Passwörter sind die Schlüssel zu unseren Daten und sollten daher sicher ausgewählt werden und der Umgang sorgsam erfolgen. Passwörter begleiten den Alltag und werden z.B.: zum Zugriff auf das Betriebssystem, zum Kundenkonto-Login, zur WLAN-Nutzung oder auch für die Sperre beim Mobiltelefon erforderlich.

Gerne möchten wir Ihnen die wesentlichen Anforderungen an ein Passwort und weiter Möglichkeiten einer Passwortausgabe aufzeigen.

I. Anforderungen an das Passwort

Das Passwort sollte komplex und individuell gestaltet werden, die wesentlichen Tipps für ein gutes Passwort sind:

• mindestens acht Zeichen (für Administratoren oder besonderes Schutzniveau mehr);
• Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen (möglichst nicht nur am Ende oder Anfang);
• keine familiären oder sonstige private Daten wie Geburtsdaten, Name von Familienangehörigen, Name des Haustieres;
• das Passwort sollte, wenn möglich, nicht im Wörterbuch vorkommen;
• es sollten keine Wiederholungs- oder Tastaturmuster (z.B. abcde…, 12345..) eingegeben werden;
• das Passwort kann sich auch zur leichtern Einprägsamkeit aus einem Satz (unter Einbeziehung der Sonderzeichen und Zahlen) ergeben, in welchen die Anfangsbuchstaben des Worts jeweils einen Teil darstellen.

Eine größere Sicherheit bietet eine Mehrfaktorauthentifizierung. Mittels eines weiteren Erkennungsmerkmals (z.B. SMS. TAN-Generator, Chipkarte) kann eine stärkere Verifizierung erreicht werden.

II. Single Sign-on (SSO)

In der Praxis kann durch eine sog. Einmalanmeldung, also einer einmaligen Authentifizierung auf mehrere Anwendungen auf einem Arbeitsplatz zugegriffen werden. Als praktisches Szenario ist der Benutzer zu sehen, der sich an seinem Arbeitsplatzrechner anmeldet und sich dann ohne das SSO-Verfahren noch weitere Male anmelden müsste, wenn er auf eine Datenbank und das zugehörige CRM-System zugreifen möchte. Das SSO-Verfahren hat den Vorteil, dass nicht jedes Mal eine neue Anmeldung erfolgen muss und die Identität innerhalb des physischen Systems gespeichert wird und nicht mehrmals übertragen werden muss (Verminderung der Gefahr von Phishing).

Der SSO-Mechanismus muss selbst eine starke Authentifizierungen vorhalten, da diese nicht schwächer sein darf, als die einzelnen veranlassten Authentifizierungen. Es stellt eine Vereinfachung dar, aber dabei sollten hohen Sicherheitsanforderungen beachtet werden und Einschränkungen vorhanden sein. Das Verfahren unterstützt zudem, dass der Nutzer sich in erster Linie satt vieler Passwörter nur ein starkes Passwort einprägen muss.

Damit ein datenschutzkonformer Einsatz erfolgen kann sollte der Mechanismus die folgenden Rahmenbedingungen erfüllen.

Es muss sichergestellt werden, dass der Anbieter des SSO-Verfahrens nur die Authentifizierung übernimmt und keine Datenzugriffe möglich sind. Es dürfen keine Profile über die genutzten Authentifizierungen erstellt werden. Hinsichtlich der Passwortgestaltung sollten hohe Anforderungen gestellt werden (z.B. Festlegung von Fehlversuchen). Weiterhin sollte das System nach einer Zeitschranke bei Inaktivität die Zugriffe trennen und ein automatisches abmelden einleiten. Passwörter sind auf verschlüsseltem Wege zu übertragen und zu speichern. Bei höherem Schutzbedarf sollte eine Mehrfaktorauthentifizierung eingebunden werden. Die Zugriffe von außerhalb auf das System müssen eingeschränkt sein und Notfallmaßnahmen vorgehalten werden.

Es gibt auch die Möglichkeit ein Single Sign-On Verfahren im Zusammenhang mit Sozialen Medien z.B. Facebook im privaten Bereich zu nutzen, allerdings werden die Daten zu einem „Social Graph“ zusammenführt und mit hoher Wahrscheinlichkeit an ein Drittland weitergeleitet. Gegen die Vielzahl an Datenerfassungen haben mehreren deutsche Großunternehmen eine Datenallianz gegründet zum Betrieb einer Datenschutzplattform z.B. zum sicheren Single Sign-On und zur Identitätsverifizierung. Die Plattform soll Ende 2017/Anfang 2018 zur Verfügung stehen. Wie die konkrete Ausgestaltung sein wird ist noch zu klären. Sofern Sie über den Einsatz eines Single Sign-On nachdenken, sollte in jedem Falle eine datenschutzrechtliche Kontrolle im Vorfeld durchgeführt werden.

Gerne stehen wir Ihnen für Rückfragen zur Verfügung.