GDPR-Einhaltung: Checkliste für die Sicherheit von Benutzerpasswörtern

  • Autor: Niklas Drexler
  • Letzte Aktualisierung: 03.07.2023
  • Kategorie: Datensicherheit

Die EU-Datenschutz-Grundverordnung (DSGVO) verlangt von Webdienstleistern, technische und organisatorische Anforderungen an die Datensicherheit umzusetzen, wenn sie Login-Bereiche für ihre Nutzer anbieten. Die deutschen Datenschutzaufsichtsbehörden haben eine Anleitung zur Sicherung von Passwörtern herausgegeben.

Wenn sich EU-Nutzer bei Online-Diensten wie Communities, Webshops, mobilen Apps oder anderen passwortgeschützten Anmeldebereichen anmelden, fallen die Informationen im Nutzerprofil wahrscheinlich in den Anwendungsbereich der DSGVO, unabhängig davon, in welchem Land die Daten verarbeitet werden oder wo der für die Datenverarbeitung Verantwortliche seinen Sitz hat.

Eine der rechtlichen Verpflichtungen der für die Datenverarbeitung Verantwortlichen gemäß der DSGVO besteht darin, technische und organisatorische Maßnahmen zu ergreifen, um die Datensicherheit zu gewährleisten. Wie wir kürzlich hervorgehoben haben, sollten diese Maßnahmen auf Folgendes abzielen

  • Pseudonymisierung und Verschlüsselung der Daten
  • Vertraulichkeit, Integrität und Widerstandsfähigkeit der IT-Systeme und -Dienste
  • Verfügbarkeit von Daten und die Fähigkeit, Daten nach einem Vorfall zeitnah wiederherzustellen
  • Regelmäßige Bewertung und Aktualisierung der technischen und organisatorischen Maßnahmen zur Datensicherheit

In einem Papier der deutschen Datenschutzaufsichtsbehörden, das im März 2019 veröffentlicht wurde, geben sie Hinweise, wie diese Anforderungen der DSGVO in Bezug auf die Passwortsicherheit von Nutzerkonten zu verstehen sind.

Leitfaden für Passwortsicherheit von deutschen Behörden

Die deutschen Behörden stellen eine Art Checkliste von Sicherheitsmaßnahmen zur Verfügung. Sie sind der Ansicht, dass ihre Vorschläge den technischen Stand der Technik widerspiegeln und grundsätzlich geeignet sind, die Einhaltung von Art. 32 DSGVO zu gewährleisten. Die Behörden betonen jedoch, dass die Auswahl und Umsetzung der Sicherheitsmaßnahmen im Allgemeinen in der Verantwortung des jeweiligen Datenverantwortlichen liegt. Die Behörden verlangen daher von den Anbietern von Webseiten oder mobilen Apps nicht, alle vorgeschlagenen Maßnahmen anzuwenden.

Dieser Hinweis kann auch als Verweis auf die Tatsache verstanden werden, dass die Sicherheitsmaßnahmen laut Gesetz im Verhältnis zu den Risiken der Verarbeitung angemessen sein müssen: Wenn z.B. in einem passwortgeschützten Bereich sensible Gesundheitsdaten des Nutzers eingesehen, kopiert oder gar verändert werden können, müssen stärkere Sicherheitsmaßnahmen angewendet werden.

Die Behörden empfehlen, folgende Schritte zu unternehmen:

  • Bewertung und Anzeige der Passwortstärke für den Benutzer: Die für die Datenverarbeitung Verantwortlichen müssen Passwortstandards anwenden, die die Kombination bestimmter Faktoren wie Länge, Zahlen und Sonderzeichen erfordern und triviale Kombinationen und bereits kompromittierte Passwörter aussortieren. Sie empfehlen in der Regel eine Mindestlänge von 10 Zeichen für ein einigermaßen sicheres Passwort.
  • Kein regelmäßiges Zurücksetzen des Passworts erforderlich: Wenn starke Passwörter wie oben beschrieben verwendet werden, müssen Dienstanbieter von ihren Nutzern nicht verlangen, dass sie ihre Passwörter regelmäßig ändern. Eine Änderung des Passwortes sollte jedoch zwingend erforderlich sein, wenn das Erstpasswort vom Diensteanbieter per Post vergeben wurde oder wenn es Hinweise auf unberechtigte Zugriffe oder sicherheitsrelevante Schwachstellen der verwendeten Softwarekomponenten gibt.
  • Umgang mit fehlgeschlagenen Anmeldeversuchen: Das Scheitern von Login-Versuchen ist zu registrieren und der berechtigten Person beim nächsten erfolgreichen Login anzuzeigen. Bei einer hohen Anzahl von Fehlversuchen, sowohl was die Anzahl der Versuche für das jeweilige Konto als auch die Anzahl der Versuche, sich mit verschiedenen Benutzerkonten unter Verwendung desselben Passwortes in den Dienst einzuloggen, betrifft, sollte der Login vorübergehend oder dauerhaft gesperrt werden.
  • Umgang mit kompromittierten Diensten: Wenn ein Anbieter feststellt, dass sein Dienst kompromittiert wurde, muss er die zuständige Aufsichtsbehörde und seine Nutzer unverzüglich gemäß Art. 33 GDPR INFORMIEREN. Darüber hinaus müssen geeignete Maßnahmen getroffen werden, um sicherzustellen, dass Unbefugte keinen Zugang zu den Konten mit den kompromittierten Informationen erhalten.
  • Benachrichtigungen über wichtige Kontoereignisse: Die Anbieter sollten ihre Nutzer über wichtige Ereignisse informieren, z. B. darüber, dass eine Telefonnummer oder E-Mail-Adresse geändert wurde, um den Zugang zu einem Konto zu ermöglichen, oder über erfolgreiche Anmeldungen aus anderen Ländern.
  • Sicheres Zurücksetzen von Passwörtern: Das Zurücksetzen von Passwörtern muss eine sichere Authentifizierung erfordern (z. B. sollten die Anbieter einen Link zum Zurücksetzen senden, der nur für eine einmalige Anmeldung gültig ist und nach maximal einer Stunde abläuft). 1 Stunde). Zusätzlich zu einer solchen E-Mail können Sicherheitsfragen gestellt werden.
  • Verschlüsselte Übertragung und Speicherung von Passwörtern: Passwörter dürfen nur in verschlüsselter Form übertragen und gespeichert werden, insbesondere durch Hashing und Salting. Die Verwendung symmetrischer Verschlüsselungsalgorithmen (z. B. AES) kann dagegen zu weiteren Risiken führen.
  • Sicherung der Passwort-Datenbanken vor unberechtigtem Zugriff: Anbieter müssen die Datenbanken, in denen sie Benutzerpasswörter speichern, vor dem unberechtigten Zugriff durch eigenes Personal und Dritte schützen.
    Schulung der Mitarbeiter der Anbieter: Die Anbieter müssen ihre Mitarbeiter regelmäßig in Fragen des Datenschutzes und der Informationssicherheit schulen, auch im Hinblick auf Social Engineering-Angriffe.
  • Angebot einer Zwei-Faktor-Authentifizierung: Zusätzlich zum Passwortschutz können die Anbieter eine Zwei-Faktor-Authentifizierung anbieten. Einmal aktiviert, darf die Zwei-Faktor-Authentifizierung nur mit angemessen sicheren Verfahren deaktiviert werden. In Fällen einer risikoreichen Verarbeitung (z. B. Zugang zu Gesundheitsdaten) ist die Zwei-Faktor-Authentifizierung keine bloße Empfehlung, sondern notwendig, um die DSGVO einzuhalten. Bevorzugt werden sollten offene Verfahren wie TOTP, bei denen keine zusätzlichen personenbezogenen Daten (Handynummern) preisgegeben werden müssen. Darüber hinaus wird den Anbietern empfohlen, standardisierte Verfahren wie WebAuthn zu verwenden.
  • Um die Folgen einer möglichen Datenkompromittierung zu begrenzen, sollten die zur Authentifizierung verwendeten Daten, insbesondere Passwörter, logisch getrennt von den Inhaltsdaten in unterschiedlichen Datenbankinstanzen gespeichert werden. Dies kann auch durch eine separate Verschlüsselung der Inhaltsdaten erreicht werden.
  • Die Diensteanbieter sollten ihre Nutzer auch über geeignete Software zur Passwortverwaltung informieren.

Dokumentation der Einhaltung

Die Dokumentation der Einhaltung der DSGVO ist eine rechtliche Verpflichtung der für die Datenverarbeitung Verantwortlichen. Die getroffenen Maßnahmen können in den Aufzeichnungen über die Verarbeitungstätigkeiten (Art. 30 DSGVO) oder in einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) festgehalten werden, falls eine solche Abschätzung gesetzlich vorgeschrieben ist.

Strong and weak easy Password. Note pad and laptop.
© Vitalii Vodolazskyi / stock.adobe.com | #226169763

Zurück zur Newsübersicht

Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Essenziell
Name Matomo
Technischer Name
Anbieter
Ablauf in Tagen 72
Datenschutz
Zweck Nutzung ohne Cookies
Erlaubt
Gruppe Externe Medien
Name Calendly
Technischer Name __cf_bm,__cfruid,OptanonConsent,
Anbieter Calendly LLC
Ablauf in Tagen 365
Datenschutz https://calendly.com/privacy
Zweck Zum Vereinbaren von Terminen über den Anbieter Calendly
Erlaubt
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name Contao HTTPS CSRF Token
Technischer Name csrf_https_contao_csrf_token
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt
Impressum | Datenschutz