Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
29. Mai 2020

Passwörter sicher auswählen und verwenden

DP+
Passwörter sicher auswählen und verwenden
Bild: iStock.com / MicroStockHub
0,00 (0)
BSI ändert Empfehlungen
Das BSI hat seine Empfehlung, Passwörter regelmäßig zu wechseln, geändert. Ein Wechsel ist jetzt nur noch in Ausnahmefällen nötig. Welche Fälle sind das? Und was ist überhaupt ein sicheres Passwort?

Verantwortliche müssen technische und organisatorische Maßnahmen umsetzen, um entsprechend Art. 32 Datenschutz-Grundverordnung (DSGVO) die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten dauerhaft sicherzustellen.

Passwörter als zentraler Zugriffsschutz

Ein wichtiger Teilbereich dieser Maßnahmen ist die Zugangs- und Zugriffskontrolle bei IT-Systemen und PCs, um unbefugte oder unberechtigte Nutzungen zu verhindern.

Ein Nutzer identifiziert bzw. authentifiziert sich jeweils z.B. dadurch, dass er eine Benutzerkennung sowie ein oder mehrere Passwörter eingibt.

Verantwortliche, die ihre IT-Systeme unzureichend gegen Fremdzugriff oder unberechtigte Nutzung sichern, riskieren erhebliche Bußgelder von bis zu 10 Millionen Euro bzw. bis zu 2 % des weltweit erzielten Unternehmensumsatzes des vorangegangenen Geschäftsjahrs (Art. 83 Abs. 4 DSGVO).

Grund genug also, den Beschäftigten die wichtigsten Regeln erneut bewusst zu machen und ihnen die neue Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu erklären.

Zentral sind diese Informationen gerade auch für die Mitarbeiterinnen und Mitarbeiter, die im Homeoffice unter anderen als den gewohnten betrieblichen Umständen arbeiten.

Starke Passwörter nutzen

Passwörter für PCs, E-Mail-Accounts oder ganze IT-Systeme schützen Daten vor unerlaubtem Zugriff. Sie sollen deshalb komplex, schwierig zu erraten und möglichst nicht mit maschineller Hilfe zu knacken sein.

Wie aber findet man solche starken Passwörter? Nur kurz zur Erinnerung die wichtigsten Regeln, die die meisten bereits kennen:

  • mindestens 8 Zeichen lang – empfohlen werden mehr Zeichen
  • Groß- und Kleinbuchstaben, Ziffern, Satzzeichen (?!:;) verwenden
  • selbstausgedachte Sätze verwenden: Passwort setzt sich aus den jeweils ersten Buchstaben oder sonstigen vom Nutzer festgelegten Buchstaben der Wörter zusammen und wird ergänzt durch zwischengefügte Zahlen oder Satzzeichen
  • selbstausgedachte ganze sinnlose Sätze als Passwort verwenden

Auch wenn es banal scheint: Weisen Sie die Kolleginnen und Kollegen darauf hin, dass sie einfache Passwörter wie z.B. „Haus1“ vermeiden sollten. Verzichten sollten sie zudem auf Wiederholungs- oder Tastaturmuster wie 12345 oder 999.

Ebenfalls sollte ein Passwort weder Namen noch Geburtstage von Familienangehörigen oder Haustieren enthalten.

Selbst Kombinationen aus dem Wörterbuch oder Zitate aus Gedichten oder Romanen sind nicht „stark“. Denn sie lassen sich mithilfe von Software durchaus knacken.

Smartphones und Tablets sind kleine Computer. Sie sind ebenfalls mit starken Zugangsdaten und nicht nur mit einfachen Wisch-Mustern zu schützen.

Richtig mit Passwörtern umgehen

  • für jeden Zugang, jeden Account und jedes Social-Media-Konto ein eigenes Passwort festlegen
  • voreingestellte oder vom Diensteanbieter gelieferte Passwörter unbedingt ändern
  • Zugangsdaten nicht weitergeben – auch nicht an Kollegen für einen möglichen Vertretungsfall
  • Passwörter nicht auf Klebezettel unter die Tastatur und auch nicht unverschlüsselt auf dem PC ablegen
  • wenn möglich, Zwei-Faktor-Authentifizierungen nutzen

Eine Zwei-Faktor-Authentifizierung unterbindet bei bekanntgewordenen Passwörtern einen Fremdzugriff. Denn der zweite Authentifizierungsfaktor wird auf einem anderen Kommunikationsweg übertragen.

Beispiel: Anmeldung zum Online-Banking mit Benutzerkennung und Passwort sowie als zweitem Faktor einer auf anderem Weg erzeugte TAN (Transaktionsnummer).

Passwörter nicht mehr regelmäßig wechseln

Bisher hatte das BSI empfohlen, Passwörter regelmäßig zu wechseln. Hiervon ist das BSI ausdrücklich abgewichen.

Denn der regelmäßige Wechsel hat nicht zu mehr Sicherheit geführt, sondern eher dazu, dass Nutzer einfache Passwörter ausgewählt oder sie um die nächsthöhere Zahl ergänzt haben. Aus „Haus1“ wurde dann „Haus2“.

Wann ist der Wechsel trotzdem zwingend?

Das Passwort zu ändern, ist zwingend notwendig, wenn unbefugte Dritte Zugriff darauf haben oder haben könnten. Wie lässt sich das erkennen?

Laut BSI kann sich das z.B. ergeben aus der konkreten Aufforderung eines Diensteanbieters, Passwörter zu ändern. Oder aus Informationen in den Nachrichten, dass Angreifer Passwörter eines bestimmten Diensteanbieters gestohlen haben.

Auch Spam- oder Pishing-Mails, die korrekte persönliche Daten verwenden, sollten den Nutzer hellhörig werden lassen.

Ein Muss ist es, Passwörter zu ändern, wenn Schadprogramme den PC oder die IT-Systeme infiziert haben. Denn solche Programme können Zugangsdaten wie Benutzername und Passwörter aufzeichnen und an Dritte übermitteln.

Oftmals kursieren die abgegriffenen Zugangsdaten auch im Internet. Das birgt ein erhebliches Risiko für die Datensicherheit der betroffenen Systeme, weil Kriminelle sich dort einloggen könnten.

Hier ist es nötig, die Schadprogramme zu beseitigen und sich neue Passwörter zu vergeben.

Passwörter verwalten

Sich eine Vielzahl von unterschiedlichen Passwörtern sowohl im Arbeitsumfeld als auch privat zu merken, ist nicht einfach. Auch deshalb greift der eine oder andere zum Klebezettel.

Es gibt aber Hilfsmittel, um Passwörter zu verwalten. Sinnvoll ist es, Passwörter in einem Passwort-Safe abzuspeichern. Das heißt konkret: Der Nutzer merkt sich lediglich das Master-Passwort, um den Safe, in dem alle anderen Passwörter gespeichert sind, zu öffnen. Solche Programme gibt es als kostenlose Open-Source-Software, z.B. unter https://keepass.info/.

Zudem liefern einige Betriebssysteme eine Passwortverwaltung mit. Auch in manchen Webbrowsern wie z.B. Firefox lassen sich Passwörter speichern. Letztere sollten aber immer mit einem Master-Passwort abgesichert sein.

Mitarbeiter sensibilisieren

Verantwortliche müssen zusammen mit der IT-Abteilung und dem Datenschutzbeauftragten die Mitarbeiter des Unternehmens für den richtigen Umgang mit Passwörtern sensibilisieren. Eine Passwort-Richtlinie des Unternehmens oder der Behörde leistet hier gute Dienste.

Einen Passwortwechsel seitens der IT-Abteilung zu erzwingen, ist nach den neuen Empfehlungen des BSI nicht mehr sinnvoll. Besser ist es, darauf hinzuwirken, dass die Nutzer wirklich starke Passwörter verwenden.

Passwörter nicht im Klartext speichern

Loggt sich ein Nutzer ein, werden seine Zugangsdaten gespeichert, um abgleichen zu können, ob der „richtige“ Nutzer sich anmeldet.

Auf keinen Fall dürfen jedoch Administratoren oder die IT-Abteilung die Passwörter der Nutzer im Klartext speichern. Eine solche Klartextspeicherung werten die Aufsichtsbehörden als Verstoß gegen Art. 32 DSGVO.

Einen entsprechenden Fall hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg mit einem Bußgeld belegt. Die Geldbuße fiel mit 20.000 Euro relativ niedrig aus, da sich der betroffene Verantwortliche intensiv darum gekümmert hatte, den Datenschutzverstoß zu beseitigen. (Mehr zu diesem Fall unter https://ogy.de/Geldbusse-LFDI-BW.)

Passwortdatenbanken muss die IT ebenfalls besonders gesichert speichern. Zugriff darauf sollten nur ausgewählte Mitarbeiter haben. Ein Kopieren dieser Daten muss (technisch) verhindert werden.

Weitere Hinweise des BSI für starke Passwörter sind zu finden unter https://ogy.de/bsi-passwoerter-umgang und https://ogy.de/bsi-passwort-manager.

Andrea Gailus

Andrea Gailus
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.