Anbieter dürfen Passwörter nicht im Klartext speichern
Das Erste nach der DSGVO in Deutschland verhängte Bußgeld ging 2018 an das soziale Netzwerk „Knuddels“. Die Passwörter von Kundinnen und Kunden wurden im Klartext gespeichert und durch einen Hackerangriff mit anderen Daten erbeutet. Dies kostete das Unternehmen 20.000 Euro, trotz umfassender Zusammenarbeit mit der Aufsichtsbehörde.
Warum also dürfen Passwörter nicht im Klartext gespeichert werden? Weil so bei einem Datenleck die Kombination aus E-Mail-Adresse und Passwort in die Hände von Unbefugten gelangt, welche diese nutzen können, um Zugang zu anderen Benutzerinnen- und Benutzerkonten zu bekommen. Die Nutzung von im Internet oder Darknet angebotenen Identitäts-Datenbanken ist leider eine sehr erfolgreiche Methode, um durch eine Anmeldung geschützte Zugänge zu überwinden, da ein hoher Anteil der Nutzerinnen und Nutzer die Kombination aus E-Mail-Adresse und Passwort bei verschiedenen Diensten/Websites/Nutzerkonten wiederverwendet.
Aber wie kann eine Anbieterin oder ein Anbieter ein Passwort überprüfen, wenn es nicht im Klartext speichern darf? Dafür stellt in der IT-Sicherheit seit einiger Zeit die Nutzung von Hash-Funktionen den Stand der Technik dar und ist in der Praxis auch üblich. Diese Funktionen erlauben die Transformation einer beliebigen Zeichenfolge in eine feste Anzahl von Bits – dem sogenannten Hashwert. Die gleiche Zeichenfolge führt dabei immer zu dem gleichen Hashwert, aber aus dem Hashwert lässt sich weder die ursprüngliche Zeichenfolge errechnen noch irgendeine andere Zeichenfolge, welche den gleichen Hashwert generieren würde. Die Anbieterin oder der Anbieter speichert bei sich also statt des Passwortes nur dessen Hashwert. Wenn sich der oder die Nutzer/in anmeldet, gibt er bzw. sie sein/ihr Passwort an, die Anbieterin oder der Anbieter berechnet daraus den Hashwert und vergleicht diesen Wert mit dem gespeicherten Wert. Sind die beiden identisch, wird die Nutzerin bzw. der Nutzer eingeloggt. Sollten Unbefugte Zugriff erlangen oder der Anbieterin oder dem Anbieter diese Daten durch eine Datenpanne gestohlen werden, hat die oder der Unbefugte nur die Hashwerte, welche sie oder er nicht zum Einloggen nutzen kann.
Dieses Vorgehen ist nicht nur sicherheitstechnisch vorbildlich, sondern nach meiner Auffassung eindeutig durch Art. 32 Datenschutz-Grundverordnung (DSGVO) gesetzlich erfasst. Das Risiko, welches sich durch vulnerable Datenbanken mit Klartextpasswörtern ergibt, ist in Anbetracht der weitverbreiteten Lösung und einfachen Umsetzbarkeit nicht hinnehmbar. Es ist hierbei der umfangreichen Praxis und den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu folgen. Passwörter und Konten von Kundinnen und Kunden dürfen nicht im Klartext gespeichert werden. Dies betrifft auch verschlüsselte Passwörter, wenn der Schlüssel bei der Anbieterin oder dem Anbieter liegt. Die Authentifizierung muss mittels Hashwerten erfolgen.
Dieses Jahr erreichte die Datenschutzbehörde auch eine Beschwerde zu diesem Thema. Ein Unternehmen mit einer hohen Anzahl von Nutzerinnen- und Nutzerkonten, welche teilweise auch empfindliche Informationen wie E-Mails betrafen, zeigte seinen Kundinnen und Kunden die Passwörter im eigenen Kundenportal im Klartext an. Das ist nur möglich, wenn die Passwörter (auch) im Klartext gespeichert werden. Da dies offen sichtbar war, musste es nicht erst zu einem Datenleck kommen, um diesen Umstand zu entdecken. Die Unternehmensleitung wurde auf den Umstand aufmerksam gemacht, und in den nachfolgenden Gesprächen zeigte man sich einsichtig, wollte aber aus Komfortgründen die Funktionalität der Klartextanzeige beibehalten. Eine klassische Abwägung also, zwischen Sicherheit und Komfort für die Nutzerinnen und Nutzer? Nein, denn hinsichtlich der Sicherheit sind an dieser Stelle keine Abstriche zugunsten der „bequemen“ Erfahrung zulässig. Die Anbieterin oder der Anbieter hat die Speicherung nachfolgend mit einem internen Passwortmanager realisiert, welcher die Passwörter der Kundinnen und Kunden enthält, aber mit einem Masterpasswort verschlüsselt ist, das nur die Kundin bzw. der Kunde kennt. Diese Lösung ist zwar etwas unorthodox, aber akzeptabel – das Prinzip von Passwortmanagern ist etabliert, und die Verwendung wird jeder Nutzerin und jedem Nutzer nahegelegt.
Was ist zu tun?
Es sind hashbasierte Anmeldeverfahren zu nutzen. Passwörter dürfen nicht im Klartext gespeichert werden. Nutzerinnen und Nutzer sollten Passwortmanager nutzen.
Quelle: SDTB Sachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks