Gratis
30. April 2019 - Datenschutzkonfrenz zu Online-Diensten

Orientierungshilfe: Absicherung von Nutzer-Zugängen

Drucken

Die Datenschutz-Aufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) haben vor einiger Zeit nicht nur die viel beachtete „Hambacher Erklärung“ zur künstlichen Intelligenz herausgeben. Entstanden ist auch eine Orientierungshilfe zum Schutz der Nutzer-Zugänge für alle Anbieter von Online-Diensten.

Orientierungshilfe zum Schutz von Nutzerzugängen veröffentlicht (Bild: filistimlyanin / iStock / GettyImages) Orientierungshilfe zum Schutz von Nutzerzugängen veröffentlicht (Bild: filistimlyanin / iStock / Getty Images)

Das Gremium der DSK hat die Orientierungshilfe „Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung“ herausgegeben.

Sie richtet sich an Internet-Zugangsanbieter, ist aber auch für alle Unternehmen, die in ihrem Online-Shop passwortgesicherte Kundenkonten anbieten, interessant.

Verweis auf BSI-Grundschutz

In der Einführung verweisen die Autoren darauf, dass grundsätzlich die Vorschriften der Datenschutz-Grundverordnung zur Sicherheit der Verarbeitung (Art. 32 DSGVO) zu beachten sind. Dazu gehören auch Maßnahmen zur Zugangssicherung von Diensten.

Die Anbieter sollten sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) im IT-Grundschutz-Kompendium zum Identitäts– und Berechtigungsmanagement orientieren.

Die Orientierungshilfe enthält darüber hinaus konkrete Hinweise, welche Schutz-Maßnahmen die DSK als Stand der Technik ansieht.

Konkrete Empfehlungen zur Sicherheit von Passwörtern und Nutzerdaten

Der zweite Teil der Orientierungshilfe gibt unter anderem diese Hinweise:

  • Während der Einrichtung soll dem Anwender die Passwort-Stärke angezeigt werden.
  • Ein Passwort von mittlerer Güte besitzt eine Länge von mindestens 10 Zeichen.
  • Passwörter, von denen bekannt ist, dass sie bereits kompromittiert wurden, sollen bei der Einrichtung zurückgewiesen werden.
  • Auf einen regelmäßigen Passwortwechsel können die Anbieter verzichten. Nur wenn es Hinweise auf eine Kompromittierung gibt, sollte der Nutzer zum Wechsel aufgefordert werden. Das gilt ebenfalls dann, wenn beispielsweise ein Initialpasswort auf einem Wege mitgeteilt worden ist, bei dem sich nicht ausschließen lässt, dass auch Dritte es gesehen haben.
  • Schlagen Anmeldeversuche fehl, ist es ratsam, dies zu protokollieren und dem Nutzer bei der nächsten erfolgreichen Anmeldung anzuzeigen.
  • Die DSK empfiehlt, Benutzer zu benachrichtigen, wenn Stammdaten geändert wurden oder Anmeldungen aus dem Ausland vorgenommen werden.
  • Wird das Passwort zurückgesetzt, sollte dies nur auf sicheren Kanälen erfolgen. Für ein Rücksetzen eines E-Mail-Kontos ist E-Mail etwa nicht sinnvoll. Nur einmal gültige Links werden als geeignet angesehen.
  • Passwörter sollen nur verschlüsselt übertragen werden.
  • Der Anbieter soll die Passwörter ausschließlich verschlüsselt speichern, hier wird das (Salted-)Hashverfahren favorisiert.
  • Datenbanken, die Passwörter enthalten, müssen vor unbefugtem Zugriff durch Dritte, aber auch durch Personal geschützt sein.
  • Das Anbieten einer Zwei-Faktor-Authentifizierung ist zu bevorzugen.
  • Daten, die zur Authentifizierung genutzt werden, sind getrennt von anderen Informationen zu speichern.

Schließlicht hält es die DSK noch für empfehlenswert, die Nutzer über Passwortmanager zu informieren.

Stephan Lamprecht