Am 05. April 2019 veröffentlichte das Gremium der deutschen Datenschutzaufsichtsbehörden, die sogenannte Datenschutzkonferenz („DSK“), eine Orientierungshilfe für Anbieter von Online-Diensten, welche Anforderungen zur Zugangssicherung enthält. Sie haben insbesondere die Vorschriften zur Sicherheit der Verarbeitung (Art. 32 DSGVO) zu beachten. Es sind verschiedene Maßnahmen zur Zugangssicherung aufgeführt, die dem Stand der Technik entsprechen und einen effektiven Schutz gewährleisten können. Nachfolgend ein kurzer Auszug (nicht vollständig):
Zwei-Faktor-Authentisierung
Die Authentisierung erfolgt durch zwei unterschiedliche und unabhängige Faktoren. Zwei-Faktor-Systeme greifen nach der Passwortabfrage auf externe Systeme zurück. Der zweite Faktor ist z.B. ein Bestätigungscode auf dem Smartphone, um die Anmeldung abzuschließen.
Sicheres Passwort-Reset
Passwort-Reset-Verfahren sollten gegen unbefugte Zugriffsversuche und Social Engineering resistent sein. Verfahren, die ein neues Passwort per E-Mail senden, sind ungeeignet. Passwort-Reset-Links, bei denen der Link nur ein einziges Mal funktioniert und nur eine kurze Gültigkeitsdauer (max. 1 Stunde) besitzt, entsprechen dem Stand der Technik. Ein zweiter Kanal muss für das Recovery von E-Mail-Konten verwendet werden.
Zusätzliche Sicherheitsfragen bieten eine größere Sicherheit als ein Versand eines Passwort-Reset-Links, können aber einen zweiten sicheren Kanal nicht ersetzen. Es sollten mehrere Sicherheitsfragen eingesetzt werden und neben vorgegebenen Fragen auch nutzergenerierte Fragen möglich sein.
Passwort-Datenbanken sichern
Passwort-Datenbanken müssen vor unbefugtem Zugriff durch eigenes Personal und Dritte gesichert werden. Dies soll durch regelmäßige unabhängige Penetrations- und Schwachstellentests erreicht werden.
Schulung der Beschäftigten von Anbietern
Ihre Beschäftigten sollten regelmäßig zu Fragen des Datenschutzes und der Informationssicherheit geschult werden. Dies betrifft insbesondere Schulungen, die die Beschäftigten für Social Engineering Angriffe sensibilisieren.
Passwörter verschlüsselt übertragen und speichern
Trennung von Authentifikations- und Nutzdaten
Die zur Authentifikation verwendeten Daten sollen logisch getrennt in unterschiedlichen Datenbank-Instanzen von den Inhaltsdaten gespeichert werden, um die Folgen einer möglichen Kompromittierung von Daten zu beschränken.
Sicherheit als integrierte Aufgabe
Das Sicherheitskonzept einer Anwendung gemäß Art. 32 DSGVO muss regelmäßig auditiert, evaluiert und verbessert werden. Die Grundsätze des Art. 25 DSGVO sind hierbei zu beachten.
Sprechen Sie uns an. Gerne begleiten und unterstützen wir Sie bei der Umsetzung der erforderlichen Maßnahmen, gerne auch vor Ort in Ihrem Unternehmen.