolgen. Das heißt, dass das Passwort nicht am Bildschirm angezeigt wird. Auch in Sonderzeichen, da dadurch die Länge des Passworts erkennbar ist. Kennt man den Nutzer, ist es meist kein Problem, das Passwort zu erraten.
  • Bei dem Einrichten des Passworts oder bei einer eventuellen Änderung muss das System so konzipiert sein, dass eine versehentliche Falscheingabe sofort auffällt und nicht erst nach einem vergeblichen Anmeldeversuch.
  • Als externer Datenschutzbeauftragter empfehlen wir unseren Kunden, dass diese Ihre Daten verarbeitenden Systeme so einstellen, dass für das Anlegen des Passwortes mindestens acht Zeichen verlangt werden. Dabei sollten die Unternehmen ihren Mitarbeitern nahelegen, dass sie nur Passwörter wählen, die ein Mix aus aus Zahlen und Buchstaben sind und zudem auch Sonderzeichen beinhalten.

Das Wichtigste hierbei ist jedoch, das ein zyklischer Wechsel, der verwendeten Passworts mindestens im Abstand von neunzig Tagen zu erfolgen hat. Einen kürzeren Zeitraum sollte man vermeiden, da ein zu häufig verlangter Wechsel der Passwörter dazu führt, dass Ihre Mitarbeiter die Passwörter aufschreiben, was der Datensicherheit Ihres Unternehmens garantiert nicht zuträglich ist.

  • Konzipieren Sie Ihr System so, dass Ihrer Mitarbeiter keine Trivialpasswörter verwenden können.
  • Bereits verwendete Passwörter sollten frühstens nach dem fünften Wechseln wieder verwendet werden dürfen.
  • Schließen Sie aus, dass Ihre Mitarbeiter vom System automatisch generierte Passwörter verwenden müssen, da auch diese Situation dazu verführt, dass Passwörter aufgeschrieben werden.
  • Die Nutzerkennung in Verbindung mit dem Passwort sollte Ihren Mitarbeitern nur Zugang zu den Bereichen, die sie für ihre Tätigkeit benötigen. Allround Benutzeraccounts sind nicht zu empfehlen, da der Datenschutz so nicht gewährleistet ist.

Bildquelle: aboutpixel.de / Sicher ist Sicher © Ronald Leine

Leave a Reply