Wie Sie ein sicheres Passwort nach DSGVO vergeben inkl. Vorlage für eine Richtlinie

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Passwörter werden mittlerweile an so vielen verschiedenen Stellen wie Cloud-Services, E-Mail Postfächern oder Dateien verwendet, dass es schwer fällt den Überblick zu behalten. Dabei wird deutlich, dass sich besonders Unternehmen der Tragweite ihrer Passwortvergabe bewusst sein sollten. Dieser Artikel soll Ihnen zeigen, was Sie bei der Vergabe von Passwörtern beachten sollten und gibt Ihnen ein kostenloses Muster für eine Richtlinie zur Hand.

Sie erfahren außerdem:

  • Was die Passwortvergabe überhaupt mit der DSGVO zu tun hat.
  • Wie Sie ein sicheres Passwort vergeben.
  • Was eine Passwortrichtlinie ist und was die Mindestinhalte sind.
  • Wie Sie sich nie wieder mehrere Passworte merken müssen.
  • Wie Sie eine kostenlose Vorlage für eine Richtlinie erhalten.

Passwortvergabe im Zuge der DSGVO

Unternehmen verarbeiten eine Vielzahl von Daten ihrer Kunden, ihrer Zulieferer oder ihrer eigenen Beschäftigten. Auch mit Einführung der neuen Datenschutzgrundverordnung und dem BDSG (neu) muss gewährleistet werden, dass personenbezogene Daten ausreichend gesichert und vor Zugriffen unbefugter Dritter geschützt werden. Die räumliche Sicherung und Überwachung der Ein- und Ausgänge allein ist nicht ausreichend.

Datenangriffe durch Hacker und automatisch generierte Systeme, um Passwortkombinationen zu knacken, werden immer häufiger. Wird ein zu simples Passwort wie eine wiederholende Kombination “Passwort123” genutzt, so erhöht das die Chance, dass Unbefugte an Ihre Daten gelangen und großen Schaden anrichten können. Ein simples Passwort ist beinahe wertlos- oder würden Sie gleichzeitig Ihre Bürotür nach Dienstschluss offen lassen, anstatt abzuschließen?

Doch neben dem sehr ärgerlichen Schaden verstoßen Sie im Falle eines Datenlecks auch gegen die Grundsätze der Datensicherheit der DSGVO und riskieren im Zweifel hohe Bußgelder. Weiterhin muss die zuständige Aufsichtsbehörde binnen drei Tagen über das Leck informiert werden (Artikel 13 DSGVO). Sollte die Behörde nun bei Ihrer Prüfung feststellen, dass Sie trotz des Hackings eine geeignete Datenschutz- und Passwortrichtlinie in Ihrem Betrieb installiert und sichere Passwörter verwendet haben, so wird der Vorfall für Sie weitaus angenehmer verlaufen.

Schützen Sie zuverlässig die einzelnen Zugänge an PCs und ggf. unternehmensinternen Smartphones durch ein sicheres Passwort und verringern Sie die Gefahr von Datenlecks durch Passworthacking und -phishing.

Ein sicheres Passwort nach DSGVO ist einfacxh zu vergeben

Wie Sie ein sicheres Passwort vergeben

Der erste Grundschritt der Sicherung vor unbefugten Datenzugriffen liegt in Ihren Händen. Zunächst soll Ihnen gezeigt werden, wie Sie mit wenigen Schritte ein geeignetes und komplexes Passwort erstellen können.

  1. Bei der Wahl des Passwortes ist es wichtig, dass ein möglichst langes Passwort gewählt wird. Als ausreichend gelten vor allem Passwörter ab 8 Zeichen. Doch natürlich erhöht sich die Sicherheit des Passwortes mit seiner Länge. Besonders bei besonders schutzwürdigen Daten ist eine Länge von 20 oder mehr Stellen angebracht.
  2. Kombinationen mit persönlichen Angaben, wie dem Geburtstag oder dem Namen von Kindern sollten nicht verwendet werden, da diese leicht von anderen zu enttarnen sind.
    Beispiel: Leon1998 oder Schatz75
  3. Auf zusammenhängende Wörter, sinnbringende Sätze oder Zahlenwiederholungen sollte verzichtet werden.
    Beispiel: sicheresPasswort oder Traumauto911
  4. Nutzen Sie stattdessen eine wahllose aber gut zu merkende Kombination aus Groß- sowie Kleinbuchstaben und Zahlen.
    Beispiel: Koch + Lampenschirm + Sonne + entsprechende Zahlen = K0chL4mp3nsch1rmS0nn3

Oft gelten auch Sonderzeichen als notwendig. Andere Experten raten davon ab, da das Passwort so lediglich schwerer zu merken werde und allein die Länge des Passwortes, nicht die Nutzung von Sonderzeichen die Sicherheit erhöhe.

Um sich solche komplizierten Passwörter merken zu können, gibt es einige Tipps und Tricks. Versuchen Sie sich beispielsweise zu den wahllos zusammengesetzten Wörtern eine Geschichte zu merken.

Beispiel: Der Koch eines Restaurants kauft neue Lampenschirme mit einem Sonnenmotiv.

Sie können auch selbst einen Satz verschlüsseln. Das klingt zuerst kompliziert, ist es jedoch nicht, da Sie den Entschlüsselungscode kennen.

Beispiel: Der Satz “Ich laufe gern einen Marathon” wird so verschlüsselt, dass von jedem Wort die letzten zwei Buchstaben genutzt und anschließend mit Zahlen kombiniert werden. Daraus ergibt sich “Chf3rn3n0n”.

Beachten Sie diese Hinweise, haben Sie schon den ersten Schritt zu einem sicheren Passwort getan.

Geeignete Passwortrichtlinien erarbeiten

Neben der Wahl eines geeigneten Passwortes ist noch etwas anderes wichtig. Auch ein sicherer und verantwortungsbewusster Umgang mit dem Passwort ist notwendig, um Hackerangriffe und unbefugtes Ausspionieren Ihrer Passwörter zu unterbinden.

Mindestanforderungen an eine Passwortrichtlinie nach DSGVO

In erster Linie sollten Unternehmen in Zusammenarbeit mit ihrem Datenschutzbeauftragten Konzepte und Passwortrichtlinien erarbeiten. Diese Richtlinien sollten wenigstens folgende Eckpunkte enthalten:

  1. Die Eingabe des Passwortes darf nicht als Originalpasswort, sondern in Sternchen erfolgen.
  2. Während der Passworteingabe muss darauf geachtet werden, dass niemand anderes dabei zusieht. Auch andere höher gestellte Ebenen des Unternehmens dürfen keine Kenntnis von unverschlüsselten Passwörtern der Mitarbeiter haben.
  3. Der Zugang muss automatisch gesperrt werden, wenn das Passwort mehr als drei Mal falsch eingegeben wurde. Der Zugreifende muss sich nun persönlich ausweisen. Alle müssen Fehlversuche dokumentiert werden.
  4. Die Passwörter dürfen nur verschlüsselt und auf den minimalsten Zugriff beschränkt auf dem Rechner gespeichert werden.
  5. Das Passwort darf von den Mitarbeitern nicht aufgeschrieben und bspw. unter die Tastatur gelegt werden.
  6. Auch darf kein Passwortbuch geführt und offen abgelegt werden. Ist das im Einzelfall dennoch notwendig, darf es nur in einem Safe oder an einem anderen sicheren Ort aufbewahrt werden.
  7. Die Passwörter müssen in regelmäßigen Abständen erneuert werden, wenigstens nach 180 Tagen. Dazu muss technisch darauf geachtet werden, dass das neue Passwort eine wesentliche Änderung zum alten Passwort beinhaltet.
  8. Die Passwörter müssen für jeden Mitarbeiter oder für verschiedene Zugänge individuell gelten. Auch das Wiederholen von Passwörtern muss verhindert werden.
  9. Der Rechner muss sich automatisch sperren und das Passwort erfragen, wenn ein Mitarbeiter längere Zeit nicht aktiv war.
  10. Einfache persönliche Sicherheitsfragen statt oder in Kombination mit der Passwortabfrage dürfen nicht mehr genutzt werden. Stattdessen ist eine qualifizierte Zweifach-Authentifizierung wesentlich sicherer. Hier wird neben dem normalen Passwort eine weitere unabhängige Kennung verlangt. Die zusätzliche Kennung kann beispielsweise in der Abfrage der Irisstruktur oder in der Zusendung eines Einmalkennwortes per SMS erfolgen.

Eine Passwortrichtlinie muss auch durchgesetzt werden

Wie die Richtlinie eingehalten wird

Diese Richtlinien sollten technisch durch eine Software oder spezielle Programme und durch organisatorische Maßnahmen eingehalten werden. Auch ist es erforderlich, dass alle Mitarbeiter Ihres Unternehmens diese Regeln kennen, Sie anwenden und regelmäßig darin geschult werden. Dokumentieren Sie die Einhaltung und Ausführung der Maßnahmen. Damit kommen Sie Ihrer Pflicht nach einer geeigneten Umsetzung der Datensicherheit gemäß Artikel 5 und 32 DSGVO nach.

Vorteile einer Passwortrichtlinie

Im Grunde genommen ergeben sich zwei große Vorteile einer gut ausgearbeiteten Richtlinie.

  1. Sensibilisierung aller, die mit Passwörtern in Kontakt kommen und diese setzen oder benutzen
  2. Nachweisfunktion: Wenn es zu einem meldepflichtigen Leck kommt, können Sie sich darauf stützen eine gute Richtlinie gehabt zu haben und alle Sie alle nötigen Mittel ergriffen haben

Wie ein Passwortmanager und Verschlüsselung helfen können, Ihre Passwörter zu sichern

In der Praxis ist es in größeren Unternehmen jedoch häufig nicht so einfach, viele verschiedene Passworte ohne jegliche Hinterlegung oder Notiz im Gedächtnis zu behalten. Dazu kann eine spezielle Software, ein Passwortmanager eingesetzt werden. An diese Datenbank gelangt man schließlich mit nur einem einzigen Masterpasswort, was man sich merken muss. Die Software speichert die Passwörter dann verschlüsselt und sicher.

Das kann zum Beispiel mittels einer Cloud geschehen, die die Passwörter mehrere Endgeräte (Laptop, Smartphone etc.) miteinander verbindet und die jederzeit auf jedem Gerät abgefragt werden kann. Ein Anbieter eines Cloud-Passwortmanagers ist bspw. LastPass, was in der einfachsten Ausstattung sogar kostenfrei erworben werden kann. Hier fungiert die Cloud als Speicher aller Passwörter für verschiedene Geräte, die nur ein einziges Mal eingegeben werden müssen und dann in jegliche Formulare und Loginmasken gesetzt werden.

Wesentlich sicherer und missbrauchsunanfälliger ist ein lokaler und meistens kostenloser Passwortmanager auf dem benutzten Gerät. Hier existieren bspw. Dashlane oder KeePass, die ebenfalls die gleichen Dienste anbieten. Einziger Nachteil ist hier nur, dass auf Passwörter von anderen Geräten nicht zugegriffen werden kann.

Beachtet werden sollte auch, dass eine Mehrfach-Authentifizierung genutzt wird, die neben der Masterpassworteingabe weitere unabhängige Kennungen erfordert, um einen noch höheren Schutz gegen unbefugte Zugriffe zu gewährleisten und Artikel 32 DSGVO zu genügen.

Einen guten Test finden Sie z.B. hier.

Kostenloser Download Passwortrichtlinie nach DSGVO

Laden Sie sich hier ein kostenloses Muster einer Passwortrichtlinie nach DSGVO herunter. Die Vollversion erhalten Sie in allen Vorlagenpaketen.

Download Passwortrichtlinie DSGVO

Häufige Fragen zum Thema Passwörter nach DSGVO

Was hat die DSGVO überhaupt mit Passwörtern zu tun?

Da Sie nach DSGVO dazu verpflichtet sind, personenbezogene Daten zu schützen, müssen Sie wirksame Passwörter vergeben. Wenn Sie dies nicht tun, verstoßen Sie gegen Ihre Sorgfaltspflichten und machen sich angreifbar.

Muss ich mein Passwort möglichst zufällig wählen?

Nein, grundsätzlich sollte ein Passwort zwar lang und individuell sein, aber auch leicht zu merken. Wenn Sie nur kryptische Zeichenfolgen benutzen, ist dies nicht gegeben.

Wozu benötige ich eine Passwortrichtlinie in meinem Unternehmen?

Da Sie neben der Sorgfaltspflicht auch eine Rechenschaftspflicht haben, sollten Sie Maßnahmen dokumentieren, um das Sicherheitsniveau in Ihrem Unternehmen hoch zu halten. Durch eine Richtlinie, welche Sie z.B. verbindlich für alle Beschäftigten machen, sind Sie hier auf einem guten Weg.

Fazit

Nach all den Hinweisen ist es gar nicht mehr so schwer, die Sicherheitsanforderungen an ein Passwort zu verinnerlichen. Sind Sie sich vor allem folgenden Punkten bewusst:

  1. Nutzen Sie für verschiedene Zugänge dieselben Passwörter, so sollten Sie unverzüglich individuelle vergeben!
  2. Veraltete und jahrelang nicht geänderte Passwörter sollten nicht mehr genutzt werden! Bitte verändern Sie diese!
  3. Passwörter sollten nicht mehr lesbar und offen auf dem Arbeitsplatz liegen!

Bedenken Sie stets, dass schon relativ wenig Aufwand Ihr Unternehmen vor Datenpannen beschützen kann. Neben Ihrem Interesse erfordert schließlich auch die DSGVO einen angemessenen Schutz personenbezogener Daten, die auch und insbesondere durch einen sicheren Passwortumgang erreicht werden können. Falls Sie das noch nicht beachtet haben, ist es nun höchste Zeit.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-5-dsgvo/
https://dsgvo-gesetz.de/art-13-dsgvo/
https://dsgvo-gesetz.de/art-32-dsgvo/

https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/