Zurück zur Übersicht
18.05.2021

Wenn kein sicheres Passwort verwendet wird

Regelmäßig weisen wir darauf hin, dass im digitalen Zeitalter die Wahl eines sicheren Passwortes unabdingbar ist. Denn wer sich bei einem Onlinedienst unberechtigt für einen anderen Nutzer anmelden kann, nimmt auch dessen Identität an und handelt in seinem Namen. Sämtliche Fehlhandlungen werden in der Regel dann zuerst dem eigentlichen Accountinhaber angerechnet.

Die Datenschutzaufsicht erhielt den Hinweis eines Bürgers, dass er sich bei einem Onlineportal, in dem die für einen Dienst in Anspruch genommenen Leistungen eingesehen werden können, ohne größeren Aufwand auch für andere Kunden anmelden konnte. Der Auslöser war hierbei das vom Betreiber des Onlineportals vergebene Standardpasswort „password“, welches bei der ersten Anmeldung am Portal auch nicht geändert werden musste. Zudem haben viele Nutzer zwar einen standardmäßigen Zugang zum Portal, eine Anmeldung jedoch nie vorgenommen. Dementsprechend wurden bei vielen Accounts auch keine Passwortänderungen durchgeführt.

Die Europäische Datenschutz-Grundverordnung (DSGVO) fordert in Artikel 32 technische und organisatorische Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Die Vergabe eines derart schwachen Initialpasswortes, welches dann auch noch für alle Nutzer gleich ist, verstößt gegen diese Anforderungen. Ein dem Stand der Technik entsprechendes Passwortmanagement hätte an dieser Stelle ein individuelles und sicheres Initialpasswort vorgesehen.

Es wurde umgehend den Kontakt zu dem Betreiber des Portals aufgenommen, welcher daraufhin zugesagt hat, sein Passwortmanagement anzupassen. Zum Ende des Berichtszeitraumes waren im ersten Schritt alle Nutzer zu Fragen der Passwortsicherheit sensibilisiert und es begann parallel dazu die Überarbeitung des Passwortvergabeverfahrens. So sollen künftig individuelle und sichere Passwörter an die Kunden verteilt und die Möglichkeit, unsichere Passwörter verwenden zu können, ausgeschlossen werden.

Tipps zur sicheren Passwortgestaltung:

  • je länger desto sicherer, mindestens acht, besser aber 10 bis 12 Zeichen oder mehr
  • alle verfügbaren Zeichen, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…), verwenden
  • Passwörter nicht mehrfach verwenden, sondern für jeden Dienst ein eigenes nutzen
  • Passwörter niemals an andere weitergeben
  • wenn möglich eine 2-Faktor-Authentifizierung nutzen, um die Sicherheit weiter zu erhöhen; neben dem Passwort ist hierfür ein weiteres Zugangsmerkmal wie eine SMS oder TAN erforderlich
  • ggf. einen Passwortmanager nutzen, um die unterschiedlichen Passwörter zu verwalten

Verantwortlichen in Wirtschaft und Verwaltung wird empfohlen, ein geeignetes Passwortmanagement aufzubauen und es einem regelmäßigen Revisionsprozess zu unterwerfen. Bei bereits vorhandenem Passwortmanagement sollte geprüft werden, ob es dem Stand der Technik entspricht.

Quelle: LfDI M-V

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks