Passwortrichtlinien nach DSGVO – inkl. Vorlage

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Passwörter werden mittlerweile an so vielen verschiedenen Stellen wie Cloud-Services, E-Mail Postfächern oder Dateien verwendet, dass es schwer fällt den Überblick zu behalten. Dabei wird deutlich, dass sich besonders Unternehmen der Tragweite ihrer Passwortvergabe bewusst sein sollten. Dieser Artikel soll Ihnen zeigen, was Sie bei der Vergabe von Passwörtern beachten sollten und gibt Ihnen ein kostenloses Muster für eine Richtlinie zur Hand.

Sie erfahren außerdem:

  • Was die Passwortvergabe überhaupt mit der DSGVO zu tun hat.
  • Wie Sie ein sicheres Passwort vergeben.
  • Was eine Passwortrichtlinie ist und was die Mindestinhalte sind.
  • Wie Sie sich nie wieder mehrere Passworte merken müssen.
  • Wie Sie eine kostenlose Vorlage für eine Richtlinie erhalten.

Passwortvergabe im Zuge der DSGVO

Unternehmen verarbeiten eine Vielzahl von Daten ihrer Kunden, ihrer Zulieferer oder ihrer eigenen Beschäftigten. Auch mit Einführung der neuen Datenschutzgrundverordnung und dem BDSG (neu) muss gewährleistet werden, dass personenbezogene Daten ausreichend gesichert und vor Zugriffen unbefugter Dritter geschützt werden. Die räumliche Sicherung und Überwachung der Ein- und Ausgänge allein ist nicht ausreichend.

Datenangriffe durch Hacker und automatisch generierte Systeme, um Passwortkombinationen zu knacken, werden immer häufiger. Wird ein zu simples Passwort wie eine wiederholende Kombination “Passwort123” genutzt, so erhöht das die Chance, dass Unbefugte an Ihre Daten gelangen und großen Schaden anrichten können. Ein simples Passwort ist beinahe wertlos- oder würden Sie gleichzeitig Ihre Bürotür nach Dienstschluss offen lassen, anstatt abzuschließen?

Doch neben dem sehr ärgerlichen Schaden verstoßen Sie im Falle eines Datenlecks auch gegen die Grundsätze der Datensicherheit der Datenschutz-Grundverordnung und riskieren im Zweifel hohe Bußgelder. Weiterhin muss die zuständige Aufsichtsbehörde binnen drei Tagen über das Leck informiert werden (Artikel 13 DSGVO). Sollte die Behörde nun bei Ihrer Prüfung feststellen, dass Sie trotz des Hackings eine geeignete Datenschutz- und Passwortrichtlinie in Ihrem Betrieb installiert und sichere Passwörter verwendet haben, so wird der Vorfall für Sie weitaus angenehmer verlaufen.

Schützen Sie zuverlässig die einzelnen Zugänge an PCs und ggf. unternehmensinternen Smartphones durch ein sicheres Passwort und verringern Sie die Gefahr von Datenlecks durch Passworthacking und -phishing.

Ein sicheres Passwort nach DSGVO ist einfacxh zu vergeben

Wie Sie ein sicheres Passwort vergeben

Der erste Grundschritt der Sicherung vor unbefugten Datenzugriffen liegt in Ihren Händen. Zunächst soll Ihnen gezeigt werden, wie Sie mit wenigen Schritte ein geeignetes und komplexes Passwort erstellen können.

  1. Bei der Wahl des Passwortes ist es wichtig, dass ein möglichst langes Passwort gewählt wird. Als ausreichend gelten vor allem Passwörter ab 8 Zeichen. Doch natürlich erhöht sich die Sicherheit des Passwortes mit seiner Länge. Besonders bei besonders schutzwürdigen Daten ist eine Länge von 20 oder mehr Stellen angebracht. Trotzdem wichtig ist, dass Sie sich das Passwort im Zweifel aber auch merken können.
  2. Kombinationen mit persönlichen Angaben, wie dem Geburtstag oder dem Namen von Kindern sollten nicht verwendet werden, da diese leicht von anderen zu enttarnen sind.
    Beispiel: Leon1998 oder Schatz75
  3. Auf zusammenhängende Wörter, sinnbringende Sätze oder Zahlenwiederholungen sollte verzichtet werden.
    Beispiel: sicheresPasswort oder Traumauto911
  4. Nutzen Sie stattdessen eine wahllose aber gut zu merkende Kombination aus Groß- sowie Kleinbuchstaben und Zahlen.
    Beispiel: Koch + Lampenschirm + Sonne + entsprechende Zahlen = K0chL4mp3nsch1rmS0nn3

Oft gelten auch Sonderzeichen als notwendig. Andere Experten raten davon ab, da das Passwort so lediglich schwerer zu merken werde und allein die Länge des Passwortes, nicht die Nutzung von Sonderzeichen die Sicherheit erhöhe.

Die Login Daten sollten ausreichend sicher sein.

Tipp aus der Praxis

Um sich solche komplizierten Passwörter merken zu können, gibt es einige Tipps und Tricks. Versuchen Sie sich beispielsweise zu den wahllos zusammengesetzten Wörtern eine Geschichte zu merken.

Beispiel: Der Koch eines Restaurants kauft neue Lampenschirme mit einem Sonnenmotiv.

Sie können auch selbst einen Satz verschlüsseln. Das klingt zuerst kompliziert, ist es jedoch nicht, da Sie den Entschlüsselungscode kennen.

Beispiel: Der Satz “Ich laufe gern einen Marathon” wird so verschlüsselt, dass von jedem Wort die letzten zwei Buchstaben genutzt und anschließend mit Zahlen kombiniert werden. Daraus ergibt sich “Chf3rn3n0n”.

Beachten Sie diese Hinweise, haben Sie schon den ersten Schritt zu einem sicheren Passwort getan.

Weitere Hinweise, zum Umgang mit Passwörtern erhalten Sie z.B. auf den Seiten des LfDI Baden-Württemberg.

Geeignete Passwortrichtlinien erarbeiten

Neben der Wahl eines geeigneten Passwortes ist noch etwas anderes wichtig. Auch ein sicherer und verantwortungsbewusster Umgang mit dem Passwort ist notwendig, um Hackerangriffe und unbefugtes Ausspionieren Ihrer Passwörter zu unterbinden.

Mindestanforderungen an eine Passwortrichtlinie nach DSGVO

In erster Linie sollten Unternehmen in Zusammenarbeit mit ihrem Datenschutzbeauftragten Konzepte und Passwortrichtlinien erarbeiten. Diese Richtlinien sollten wenigstens folgende Eckpunkte enthalten:

  1. Die Eingabe des Passwortes darf nicht als Originalpasswort, sondern in Sternchen erfolgen.
  2. Während der Passworteingabe muss darauf geachtet werden, dass niemand anderes dabei zusieht. Auch andere höher gestellte Ebenen des Unternehmens dürfen keine Kenntnis von unverschlüsselten Passwörtern der Mitarbeiter haben.
  3. Der Zugang muss automatisch gesperrt werden, wenn das Passwort mehr als drei Mal falsch eingegeben wurde. Der Zugreifende muss sich nun persönlich ausweisen. Alle müssen Fehlversuche dokumentiert werden.
  4. Die Passwörter dürfen nur verschlüsselt und auf den minimalsten Zugriff beschränkt auf dem Rechner gespeichert werden.
  5. Das Passwort darf von den Mitarbeitern nicht aufgeschrieben und bspw. unter die Tastatur gelegt werden.
  6. Auch darf kein Passwortbuch geführt und offen abgelegt werden. Ist das im Einzelfall dennoch notwendig, darf es nur in einem Safe oder an einem anderen sicheren Ort aufbewahrt werden.
  7. Die Passwörter müssen in regelmäßigen Abständen erneuert werden, wenigstens nach 180 Tagen. Dazu muss technisch darauf geachtet werden, dass das neue Passwort eine wesentliche Änderung zum alten Passwort beinhaltet.
  8. Die Passwörter müssen für jeden Mitarbeiter oder für verschiedene Zugänge individuell gelten. Auch das Wiederholen von Passwörtern muss verhindert werden.
  9. Der Rechner muss sich automatisch sperren und das Passwort erfragen, wenn ein Mitarbeiter längere Zeit nicht aktiv war.
  10. Einfache persönliche Sicherheitsfragen statt oder in Kombination mit der Passwortabfrage dürfen nicht mehr genutzt werden. Stattdessen ist eine qualifizierte Zweifach-Authentifizierung wesentlich sicherer. Hier wird neben dem normalen Passwort eine weitere unabhängige Kennung verlangt. Die zusätzliche Kennung kann beispielsweise in der Abfrage der Irisstruktur oder in der Zusendung eines Einmalkennwortes per SMS erfolgen.

