Die deutsche Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder, kurz Datenschutzkonferenz oder DSK, hat Ende März 2019 eine Orientierungshilfe bezüglich der Anforderungen an Anbieter von Online-Diensten (Online-Banking, RoboAdvisor, Webshops, soziale Netzwerke, Video-on-Demand, Online-Gaming, usw.) zur Zugangssicherung herausgegeben. Und diese Anforderungen sind in Summe nicht ohne!
Passwortstärke messen und anzeigen
Die Stärke der von den Nutzern gewählten Passwörter muss gemessen und angezeigt werden. Insbesondere zu berücksichtigen sind:
- Länge des Passwortes (mindestens 10 Zeichen),
- Einsatz von Ziffern und Sonderzeichen,
- Zeichenketten aus Wörterbüchern,
- landesspezifische Tastenkombinationen (wie zum Beispiel qwertz),
- unsichere Trivialpasswörter (wie zum Beispiel 123456),
- unsichere triviale Ersatzzeichen (wie o durch 0 oder I durch 1) und
- die Sicherstellung, dass bereits kompromittierte Passwörter nicht erneut genutzt werden können.
Kein regelmäßiger Passwortwechsel mehr
Erstmals stellt die DSK fest, dass beim Verwenden von starken Passwörtern ein regelmäßiger Passwortwechsel nicht mehr zwingend erforderlich ist. Selbstverständlich sollten Initial-Passwörter sofort gewechselt werden, und auch wenn Hinweise auf eine Kompromittierung vorliegen, sollte ein neues Passwort vergeben werden.
Fehlgeschlagene Anmeldeversuche müssen registriert und dem berechtigen Nutzer beim nächsten erfolgreichen Login angezeigt werden. Erlangt ein Anbieter Kenntnis darüber, dass sein Dienst kompromittiert wurde, so muss er unter anderem die zuständige Aufsichtsbehörde und seine Nutzer ohne zeitliche Verzögerung darüber informieren.
Anbieter sollten ihre Nutzer über wichtige Ereignisse informieren, etwa darüber, dass gerade eine Telefonnummer oder eine E-Mail-Adresse geändert wurde. Verfahren zum Reset von Passwörtern, die gegen unbefugte Zugriffsversuche und Social Engineering resistent sind, sollen angeboten werden. Dabei sind Verfahren, die ein neues Passwort per E-Mail versenden, laut DSK ungeeignet.
Passwörter verschlüsselt übertragen und speichern
Passwörter sind über einen kryptographisch abgesicherten Transportkanal zu übertragen. Dort muss sichergestellt sein, dass diese in der Server-Anwendung unmittelbar in ein geeignetes Hash-Verfahren überführt und so verschlüsselt gespeichert werden. Anbieter müssen die Datenbanken, in denen sie Nutzerpasswörter speichern, vor unbefugtem Zugriff durch eigenes Personal und Dritte sichern. Beschäftigten müssen regelmäßig zu Fragen des Datenschutzes und der Informationssicherheit schulen.
Zusätzlich zum Passwortschutz soll eine Zwei-Faktor-Authentisierung angeboten werden. Der zweite Faktor muss auf einem anderen Gerät, einem anderen Kommunikationskanal oder einer anderen ausreichenden Trennung zwischen Passwort und Verwaltung des zweiten Faktors basieren.
Passwörter getrennt speichern
Um die Folgen einer möglichen Kompromittierung von Daten zu beschränken, sollen die zur Anmeldung verwendeten Login-Daten, insbesondere Passwörter, logisch getrennt in unterschiedlichen Datenbanken von den Inhaltsdaten gespeichert werden. Dies kann auch durch eine gesonderte Verschlüsselung der Inhaltsdaten bewirkt werden.
Nutzer sollen über geeignete Passwort-Manager-Lösungen und deren Gebrauch informiert werden. Zum Erreichen eines angemessenen Schutzniveaus muss die Sicherheit eines Online-Dienstes als Ganzes betrachtet werden. Der Umgang mit Passwörtern und der Einsatz eines wirksamen Authentisierungsverfahrens stellen dabei nur einen wichtigen Baustein dar, hält die DSK fest. Das Sicherheitskonzeot muss regelmäßig auditiert, evaluiert und verbessert werden.
Fazit: Sehr sinnvoll, aber in Summe eine Herausforderung
Alles in allem erscheint jede einzelne Maßnahme sehr sinnvoll. In Summe stellt sich beim Umsetzen aber wohl die eine oder andere Herausforderung. Nicht nur für große Anbieter wie Facebook, Amazon, Google & Co., sondern insbesondere für kleinere und neue Anbieter von Online-Diensten.
Weitere interessante Beiträge:
DSGVO: Darf WhatsApp weiterhin genutzt werden?
Einfacher Datenschutz im beruflichen und privaten Alltag
Datenschutz: Muss HTTPS-Verschlüsselung für Internetseiten sein?