Per E-Mail mit Unternehmen zu kommunizieren, ist Standard. Die Korrespondenz häuft sich in den Postfächern der Unternehmen an und muss adäquat geschützt werden. Ein Zugriffsschutz allein über Benutzername und Passwort ist dafür grundsätzlich nicht mehr ausreichend.
Ein Unternehmen meldete eine Datenpanne im Zusammenhang mit einem E-Mail-Postfach, das der Kommunikation mit dessen Kunden diente. Im Zuge der Prüfung stellte sich heraus, dass das für das Postfach verwendete Passwort aufgrund seiner unzureichenden Komplexität erraten werden konnte. Als direkte Maßnahme nach der Datenpanne hatte das Unternehmen seine Passwortrichtlinien überarbeitet und die Möglichkeit zum Fernzugriff auf das betroffene Postfach sowie ähnlich verwendete Postfächer deaktiviert. Mit der Prüfung wollte die Datenschutzbehörde sicherstellen, dass die nun getroffenen Sicherheitsvorkehrungen ausreichend sind und längerfristig ein angemessenes Schutzniveau eingehalten werden kann.
Wer personenbezogene Daten verarbeitet, muss nach Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen treffen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Hierbei sind immer der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten etwaig betroffener Personen zu berücksichtigen. Verantwortliche müssen dementsprechend abwägen, auf welche Teile ihrer Datenverarbeitung Zugriff aus dem Internet und auf welche Teile nur Zugriff aus dem internen Netzwerk gewährt werden soll. Betreiben Verantwortliche – wie im vorliegenden Fall – selbst einen E-Mail-Server, empfiehlt sich die Prüfung, ob nicht der E-Mail-Abruf über das interne Netzwerk ausreicht. Wird ein externer E-Mail-Dienstleister genutzt, ist sicherzustellen, dass der Zugriff auf die Postfächer ausschließlich über eine sichere Authentisierung erfolgt. Die bloße Verwendung von Benutzername und Passwort entspricht dabei nicht mehr dem Stand der Technik und ist deshalb durch mindestens einen zweiten Faktor zu ergänzen. Noch besser wäre es, ganz auf die Verwendung von nutzergenerierten Passwörtern zu verzichten und stattdessen sog. Passkeys einzusetzen, die als in den Endgeräten der Nutzer:innen gespeicherte kryptografische Schlüssel die vollständig passwortlose Anmeldung erlauben.
Zugriffskontrolle ist ein wichtiger Bestandteil des technischen Datenschutzes. Der Zugriff auf IT-Systeme ist immer auf das notwendige Minimum zu beschränken. Je weniger Zugänge vergeben werden, desto besser ist der Schutz der Systeme und der darauf befindlichen Daten gewährleistet. Sind bestimmte Bereiche, wie etwa E-Mail-Postfächer, über das Internet zugänglich, ist die Zugriffskontrolle durch eine sichere Authentisierung der berechtigten Personen unabdingbar. Mindestanforderung ist hier die Verwendung zweier oder mehrerer Faktoren; wenn durchführbar, empfiehlt sich der Wechsel auf passwortlose Methoden.
Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit
Sind Sie sicher, dass Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks