Kennwörter und Datenschutz

Achtung vor Datenpannen bei unzureichenden Passwörtern in Unternehmen

Die Digitalisierung hat sich vor allem durch den Lockdown noch stärker in unserem Alltag eingefunden. Für Homeoffice und Videokonferenzen nutzen nun viele vermehrt auch digitale Zugänge für den Datenaustausch.

Dabei ist natürlich auch der Datenschutz zu beachten. Das gilt nicht nur für den Datenaustausch allgemein, sondern auch für die Kennwortsicherheit, diese gehört zu einem Baustein der technischen und organisatorischen Maßnahmen (TOM), die nach der Datenschutz-Grundverordnung (DS-GVO) die personenbezogenen Daten von Betroffenen schützen sollen.

61 % der Deutschen verwenden Kennwörter mehrmals

Wie Medien berichten, hat eine Umfrage unter den Deutschen ergeben, dass 61% der Nutzer nur ein Kennwort für mehrere Zugänge (51%) vergeben und 6% nutzen sogar immer das gleiche Kennwort. Bereits 19% der Befragten wurde dabei bereits Opfer eines Passwortdiebstals.

Dabei stellt vor allem ein sicheres Kennwort bereits einen wichtigen Baustein zum Schutz von Daten dar. Gerade im Datenschutz in Unternehmen schützen die Kennwörter Firmeninterner und für den Datenschutz wichtig: personenbezogene Daten.

Warum ist ein sicheres Kennwort wichtig im Datenschutz?

Wenn ein Unbefugter versucht auf den Account eines Users zurückzugreifen, dann versucht er natürlich erst einmal das Kennwort auf irgendeine Weise abzugreifen. Das kann z.B. durch einen Hackerangriff erfolgen. Dabei gilt, je sicherer das Kennwort, desto schwieriger ist der Zugriff. Problematisch wird es dann noch, wenn dasselbe Kennwort für verschiedene Zugänge genutzt wird. Mit dem Kennwort kann so nun der Unbefugte sich gleich Zugang zu den unterschiedlichen Datenräumen verschaffen.

Vor allem im geschäftlichen Bereich, können so personenbezogene Daten von Betroffenen entwendet und weiterverwendet werden. Das führt dann dazu, dass ein Schaden für den Betroffenen entsteht. Bereits der Hackerangriff stellt dabei eine Datenpanne dar (über das Thema Datenpannen durch Hackerangriffe können Sie mehr in unserem Blog lesen).

Kennwörter bilden also eine wichtige Barriere für den Zugriff auf personenbezogene Daten und gehören damit zu den notwendigen technischen und organisatorischen Maßnahmen (TOM) im Datenschutz.

Passwörter schützen auch Daten im Büro

Auch wenn die Welt immer digitaler zu werden scheint, Kennwörter schützen personenbezogene Daten auch im Büro-Alltag vor Zugriffen Unbefugter. Gerade dort, wo viele Kunden, Mandanten, Patienten, also Besucher ein- und ausgehen, sollten diese gesichert aufbewahrt werden.

Besonders im Empfangsbereich von Hotels, Arztpraxen, Kanzleien, Bürogebäuden oder im Einzelhandel, sollte ein Computer beim Verlassen des Arbeitsplatzes immer gesperrt und durch ein Passwort geschützt werden. Auch in vermeintlich geschlossenen Räumen von Büros, Behandlungs- oder Besprechungszimmern müssen die Daten auf diese Art und Weise geschützt werden.

Kennwortrichtlinien im Unternehmen

Unglaublich scheint dabei auch, dass laut Veröffentlichung eines VPN-Service-Providers, die Ziffernfolgen 1234567890 und 000000 usw. immer noch zu den beliebtesten Kennwörtern (TOP 20) zählen.

Umso wichtiger sind daher Kennwortrichtlinien, die im Unternehmen einen verpflichtenden Leitfaden für die Erstellung und Handhabung von Passwörtern stellen. Wir haben Ihnen hier noch einmal die wichtigsten Eckdaten zum Erstellen eines Kennwortes zusammengefasst:

Wie erstelle ich ein sicheres Kennwort?

Passwörter sollten nach gewissen Vorgaben festgelegt werden, damit Sie sicher sind. Unter anderem sollte ein Passwort:

  • mindestens acht Zeichen lang sein
  • nicht nur Buchstaben beinhalten, sondern aus Groß- und Kleinbuchstaben, Sonderzeichen (Satzzeichen u.ä.) und Zahlen bestehen
  • kein sinnbringendes Wort sein, dass beispielsweise im Duden aufgeführt ist
  • nicht aus einem einfachen Passwort bestehen (z.B. bekannte Namen)
  • nicht aus Zeichen aufgebaut sein, die auf der Tastatur nebeneinander liegen (z.B. 123456)
  • mehrfach hintereinander das gleiche Zeichen auf der Tastatur enthalten (z.B. www)
  • nicht direkt mit dem Benutzer in Verbindung gebracht werden können uvm.

Mehr zu sicheren Kennwörtern und Passwortregeln lesen Sie auch in unserem Blog.

Wie Unternehmen mit der richtigen Kennwortrichtlinie den Datenschutz sicherer machen können, lesen sie in unserem Blog über Kennwortrichtlinien.

BYOD und private Nutzung von Endgeräten im Unternehmen

Wenn Mitarbeiter eigene Geräte zur betrieblichen Nutzung zur Verfügung stellen (Bring Your Own Device = BYOD) oder Endgeräte vom Unternehmen auch privat nutzen können, so stellt dies darüber hinaus natürlich auch ein erhöhtes Risiko für Hackerangriffe dar. Denn auch wenn das Kennwort von privaten Accounts entwendet wurden, kann die Gefahr bestehen, dass der Mitarbeiter diese auf dem gleichen Gerät für den Unternehmenszugang nutzt. Dann ist die Gefahr vom Verlust von personenbezogenen Daten hierbei natürlich besonders hoch.

Auch private Zugänge können Schaden auf den Geräten hinterlassen – egal ob im Homeoffice oder Büro. Wird ein Gerät egal in welcher Form privat genutzt, wirken sich alle Hackerangriffe und jeder Datenklau auch auf die geschäftlichen Bereiche aus. Eine passende IT-Sicherheit spielt dabei, über das Kennwort hinaus, eine tragende Rolle.

Informieren Sie die Mitarbeiter auch darüber, dass Computer immer entsprechend den Vorgaben im Homeoffice gesperrt werden müssen und geben Sie Hinweise zum Umgang mit Passwörtern.

Aufbewahrung und Speicherung der Kennwörter

Kennwörter sollten nie an einen Dritten weitergegeben werden – auch nicht bei einer Urlaubsvertretung. Möglich wäre eine gesicherte und verschlüsselte Aufbewahrung von Kennwörtern. Niemals sollten Passwörter in Klartextform aufbewahrt werden.

Von einer Speicherung der Kennwörter ist abzuraten, da dies einen Zugriff auf die geschützten Daten quasi ohne großen Aufwand möglich macht. Der Zugangsschutz durch die Passwörter entfällt in der Regel dadurch komplett.

Bußgeld für Datenschutzverstöße

Die Nutzung von Kennwörtern gehört zu den sogenannten technischen und organisatorischen Maßnahmen (TOM) im Datenschutz und sind daher eine notwendige Sicherung von personenbezogenen Daten.

Bei einem Verstoß gegen den Datenschutz, welcher durch Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) geregelt wird, drohen empfindliche Strafen. Sollte eine Prüfung zum Beispiel nach einer Beschwerde eines Betroffenen durch die zuständige Aufsichtsbehörde erfolgen, werden auch die getroffenen technischen und organisatorischen Maßnahmen überprüft und beurteilt. Wird dabei festgestellt, dass die personenbezogenen Daten zum Beispiel nicht durch eine entsprechende Kennwortfestlegung geschützt wurden, kann dies zu empfindlichen Strafen führen.

Kennwörter und externer Datenschutzbeauftragter

Ob Sie mit Kennwörtern DS-GVO-konform umgehen, kann ein (externer) Datenschutzbeauftragter beurteilen. Ein Datenschutz-Audit und eine regelmäßige Betreuung, zum Beispiel bei der Einführung neuer Programme, durch einen externen Datenschutzbeauftragten hilft Ihnen dabei den Datenschutz sicher umzusetzen.

Datenschutzberater.NRW bietet Ihnen neben diesem Service auch noch weitere Angebote im Bereich Datenschutz an. Nehmen Sie gerne mit uns Kontakt auf und wir erstellen Ihnen ein praxisnahes und individuelles Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten. Wir betreuen Mandanten im Großraum Köln, Düsseldorf, Bonn, Siegen, Gummersbach, Siegburg und ganz NRW.

Mehrheit der Deutschen hat noch immer unsichere Kennwörter