DSGVO erfordert angepasste Arbeitsweise
Sicherheits- und Datenschutzkonzepte
von Konstantin Pfliegl - 15.05.2018
Beuchelt: Neben der ethisch korrekten Datenverarbeitung erfordert die DSGVO ein dem Risiko angemessenes Sicherheitsprogramm, um die personenbezogenen Daten zu schützen. Zwar gibt es kein Patentrezept für gute Sicherheit, aber es gibt eine Reihe von Elementen, die jedes Sicherheitsprogramm prüfen muss: Neben der grundlegenden Betriebshygiene wie Schwachstellenmanagement werden Passwörter – insbesondere für Dienste von Drittanbietern – oft übersehen. Und das, obwohl Tools wie LastPass zur Verfügung stehen, um das Passwortmanagement zu verbessern und zu messen.
com! professional: Und was macht ausgerechnet ein unzureichendes Passwortmanagement so gefährlich? Wie verschärft die DSGVO dieses Problem?
Beuchelt: Viel zu oft entstehen Sicherheitslücken durch ein wiederverwendetes oder sehr schwaches Passwort für Unternehmensdienste. Das muss nicht immer das Administrator-Kennwort sein. Die Angreifer werden immer besser darin, ein Unternehmen quasi von unten zu durchsetzen: Wird eine anfängliche, kleine Lücke im System identifiziert, ist es oft einfach, von einem Server auf den nächsten zu gelangen, bis der Zugriff auf wichtige Systeme gewonnen ist.
com! professional: … aber ganz ohne Passwörter geht es halt auch nicht …
Beuchelt: Passwörter sind die am häufigsten verwendeten Berechtigungsnachweise, um Anwender gegenüber Systemen zu authentifizieren. Sie sind viel einfacher zu implementieren als viele andere Authentifizierungsmechanismen, sodass sie eigentlich überall genutzt werden. Während es große Fortschritte bei der Einführung alternativer oder zusätzlicher Authentifizierungsfaktoren wie Tokens oder Biometrie gibt, ist die Anmeldung über Passwörter immer noch die am häufigsten verwendete Authentifizierungsform.
Vor einigen Jahren galt Federation als die Lösung: Ein einziges Passwort und ein Single Sign-on sollten den Zugriff auf viele Systeme ermöglichen. Aber Federations sind immer noch schwierig einzurichten und zu verwalten und zudem manchmal nicht kompatibel. Daher ist die grundlegende Passwortverwaltung immer noch eines der größten Probleme für diejenigen, die Zugang zu Hunderten von Systemen und Accounts haben.
com! professional: Wie sollen Unternehmen also mit ihren zahlreichen Passwörtern umgehen?
Beuchelt: Die Bereitstellung eines Passwortmanagers der Enterprise-Klasse sollte einer der ersten Schritte sein – ohne ein geeignetes, sicheres und plattformübergreifendes Tool kann von den Mitarbeitern nicht erwartet werden, dass sie Hunderte von hochkomplexen Passwörtern verwalten und regelmäßig ändern. Außerdem sollten die Tools, mit denen Unternehmen ihre Passwörter verwalten, Metriken und Dashboards bereitstellen, um die Effektivität des Rollouts zu messen. Es ist wichtig, die Nutzungsrate und die Gesamtqualität der Passwörter im Blick zu haben, um eine gute Ausgangslage zu haben und die Passwortsicherheit kontinuierlich zu verbessern.
com! professional: Sehen Sie hier Unterschiede zwischen KMUs und größeren Unternehmen?
Beuchelt: Skalierbarkeit ist natürlich wichtig, da größere Unternehmen oft komplexere IT-Ökosysteme haben und anderen Herausforderungen gegenüberstehen. Das grundlegende Problem der Passwortsicherheit ist aber eigentlich identisch.
com! professional: Bei allen Sicherheitsvorkehrungen – können Unternehmen den Angreifern überhaupt jemals auf Augenhöhe begegnen, oder werden Cyberkriminelle ihnen immer einen Schritt voraus sein?
Beuchelt: Es wird immer ein Wettlauf sein. Wenn die Sicherheitssysteme besser werden und die Unternehmen gewisse Sicherheitsstandards anwenden, werden auch die Angreifer raffinierter.
