Gratis
13. Februar 2018 - Datenschutz-Grundverordnung: Stand der Technik

DSGVO / GDPR: Wie sich die IT-Sicherheit verändern muss

Drucken

Die Maßnahmen für die Sicherheit der Verarbeitung sollen sich unter anderem am Stand der Technik orientieren, so die DSGVO. Während heute ein Zugangsschutz über Passwörter für einen bestimmten Schutzbedarf noch ausreichen kann, zeigen aktuelle Studien, dass sich dies ändern wird. Die Biometrie ist auf dem Vormarsch.

IT-Sicherheit: Biometrie ersetzt immer mehr Passwörter Gerade Tablets und Smartphones haben schon oft eine biometrische Zugangskontrolle (Bild: Paulart0 / iStock / Thinkstock)

Reicht der Passwortschutz noch aus?

Die Sicherheit der Verarbeitung muss nach der Datenschutz-Grundverordnung (DSGVO) zahlreichen Anforderungen genügen. Dazu gehört der Stand der Technik, den es zu berücksichtigen gilt.

Nun ließe sich sagen, dass Passwörter für den Zugangsschutz schon lange nicht mehr Stand der Technik sind. Denn es gibt zahlreiche andere Verfahren, die sich alternativ oder als Ergänzung anbieten.

Doch ganz so einfach ist das nicht. Denn neben dem Stand der Technik muss der Verantwortliche weitere Kriterien berücksichtigen (siehe Artikel 32 DSGVO):

  • die Implementierungs-Kosten
  • die Art, den Umfang, die Umstände und Zwecke der Verarbeitung
  • die unterschiedliche Eintritts-Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Sicherheits-Maßnahmen müssen wirksam sein

Und eine zusätzliche Anforderung sei nicht vergessen, geht es um den Zugangsschutz und um Passwörter: Die Maßnahmen für die Sicherheit der Verarbeitung müssen wirksam sein, wie die DSGVO unterstreicht.

Eine Maßnahme ist nur wirksam, wenn die Mitarbeiter sie anwenden und akzeptieren. Berücksichtigen Sie daher unbedingt den Faktor „Nutzer“ bei der Prüfung der Maßnahmen und ihrer Wirksamkeit.

Zugangskontrolle: Wie steht es um die Nutzer-Akzeptanz?

Bisher ergeben Umfragen zum Thema Zugangskontrolle regelmäßig, dass es viele Nutzer ablehnen, umständliche Verfahren mit möglichst vielen Sicherheits-Faktoren einzusetzen.

Also zum Beispiel neben einem Passwort noch einen Fingerabdruck und ein Security-Token zu verwenden, wenn der Schutzbedarf hoch ist.

Kürzlich ist nun die IBM Security Studie „Future of Identity“ erschienen. Dafür wurden 4.000 Erwachsene in Deutschland / Europa, den USA und in Asien befragt.

Die wichtigsten Ergebnisse sind:

  • Sicherheit geht vor Bequemlichkeit.
  • Jüngere Nutzer bevorzugen zunehmend Biometrie zum Identitätsschutz.
  • Demgegenüber setzt die Generation 55+ auf starke Passwörter.
Infographik: Future of Identity

Infographik zur Studie „Future of Identity“

Studie zeigt steigende Akzeptanz von Biometrie

Die genannte Studie besagt im Detail:

  • Biometrie wird Mainstream: 67 Prozent der Befragten fühlen sich heute bereits mit biometrischer Authentifizierung wohl. Insgesamt 87 Prozent sind sich sicher, dass sich das auch in Zukunft nicht ändert.
  • Identitätsschutz geht bei jüngeren Nutzern über reine Passwörter hinaus: Weniger als die Hälfte der jüngeren Anwender benutzen komplexe Kennwörter, um ihre Accounts und Geräte zu sichern. Nur 41 Prozent nutzen Kennwörter zum Identitätsschutz. Dagegen vertrauen 75 Prozent der Jungen auf Biometrie. Bei der älteren Generation ergibt sich ein anderes Bild: Sie zeigt bei der Passwort-Erstellung mehr Sorgfalt, ist jedoch weniger offen für Biometrie.
  • 44 Prozent der Befragten bewerten Fingerabdruck-Biometrie als eine der sichersten Authentifizierungs-Methoden. Passwörter und PINs sahen die Teilnehmer als weniger sicher an (27 Prozent beziehungsweise zwölf Prozent).
  • Die größten Sicherheits-Bedenken bei der biometrischen Authentifizierung haben die Befragten in Bezug auf die Privatsphäre. Hier geht es darum, wie personenbezogene Daten gesammelt und genutzt werden (55 Prozent). Gefolgt vom Thema Sicherheit, also der Gefahr, dass gefälschte biometrische Daten verwendet werden (50 Prozent). Trotzdem steigt die Akzeptanz der Biometrie.

IT-Sicherheit muss Nutzer im Blick haben

Generell empfiehlt die Studie, sich den Präferenzen der Nutzer anzupassen. Das bedeutet, Lösungen einzuführen, die den Benutzern die Wahl zwischen mehreren Authentifizierungs-Optionen bieten.

So sollten Nutzer beispielsweise die Wahl haben, ob sie lieber eine mobile Push-Benachrichtigung, die einen Fingerabdruck-Scan auf ihrem Mobiltelefon aufruft. Oder ob sie einen einmaligen PIN-Code zugeschickt haben möchten.

Steht also später einmal die Frage an, ob der Zugangsschutz noch den Vorgaben der DSGVO entspricht, gilt es immer auch die Wirksamkeit zu hinterfragen. Dazu gehört die sich ändernde Akzeptanz der Nutzer für verschiedene IT-Sicherheits-Verfahren, wie die Frage „Passwortschutz oder Biometrie?“ zeigt.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.