20. April 2015 - Methoden für die Datenschutzkontrolle, Teil 1

Wie sich die Zugangskontrolle besser prüfen lässt

Die Prüfung der technisch-organisatorischen Maßnahmen (TOM) gehört zu den besonders anspruchsvollen Aufgaben eines Datenschutzbeauftragten. Im ersten Teil dieser Serie stehen hilfreiche Methoden für die Zugangskontrolle im Fokus.

Zugangskontrolle leicht(er) gemacht Passwörter sind ein wichtigses Instrument der Zugangskontrolle (Bild: Csaba Mihaly Arva/iStock/Thinkstock)

Zugangskontrollen erfordern eigene Methoden

Zu Ihren Aufgaben als betrieblicher Datenschutzbeauftragter gehört die regelmäßige Kontrolle, ob die technisch-organisatorischen Maßnahmen erfolgreich umgesetzt worden sind. Während die Maßnahmen für die Zutrittskontrolle zum großen Teil greifbar und sichtbar sind, ist die Prüfung der Zugangskontrolle vielfach anders gelagert. Zuerst einmal denkt man als DSB an die Frage nach der Passwortstärke. Sie aber entzieht sich unseren herkömmlichen Sinnen. Schnell wünscht man sich passende Werkzeuge und Methoden.

Vorsicht bei Passwort-Testern

Da weder die Administratoren noch Sie als Datenschutzbeauftragter die Passwörter der Mitarbeiter kennen sollen, können Sie die Anwender zwar zu den Passwortrichtlinien schulen. Doch ob die Unterweisung fruchtet oder nicht, sehen Sie höchstens dann, wenn etwas schief gegangen ist. Hilfreich scheinen auf den ersten Blick die Angebote im Internet zu sein, die einen Test der Passwortstärke (Passwort-Meter) versprechen. Doch hier ist Vorsicht angesagt: Sicherlich gibt es gute Angebote. Doch ohne Weiteres sollte man solche Tests nicht verwenden. Schließlich könnten auch Datendiebe einen Online-Passwort-Test anbieten – eine wirklich praktische Variante der Phishing-Attacken.

Prüfung der Passwortstärke bereits bei der Auswahl

Wesentlich besser ist es, wenn die Passwortstärke automatisch bei der Auswahl des Passworts ermittelt wird, der Anwender also direkt bei der Passwortwahl die Information bekommt, wie gut oder schlecht das Passwort ist. Somit sollte das Werkzeug zur Passwort-Prüfung bereits Teil der Anwendungen oder der Login-Dienste sein, die Ihr Unternehmen einsetzt. Ihre Aufgabe bei diesem Teil der Datenschutzkontrolle wäre somit, zu prüfen, ob die Login-Bereiche der Anwendungen einen integrierten Passwort-Test vorsehen.

Passwortrichtlinien nicht nur für Anwender

Zudem sollten Sie die Passwortrichtlinien ansehen, ob sie als Unterstützung für die Anwender automatische Tests der Passwortstärke von den Applikationen fordern. Passwortrichtlinien sollten also nicht nur Vorgaben für die Nutzer enthalten, sondern auch für Anwendungen und letztlich für die Beschaffung, die auf entsprechende Funktionen achten sollte.

Die Suche nach ungeschützten Passwörtern

Es gibt noch weitere Forderungen an die Zugangskontrolle, die nicht die Anwender erfüllen müssen und die sich ebenfalls mit Werkzeugen abprüfen lassen:

Es hilft bekanntlich wenig, wenn sich Nutzer sichere Passwörter auswählen, sie dann aber unsicher ablegen. Es ist deshalb wichtig, im Rahmen der Zugangskontrolle nach der sicheren Speicherung von Passwörtern zu fragen und in Absprache mit der verantwortlichen Stelle dies auch auf die Probe zu stellen.

Werkzeuge aus dem Bereich Enterprise Search, also Tools zur netzwerkweiten Suche, helfen dabei, nach ungeschützten Verzeichnissen von Passwörtern zu fahnden. Machen Sie diese Suche nicht heimlich, sondern nur in Abstimmung. Denn leider könnten Sie schnell fündig werden und auf ungeschützte Passwörter stoßen. Ungeschützt sind die Passwörter insbesondere dann, wenn sie im Klartext in einem Ordner liegen, der „Password“, „pw“ oder einen ähnlich verräterischen Namen trägt. Datendiebe machen übrigens vergleichbare Scanns, wenn sie in ein System eingedrungen sind, um weitere Systeme attackieren zu können.

Nutzen Sie die aktuelle Checkliste zur Planung und Prüfung Ihrer nächsten Zugangskontrolle.

Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln