Bundesdatenschutzbeauftragter Kelber fordert Pflicht zur Verwendung von sicheren Passwörtern

Montag, 14. Januar 2019

Anlässlich des Doxxing-Angriffs und des damit verbundenen Leaks von personenbezogenen Daten vieler Politiker und Promis forderte der neue Bundesdatenschutzbeauftragte Ulrich Kelber im Rahmen einer Sondersitzung eine Pflicht zur Verwendung von sicheren Passwörtern.

Betroffene Personen müssen sich selber schützen…

Die Aufgabe, die eigenen Daten zu schützen, hätten dabei in erster Linie natürlich die betroffenen Personen selbst. Um personenbezogene Daten, oft sensibler Art, zu schützen, müssten sichere Passwörter verwendet werden. Trivialpasswörter (wie bspw. das eigene Geburtsdatum oder einfache Zahlenreihen) seien in jedem Fall zu vermeiden. Kelber forderte in dieser Hinsicht eine weitgehende Sensibilisierung der Bevölkerung: "Wenn wir wollen, dass die Leute ihre Türen abschließen, müssen wir ihnen verständlich machen, warum dies erforderlich ist und wo sie die entsprechenden Schlüssel finden." Hilfreiches Informationsmaterial zum Schutz der eigenen Daten im Internet gibt es bspw. auf den Webseiten des Thüringer sowie des rheinland-pfälzischen Landesbeauftragten.

… aber auch die Unternehmen stehen in der Pflicht!

Die Pflicht zur Verwendung sicherer Passwörter sei allerdings nicht allein Aufgabe der betroffenen Personen, so Kelber. Vielmehr müssten auch die im Internet agierenden Unternehmen in die Verantwortung genommen werden. Kelber spricht hier zwar direkt die Anbieter von digitalen Kommunikationsplattformen sowie Cloud-Diensten an, die Aussage dürfte allerdings insgesamt für alle Verantwortlichen gelten, die in irgendeiner Form eine passwortgeschützte Login-Möglichkeit auf der Webseite anbieten. Laut Kelber sollten solche Stellen verpflichtet werden, zum einen auf die Verwendung sicherer Passwörter hinzuweisen. Darüber hinaus sollte das jeweilige Unternehmen verpflichtende technische Maßnahmen treffen, um betroffene Personen zur Verwendung sicherer Passwörter zu zwingen. Dies könnte etwa durch die Einstellung einer Maximallänge des Passworts oder durch das Verbot von trivialen Kombinationen (z.B. 1234, ABC, etc.) erfolgen.

Zwei-Faktor-Authentifizierung

Zudem sollten Verantwortliche dazu verpflichtet werden, neben dem Schutz des Nutzer-Accounts durch ein Passwort auch weitere Sicherungsmöglichkeiten bereitzustellen. Ein dazu bislang bereits oft genutztes Instrument sei die sog. Zwei-Faktor-Authentifizierung, die das gewählte Passwort z.B. durch ein weiteres Einmalkennwort (meist über die Mobilfunknummer versendet) oder ein bestimmtes Token ergänzt.

Was bedeutet das nun für mich als Verantwortlichen?

Sollten Sie auf Ihrer Webseite (oder in anderer Form) einen Login-Bereich für Kunden, Interessenten oder andere betroffene Personengruppen bereitstellen, sollten Sie die Passwortregelungen überprüfen und ggf. anpassen. Praktikable und sichere Regelungen zum Passwortgebrauch stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen des IT-Grundschutzes zur Verfügung.

Diese Regelungen des BSI (oder anderer Stellen) sollten Sie – wenn nicht bereits geschehen – auch in Ihre unternehmensinternen IT-Strukturen implementieren. Das dient dem Schutz der (personenbezogenen) Daten in Ihrem Unternehmen vor unbefugtem Zugriff durch Dritte und wird im Rahmen der Datenschutz-Grundverordnung gefordert. (ll)

Quellen:

BfDI Kurzmeldung vom 10.01.2019: Statement des BfDI zur Veröffentlichung von Daten von Mitgliedern des Deutschen Bundestages und weiteren Betroffenen

Heise online vom 05.01.2019: Massen-Doxxing: Datenschützer will Twitter zum Sperren von Links verpflichten