Passwörter sicher auswählen und verwenden

Verantwortliche müssen technische und organisatorische Maßnahmen umsetzen, um entsprechend Art. 32 Datenschutz-Grundverordnung (DSGVO) die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten dauerhaft sicherzustellen.
Passwörter als zentraler Zugriffsschutz
Ein wichtiger Teilbereich dieser Maßnahmen ist die Zugangs- und Zugriffskontrolle bei IT-Systemen und PCs, um unbefugte oder unberechtigte Nutzungen zu verhindern.
Ein Nutzer identifiziert bzw. authentifiziert sich jeweils z.B. dadurch, dass er eine Benutzerkennung sowie ein oder mehrere Passwörter eingibt.
Verantwortliche, die ihre IT-Systeme unzureichend gegen Fremdzugriff oder unberechtigte Nutzung sichern, riskieren erhebliche Bußgelder von bis zu 10 Millionen Euro bzw. bis zu 2 % des weltweit erzielten Unternehmensumsatzes des vorangegangenen Geschäftsjahrs (Art. 83 Abs. 4 DSGVO).
Grund genug also, den Beschäftigten die wichtigsten Regeln erneut bewusst zu machen und ihnen die neue Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu erklären.
Zentral sind diese Informationen gerade auch für die Mitarbeiterinnen und Mitarbeiter, die im Homeoffice unter anderen als den gewohnten betrieblichen Umständen arbeiten.
Starke Passwörter nutzen
Passwörter für PCs, E-Mail-Accounts oder ganze IT-Systeme schützen Daten vor unerlaubtem Zugriff. Sie sollen deshalb komplex, schwierig zu erraten und möglichst nicht mit maschineller Hilfe zu knacken sein.
Wie aber findet man solche starken Passwörter? Nur kurz zur Erinnerung die wichtigsten Regeln, die die meisten bereits kennen:
- mindestens 8 Zeichen lang – empfohlen werden mehr Zeichen
- Groß- und Kleinbuchstaben, Ziffern, Satzzeichen (?!:;) verwenden
- selbstausgedachte Sätze verwenden: Passwort setzt sich aus den jeweils ersten Buchstaben oder sonstigen vom Nutzer festgelegten Buchstaben der Wörter zusammen und wird ergänzt durch zwischengefügte Zahlen oder Satzzeichen
- selbstausgedachte ganze sinnlose Sätze als Passwort verwenden
Auch wenn es banal scheint: Weisen Sie die Kolleginnen und Kollegen darauf hin, dass sie einfache Passwörter wie z.B. „Haus1“ vermeiden sollten. Verzichten sollten sie zudem auf Wiederholungs- oder Tastaturmuster wie 12345 oder 999.
Ebenfalls sollte ein Passwort weder Namen noch Geburtstage von Familienangehörigen oder Haustieren enthalten.
Selbst Kombinationen aus dem Wörterbuch oder Zitate aus Gedichten oder Romanen sind nicht „stark“. Denn sie lassen sich mithilfe von Software durchaus knacken.
Smartphones und Tablets sind kleine Computer. Sie sind ebenfalls mit starken Zugangsdaten und nicht nur mit einfachen Wisch-Mustern zu schützen.
Richtig mit Passwörtern umgehen
- für jeden Zugang, jeden Account und jedes Social-Media-Konto ein eigenes Passwort festlegen
- voreingestellte oder vom Diensteanbieter gelieferte Passwörter unbedingt ändern
- Zugangsdaten nicht weitergeben – auch nicht an Kollegen für einen möglichen Vertretungsfall
- Passwörter nicht auf Klebezettel unter die Tastatur und auch nicht unverschlüsselt auf dem PC ablegen
- wenn möglich, Zwei-Faktor-Authentifizierungen nutzen
Eine Zwei-Faktor-Authentifizierung unterbindet bei bekanntgewordenen Passwörtern einen Fremdzugriff. Denn der zweite Authentifizierungsfaktor wird auf einem anderen Kommunikationsweg übertragen.
Beispiel: Anmeldung zum Online-Banking mit Benutzerkennung und Passwort sowie als zweitem Faktor einer auf anderem Weg erzeugte TAN (Transaktionsnummer).
Passwörter nicht mehr regelmäßig wechseln
Bisher hatte das BSI empfohlen, Passwörter regelmäßig zu wechseln. Hiervon ist das BSI ausdrücklich abgewichen.
Denn der regelmäßige Wechsel hat nicht zu mehr Sicherheit geführt, sondern eher dazu, dass Nutzer einfache Passwörter ausgewählt oder sie um die nächsthöhere Zahl ergänzt haben. Aus „Haus1“ wurde dann „Haus2“.
Wann ist der Wechsel trotzdem zwingend?
Das Passwort zu ändern, ist zwingend notwendig, wenn unbefugte Dritte Zugriff darauf haben oder haben könnten. Wie lässt sich das erkennen?
Laut BSI kann sich das z.B. ergeben aus der konkreten Aufforderung eines Diensteanbieters, Passwörter zu ändern. Oder aus Informationen in den Nachrichten, dass Angreifer Passwörter eines bestimmten Diensteanbieters gestohlen haben.
Auch Spam- oder Pishing-Mails, die korrekte persönliche Daten verwenden, sollten den Nutzer hellhörig werden lassen.
Ein Muss ist es, Passwörter zu ändern, wenn Schadprogramme den PC oder die IT-Systeme infiziert haben. Denn solche Programme können Zugangsdaten wie Benutzername und Passwörter aufzeichnen und an Dritte übermitteln.
Oftmals kursieren die abgegriffenen Zugangsdaten auch im Internet. Das birgt ein erhebliches Risiko für die Datensicherheit der betroffenen Systeme, weil Kriminelle sich dort einloggen könnten.
Hier ist es nötig, die Schadprogramme zu beseitigen und sich neue Passwörter zu vergeben.
Passwörter verwalten
Sich eine Vielzahl von unterschiedlichen Passwörtern sowohl im Arbeitsumfeld als auch privat zu merken, ist nicht einfach. Auch deshalb greift der eine oder andere zum Klebezettel.
Es gibt aber Hilfsmittel, um Passwörter zu verwalten. Sinnvoll ist es, Passwörter in einem Passwort-Safe abzuspeichern. Das heißt konkret: Der Nutzer merkt sich lediglich das Master-Passwort, um den Safe, in dem alle anderen Passwörter gespeichert sind, zu öffnen. Solche Programme gibt es als kostenlose Open-Source-Software, z.B. unter https://keepass.info/.
Zudem liefern einige Betriebssysteme eine Passwortverwaltung mit. Auch in manchen Webbrowsern wie z.B. Firefox lassen sich Passwörter speichern. Letztere sollten aber immer mit einem Master-Passwort abgesichert sein.
Mitarbeiter sensibilisieren
Verantwortliche müssen zusammen mit der IT-Abteilung und dem Datenschutzbeauftragten die Mitarbeiter des Unternehmens für den richtigen Umgang mit Passwörtern sensibilisieren. Eine Passwort-Richtlinie des Unternehmens oder der Behörde leistet hier gute Dienste.
Einen Passwortwechsel seitens der IT-Abteilung zu erzwingen, ist nach den neuen Empfehlungen des BSI nicht mehr sinnvoll. Besser ist es, darauf hinzuwirken, dass die Nutzer wirklich starke Passwörter verwenden.
Passwörter nicht im Klartext speichern
Loggt sich ein Nutzer ein, werden seine Zugangsdaten gespeichert, um abgleichen zu können, ob der „richtige“ Nutzer sich anmeldet.
Auf keinen Fall dürfen jedoch Administratoren oder die IT-Abteilung die Passwörter der Nutzer im Klartext speichern. Eine solche Klartextspeicherung werten die Aufsichtsbehörden als Verstoß gegen Art. 32 DSGVO.
Einen entsprechenden Fall hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg mit einem Bußgeld belegt. Die Geldbuße fiel mit 20.000 Euro relativ niedrig aus, da sich der betroffene Verantwortliche intensiv darum gekümmert hatte, den Datenschutzverstoß zu beseitigen. (Mehr zu diesem Fall unter https://ogy.de/Geldbusse-LFDI-BW.)
Passwortdatenbanken muss die IT ebenfalls besonders gesichert speichern. Zugriff darauf sollten nur ausgewählte Mitarbeiter haben. Ein Kopieren dieser Daten muss (technisch) verhindert werden.
Weitere Hinweise des BSI für starke Passwörter sind zu finden unter https://ogy.de/bsi-passwoerter-umgang und https://ogy.de/bsi-passwort-manager.