Eine Passwortrichtlinie muss auch durchgesetzt werden

Wie die Richtlinie eingehalten wird

Diese Richtlinien sollten technisch durch eine Software oder spezielle Programme und durch organisatorische Maßnahmen eingehalten werden. Auch ist es erforderlich, dass alle Mitarbeiter Ihres Unternehmens diese Regeln kennen, sie anwenden und regelmäßig darin geschult werden. Dokumentieren Sie die Einhaltung und Ausführung der Maßnahmen. Damit kommen Sie Ihrer Pflicht nach einer geeigneten Umsetzung der Datensicherheit gemäß Artikel 5 und 32 EU-DSGVO nach.

Passwortrichtlinien erstellen – so geht’s

Benötigte Zeit: 10 Stunden

So erstellen Sie wirksame Passwortrichtlinien nach DSGVO

  1. Ermitteln Sie den Status-Quo

    Wie werden Passwörter zur Zeit gehandhabt? Hat die IT ggf. schon Richtlinien erarbeitet? Setzen Sie am besten bei bestehendem an, so sparen Sie doppelarbeit und erhöhen die Akzeptanz.

  2. Erarbeiten Sie eine Richtlinie

    Nach dem Sie ermittelt haben, was bereits im Unternehmen vorhanden ist, können Sie sich an die Arbeit machen. Definieren Sie genau, wie mit Passwörtern umzugehen ist. Wollen Sie Mindestanforderungen festlegen? Wer kontrolliert die Einhaltung? Es gibt verschiedene Punkte zu beachten. Definieren Sie ggf. auch eine Übergangszeit.

  3. Kommunizieren Sie die neuen Regeln

    Verbreiten Sie die neuen Richtlinien im Unternehmen. Schicken Sie eine Mail an alle Mitarbeiter und stellen Sie die neuen Regeln zur Passwortvergabe vor. Die Akzeptanz steigt deutlich, wenn gutes Passwortmanagement vorgelebt wird.

  4. Kontrollieren und Aktualisieren

    Die neuen Regeln sollten mindestens jährlich auf ihre Wirksamkeit und ihre Angemessenheit untersucht werden. Hat sich die Rechtslagen z.B. nach DSGVO geändert?

    Auch sollten die Richtlinien regelmäßig kommuniziert und ausgehangen werden.

Vorteile einer Passwortrichtlinie

Im Grunde genommen ergeben sich zwei große Vorteile einer gut ausgearbeiteten Richtlinie.

  1. Sensibilisierung aller, die mit Passwörtern in Kontakt kommen und diese setzen oder benutzen
  2. Nachweisfunktion: Wenn es zu einem meldepflichtigen Leck kommt, können Sie sich darauf stützen eine gute Richtlinie gehabt zu haben und alle Sie alle nötigen Mittel ergriffen haben

Wie ein Passwortmanager und Verschlüsselung helfen können, Ihre Passwörter zu sichern

In der Praxis ist es in größeren Unternehmen jedoch häufig nicht so einfach, viele verschiedene Passworte ohne jegliche Hinterlegung oder Notiz im Gedächtnis zu behalten. Dazu kann eine spezielle Software, ein Passwortmanager eingesetzt werden. An diese Datenbank gelangt man schließlich mit nur einem einzigen Masterpasswort, was man sich merken muss. Die Software speichert die Passwörter dann verschlüsselt und sicher.

Compliance - mit Hilfe von Richtlinien.

Das kann zum Beispiel mittels einer Cloud geschehen, die die Passwörter mehrere Endgeräte (Laptop, Smartphone etc.) miteinander verbindet und die jederzeit auf jedem Gerät abgefragt werden kann. Ein Anbieter eines Cloud-Passwortmanagers ist bspw. LastPass, was in der einfachsten Ausstattung sogar kostenfrei erworben werden kann. Hier fungiert die Cloud als Speicher aller Passwörter für verschiedene Geräte, die nur ein einziges Mal eingegeben werden müssen und dann in jegliche Formulare und Loginmasken gesetzt werden.

Wesentlich sicherer und missbrauchsunanfälliger ist ein lokaler und meistens kostenloser Passwortmanager auf dem benutzten Gerät. Hier existieren bspw. Dashlane oder KeePass, die ebenfalls die gleichen Dienste anbieten. Einziger Nachteil ist hier nur, dass auf Passwörter von anderen Geräten nicht zugegriffen werden kann.

Beachtet werden sollte auch, dass eine Mehrfach-Authentifizierung genutzt wird, die neben der Masterpassworteingabe weitere unabhängige Kennungen erfordert, um einen noch höheren Schutz gegen unbefugte Zugriffe zu gewährleisten und Artikel 32 DSGVO zu genügen.

Einen guten Test finden Sie z.B. hier.

Kostenloser Download Passwortrichtlinie nach DSGVO

Laden Sie sich hier ein kostenloses Muster einer Passwortrichtlinie nach Datenschutzgesetzgebung herunter. Die Vollversion erhalten Sie in allen Vorlagenpaketen.

Download Passwortrichtlinie DSGVO

Häufige Fragen zum Thema Passwörter nach DSGVO

Was hat die DSGVO überhaupt mit Passwörtern zu tun?

Da Sie nach DSGVO dazu verpflichtet sind, personenbezogene Daten zu schützen, müssen Sie wirksame Passwörter vergeben. Wenn Sie dies nicht tun, verstoßen Sie gegen Ihre Sorgfaltspflichten und machen sich angreifbar.

Muss ich mein Passwort möglichst zufällig wählen?

Nein, grundsätzlich sollte ein Passwort zwar lang und individuell sein, aber auch leicht zu merken. Wenn Sie nur kryptische Zeichenfolgen benutzen, ist dies nicht gegeben.

Wozu benötige ich eine Passwortrichtlinie in meinem Unternehmen?

Da Sie neben der Sorgfaltspflicht auch eine Rechenschaftspflicht haben, sollten Sie Maßnahmen dokumentieren, um das Sicherheitsniveau in Ihrem Unternehmen hoch zu halten. Durch eine Richtlinie, welche Sie z.B. verbindlich für alle Beschäftigten machen, sind Sie hier auf einem guten Weg.

Was sind Passwortrichtlinien?

Passwortrichtlinien sind Regeln anhand derer Passwörter vergeben, ggf. gewechselt und eingegeben werden. Einen Passwortrichtlinie ist als organisatorische Maßnahme im Datenschutz einzuschätzen.

Wie sieht ein sicheres Passwort nach DSGVO aus?

Sie sollten zwar lang und individuell sein, aber dabei trotzdem leicht zu merken. Die DSGVO stellt dabei die besondere Anforderung, dass Passwörter dazu dienen müssen personenbezogene Daten auch wirklich zu schützen.

Fazit

Nach all den Hinweisen ist es gar nicht mehr so schwer, die Sicherheitsanforderungen an ein Passwort zu verinnerlichen. Sind Sie sich vor allem folgenden Punkten bewusst:

  1. Nutzen Sie für verschiedene Zugänge dieselben Passwörter, so sollten Sie unverzüglich individuelle vergeben!
  2. Veraltete und jahrelang nicht geänderte Passwörter sollten nicht mehr genutzt werden! Bitte verändern Sie diese!
  3. Passwörter sollten nicht mehr lesbar und offen auf dem Arbeitsplatz liegen!

Bedenken Sie stets, dass schon relativ wenig Aufwand Ihr Unternehmen vor Datenpannen beschützen kann. Neben Ihrem Interesse erfordert schließlich auch die DSGVO einen angemessenen Schutz personenbezogener Daten, die auch und insbesondere durch einen sicheren Passwortumgang erreicht werden können. Falls Sie das noch nicht beachtet haben, ist es nun höchste Zeit.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-5-dsgvo/
https://dsgvo-gesetz.de/art-13-dsgvo/
https://dsgvo-gesetz.de/art-32-dsgvo/

https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto