Datenschutz und IT-Sicherheit

Welche Rolle spielen Zugangsschutz und Passwörter im Datenschutz

Ein Grundsatz im Datenschutz stellen Integrität und Vertraulichkeit dar. Dabei geht es um die Sicherheit und die Verfügbarkeit, aber eben auch um Integrität und Vertraulichkeit personenbezogener Daten. Um diese sicher zu stellen, bedarf es einiger Sicherheitsvorkehrungen, wie dem Zugangsschutz.

Was bedeutet Zugangsschutz im Datenschutz?

Der Zugangsschutz stellt einen wichtigen Baustein im Datenschutz dar. Er sichert die personenbezogenen Daten von Betroffenen vor dem Zugriff unbefugter Dritter. Dabei denkt man vor allem natürlich an die IT-Sicherheit. Der Zugangsschutz kann aber unter anderem auch in anderen Bereichen eine Rolle spielen und ganz manuell ablaufen. Hierbei spricht man dann oft über die Zugriffs- und Zutrittskontrolle, welche den physischen Zutritt zu Räumlichkeiten verhindert, in denen Daten aufbewahrt werden oder den physischen Zugriff auf die Daten selber.

Auch Zugriffs- und Zutrittskontrolle können aus unterschiedlichen Komponenten bestehen und sowohl digital als auch manuell ablaufen und Daten in Papierform genauso schützen wie Daten in digital gespeicherter Form.

Wichtig bei jeder Art von Zugangsschutz ist es aber, dass dieser nur berechtigten Personen einen Zugang zu den personenbezogenen Daten erlaubt. Das geschieht, indem man deren Identität hinterfragt und in diesem Zusammenhang natürlich auch abfragt. Im digitalen Bereich geschieht dies in der Regel durch Zugangsdaten wie Benutzername und Kennwort, darüber hinaus ist auch zu prüfen, ob eine Zwei-Faktor-Authentifizierung sinnvoll ist.

Phishing – wenn Zugangsdaten in Gefahr sind

Nicht neu – aber vor allem in den Zeiten von Homeoffice immer gefährlicher: Phishing. Das Abgreifen von Daten mit sogenannten Phishing-Mails, erfolgt zum Beispiel darüber, dass der Angeschriebene dazu aufgefordert wird, Zugangsdaten über einen in der Mail angegebenen Link einzugeben. Der Link führt in der Regel zu einem Fake-Account, über den Betrüger dann die Zugangsdaten des Users abgreifen können.

Es macht daher Sinn, dass Mitarbeiter für dieses Problem sensibilisiert werden und entsprechend auffällige E-Mails nicht öffnen, keine Daten eingeben und diese E-Mails an die entsprechenden Verantwortlichen in der IT melden.

Mehr zum Thema Phishing lesen Sie auch hier.

Mehr als nur ein Passwort – die Zwei- oder Mehr-Faktor-Authentifizierung

Bei der Zwei-/Mehr-Faktor-Authentifizierung muss der User mehrere Komponenten nutzen, um sich zu identifizieren. Dies kann zum Beispiel ein Mobiltelefon sein, auf dem der Zugang via App getätigt wird und das dazugehörige Kennwort. Abruf der im Smartphone identifizierten Telefonnummer und Kennwort ergeben dann die Komponenten, um den Zugang zu gewährleisten. Ein Zugang nur über Username und Passwort ist dann nicht möglich.

Eine Schwachstelle hierbei sind beispielsweise Cookies, die abgerufen und somit für die Authentifizierung genutzt werden. Merken Sie sich dabei, dass es nicht reicht, eine Anmeldung im Web zu schließen. Es sollte immer der Browser geschlossen werden. Erst dann wird das Abgreifen der Cookies einigermaßen umgangen werden.

Auch die Sicherheit der verwendeten Smartphones sollte immer abgeklärt werden. Ein nicht ausreichend abgesichertes Smartphone kann eine große Sicherheitslücke darstellen, nicht nur im Datenschutz.

Der Passwort-Safe – Nutzung von Passwortmanagern im Datenschutz

Jeder sollte für unterschiedliche Zugänge auch unterschiedliche Kennwörter nutzen – lesen Sie mehr dazu, welches Risiko gleichbleibende Kennwörter darstellen. Um sich diese Fülle an Kennwörtern zu merken, empfehlen Aufsichtsbehörden sogenannte Passwort-Safes. Das Masterkennwort für diesen Safe sollte entsprechend sicher sein und natürlich mindestens mit der Zwei-Faktor-Authentifizierung geschützt werden.

Das sollten Sie bei Zugangsschutz, Passwörtern und Co. beachten:

  • Sensibilisieren Sie Ihre Mitarbeiter für den Zugangsschutz in Form einer Unterweisung (stellen Sie ein Merkblatt zur Verfügung)
  • Erstellen Sie Kennwortrichtlinien und informieren Sie Ihre Mitarbeiter regelmäßig in diesem Bereich
  • Prüfen Sie, ob und wo eine Zwei- oder Mehr-Faktor-Authentifizierung sinnvoll ist
  • Achten Sie darauf, dass keine Sicherheitslücken durch das Arbeiten an fremden oder öffentlichen Geräten entstehen
  • Geben Sie keine Zugangsdaten an Dritte weiter
  • Prüfen Sie Ihre Anwendungen auf Anfälligkeiten und Sicherheitslösungen für Phishing und Viren
  • Nutzen Sie Passwort-Safes mit einem starken Masterkennwort und speichern Sie keine Zugangsdaten auf dem Server

Zero-Trust und der Datenschutz

Die Idee von Zero-Trust („Kein Vertrauen“) ist, dass man die IT-Sicherheit nicht mehr nur von außen bzw. nach außen beurteilt. Derzeit werden, so Security-Experten, Sicherheitskonzepte immer nur so aufgebaut, dass man Zugriffe von außen abwehrt. Die Entwicklung der Zugriffe durch Unbefugte zeigt, dass dies nicht mehr ausreichend ist. Das Konzept von Zero-Trust besagt, dass man auch Gerätschaften und Programme innerhalb der Organisation so behandeln sollte, als würden diese von außen auf die Daten zugreifen. Hierbei wird der Fokus mehr auf den Nutzer gestellt.

Ist der Nutzer identifiziert, bedeutet dies für die Umsetzung, dass Geräte und Anwendungen, ähnlich wie bei einem Zugriff Externer besondere Sicherheitsprüfungen durchlaufen. Dies kann durch eingeschränkte, möglichst ausschließende Befugnisse von Nutzern und Geräten, mehr Kontrolle und weitere Authentifizierungen geschehen.

Wenn die IT-Sicherheit gestärkt wird, kann dies natürlich auch positive Auswirkungen auf den Datenschutz haben. Dabei sollte aber immer durch den Datenschutzbeauftragten geprüft werden, ob der Datenschutz eingehalten und nach den vorgegebenen Maßnahmen umgesetzt wird.

Vor der Implementierung vom Zugangsschutz: Datenschutz prüfen

Gerade der Bereich der IT-Sicherheit hat immer auch direkten Einfluss auf den Datenschutz. Das bezieht sich nicht nur auf die Sicherheit der personenbezogenen Daten vor dem Zugriff von außen. Auch welche Systeme und Kontrollmechanismen eingesetzt werden, sollte vor der Implementierung mit dem (externen) Datenschutzbeauftragten durchgesprochen werden.

Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) und berät Sie mit einem Team aus Datenschutz, IT-Sicherheit und Steuerrecht. Wir betreuen Mandanten in KölnDüsseldorfSiegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Vertraulichkeit, Verfügbarkeit und Integrität im Datenschutz
Markiert in: