Datensicherheit

Bye, bye Passwortwechsel-Zwang (Update Oktober 2019)

Update, 20.10.2019: Auch das Bundesamt für die Sicherheit in der Informationstechnik passt sich an. Dazu eine Ergänzung am Ende des Textes.

Viele Praktiker können meine Erfahrungen bei Mandanten vor Ort sicher bestätigen:
Der in Unternehmen vorgegebene Zwang zum Wechseln von Passwörtern (i.d.R. alle 90 Tage) kann zu bunten Zetteln am Bildschirm oder unter der Tastatur führen. Nur leider stehen auf diesen Zetteln dann eben die Passwörter. Und das wiederum macht IT-Systeme eben nicht unbedingt sicherer. Im Gegenteil.

Wir Menschen sind eben gerne ein wenig „faul“. Und das ist auch gut so. Ein ehemaliger VWL-Professor, der an der rechtswissenschaftlichen Fakultät der Uni Göttingen lehrte, erzählte uns in dem Kontext immer vom „Homo Oeconomicus“ und warum das dazu führe, dass z.B. auf Freiflächen immer Trampelpfade neben dem eigentlich vorgesehenen Weg entstehen, wenn der eigentlich vorgegebene Weg keinen Sinn macht oder eben einfach einen Umweg darstellt.

Und so ähnlich ist das auch mit den Passwörtern und den Zetteln. Wenn uns das Unternehmen vorgibt, dass wir alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln und diese dann aber auch noch komplex sein sollen, dann führt das ohne Passwort-Manager-Lösungen gerne dazu, dass „Trampelpfade“ entstehen. Nur, dass es dann eben kleine gelbe Klebezettel sind – mit Passwortinformationen.

Seit einer der ersten Befürworter dieser Passwortwechsel-Zwänge dies öffentlich bereute und als Fehler einräumte, ist Bewegung in die Sache gekommen. Denn mittlerweile rät z.B. auch die britische Communications Electronics Security Group (CESG) von Passwortwechseln ab.

Und in Deutschland folgte dann als erstes der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) mit seinen neuen Hinweisen zum Umgang mit Passwörtern .

Einen förmlichen Luftsprung vor Begeisterung habe ich wegen dieser Passage hier gemacht:

2) Keine regelmäßige Änderung erzwingen
Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt. Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden.

Endlich äußerte sich eine deutsche Behörde dazu. Leider, leider scheint das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch etwas vorsichtiger zu sein. Das BSI schreibt in seinem 2019 überarbeiten IT-Grundschutz-Kompendium immer noch wörtlich (Hervorhebung durch Fettdruck von mir):

Die Institution MUSS den Passwortgebrauch verbindlich regeln. Dabei MUSS festgelegt werden, dass nur Passwörter mit ausreichender Länge und Komplexität verwendet werden. Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden. Die Passwörter MÜSSEN sofort gewechselt, sobald sie unautorisierten Personen bekannt geworden sind oder der Verdacht darauf besteht. Passwörter MÜSSEN geheim gehalten werden.

Eines möchte ich jedoch deutlich sagen. Ich bin kein IT-ler, sondern Jurist. Und da immer noch umstritten, ob ein Passwortwechsel-Zwang sinnvoll sein kann oder nicht, kann ich nicht zweifelsfrei sagen, was nun die beste Lösung ist. Aus meiner Erfahrung mit Klebezetteln an Monitoren bei der Mandantschaft neige ich jedoch sehr stark dazu, dass Passwortwechsel-Zwänge in der Regel nicht sinnvoll sind.

Und jetzt gibt es auch etwas Neues und weitere Unterstützer der neuen „Lehre“. Denn nunmehr hat sich – wie ich heute erfahren habe – auch die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder, zu dem Thema geäußert. Genau genommen gibt es jetzt dieses Dokument, dass „Arbeitskreis Technische und organisatorische Datenschutzfragen“ der DSK erstellt hat.

Und dort können wir unter Ziff. 2.2 wörtlich lesen:

2.2 Passwortwechsel nur in Sonderfällen erzwingen
Sofern starke Passwörter (nach 2.1) verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich. Der Wechsel von Passwörtern soll insbesondere dann erzwungen werden, wenn der Dienstanbieter ein Initialpasswort in einer Weise zugeteilt hat, dass eine Kenntnisnahme durch Dritte nicht ausgeschlossen werden kann (z. B. durch postalischen Versand), oder wenn Hinweise auf eine Kompromittierung des Kontos oder sicherheitsrelevante Schwachstellen eingesetzter Softwarekomponenten vorliegen.

Ich persönlich begrüße diese Entwicklung sehr und bin gespannt, ob sich auch das BSI in dieser Angelegenheit auch noch einmal deutlicher zu Wort melden wird. Denn – wie gesagt – es gibt durchaus immer noch Befürworterinnen von Passwortwechsel-Zwängen.

Update, 20.10.2019:

In seinen im Oktober 2019 vorgestellten neuen „Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement“ (PDF) hat das BSI nun die Vorgaben zum Passwortwechsel geändert.

Wörtlich heißt es dort nun in „ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B):

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Insbesondere die Formulierung „Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“ macht deutlich, dass sich nun auch das BSI von dem Passwortwechsel-Zwang abkehrt. Eine – wie ich finde – gute Entwicklung.

Datenschutz & das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) – ein erster Überblick

Das Gesetz zum Schutz von Geschäftsgeheimnisses (GeschGehG) dient der Umsetzung der EU-Richtlinie 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Die Bundesrepublik Deutschland ist mit der Umsetzung der Richtlinie in Verzug.

Aber durch die Verabschiedung des GeschGehG im Bundestag wird es wohl 2019 noch in Kraft treten.

Das GeschGehG ist auch bei „Datenschützern“ derzeit in aller Munde. Denn: Um in den Genuss des Schutzes von Geschäftsgeheimnissen kommen zu können, müssen „Rechteinhaber“ etwas machen: Sie müssen „angemessene Schutzmaßnahmen“ treffen. Nur…was das konkret bedeutet, sagt uns der Gesetzgeber nicht.

Vielmehr sieht der Gesetzgeber es mit etwas abenteuerlicher Begründung so, dass nur Kleinstunternehmen und Startups derzeit noch Handlungsbedarf hätten. Für alle anderen Unternehmen seien es „Sowieso-Kosten“, also Kosten, die ohnehin anfallen.

Die durch die Definition des Geschäftsgeheimnisses neu eingefügte Schutzvoraussetzung der „angemessenen Geheimhaltungsmaßnahmen“ wird voraussichtlich bei einem Teil der Kleinstunternehmen dazu führen, dass diese bisher nicht praktizierte angemessene Geheimhaltungsmaßnahmen treffen, um in den Schutzbereich des Gesetzes einbezogen zu werden.

Ein Großteil der Unternehmen trifft diese Maßnahmen im wohlverstandenen Eigeninteresse schon jetzt. Insbesondere größere und mittlere Betriebe schützen bereits ihre Geschäftsgeheimnisse, zum Beispiel durch eine Zugangskontrolle oder durch vertragliche Geheimhaltungsverpflichtungen, um zu verhindern dass die betreffenden Informationen offenkundig werden. Es handelt sich damit um sogenannte Sowieso-Kosten.

Die rechtswissenschaftliche Literatur meint nun allerdings teilweise, dass angemessene Schutzmaßnahmen durchaus umfangreich sein können. Da der Gesetzgeber hier „null“ Vorgaben zur Angemessenheit gemacht hat und der Maßstab auch nicht unmittelbar der EU-Richtlinie 2016/943 zu entnehmen ist, bin ich gespannt, wie sich das hier entwickelt.

Ich kann aus den vagen Formulierung nicht erkennen, dass z.B. nun Unternehmen zwingend E-Mails verschlüsseln müssten. Allerdings meine ich auch, dass Unternehmen sich nicht auf den Schutz von Geschäftsgeheimnissen berufen können sollen, wenn diese selbst z.B. in Patentsachen unverschlüsselt E-Mails herumsenden.

Im nachfolgenden Video gebe ich einen ersten Überblick über das GeschGehG:

Umsetzung von Datensicherheitsvorgaben (Grundlagen)

Am 23.08.2018 habe ich ein Webinar zum Thema Umsetzung von Datensicherheitsvorgaben (Grundlagen) veranstaltet.

Dieses Webinar ist primär für Personen gedacht, die keine oder nicht viele Vorkenntnisse im Bereich der Datensicherheit haben.

Datenschutz-Coaching-Mitglieder können sich die 90-minütige Aufzeichnung hier ansehen (PRO-Mitglieder können darüber hinaus das Video und eine MP3-Datei herunterladen):

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinarvideo: Datensicherheitsanforderungen der DSGVO umsetzen – Ein Crashkurs

Die neuen Vorgaben zur Datensicherheit aus Art. 32 DSGVO umzusetzen beinhaltet Neues. Die „alten“ technischen und organisatorischen Maßnahmen des § 9 BDSG haben hier ausgedient. Gefordert ist insbesondere ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit.

Aber wie mache ich das nun konkret? In der Aufzeichnung des Webinars stelle ich zunächst die gesetzlichen Anforderungen der DSGVO zur Datensicherheit vor und erläutere dann, wie die Umsetzung aussehen kann. Ich empfehle hier ein Vorgehen auf Basis des Informationssicherheitsstandards VdS 3473. Dieser Standard ist übrigens auch Basis für einen derzeit in der Konzeption befindlichen neuen Standards zur Umsetzung der DSGVO: VdS 10010

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden