Sichere Kennwörter definieren und erstellen
Wer Daten schützen möchte, der braucht ein starkes, sicheres Passwort. Das hat sich mittlerweile herumgesprochen. In Unternehmen und Organisationen werden zusätzlich neben den Unternehmensdaten auch noch personenbezogene Daten von Betroffenen verarbeitet. Kein Wunder also, dass es gilt diese besonders zu schützen.
Jedes Unternehmen und jede Organisation sollte daher eine Kennwortrichtlinie erstellen, um personenbezogene Daten ausreichend zu schützen. Nicht umsonst stellt diese als technische und organisatorische Maßnahme (TOM) einen wichtigen Bestandteil zur Einhaltung der DS-GVO (Datenschutzgrundverordnung) dar. Ein nicht ausreichendes Passwort kann unter Umständen sogar zu einem Bußgeld führen.
Grund genug, dass wir von Datenschutzberater.NRW Ihnen in diesem Datenschutz-Blog die wichtigsten Grundlagen zu einer Kennwortrichtlinie erklären und Ihnen noch einmal aufzeigen, was ein starkes Passwort ausmacht.
Warum braucht es eine Kennwortrichtlinie im Datenschutz?
Um personenbezogene Daten Betroffener ausreichend zu schützen, benötigt es also ein sicheres Kennwort. Was personenbezogene Daten sind und wann wir Sie verarbeiten, lesen Sie in einem weiteren Blogartikel.
Damit sichergestellt ist, dass personenbezogene Daten vor dem Zugriff Dritter geschützt werden, ist es im Datenschutz Pflicht, jedes Gerät, welches diese verarbeitet, mit einem Passwort zu schützen. Auch sind das Erstellen und Dokumentieren von technischen und organisatorischen Maßnahmen zum Schutz der Daten verpflichtend für jeden, der personenbezogene Daten verarbeitet.
Spätestens wenn eine Datenpanne vorliegt, wird dann auch nach der Sicherheit der Kennwörter gefragt. Um sicher zu stellen, dass jeder Mitarbeiter ein ausreichend starkes Passwort verwendet, sollte man daher einheitlich geltende Richtlinien einführen. Erhält jeder Mitarbeiter diese Richtlinien, kann gewährleistet werden, dass eine höchstmögliche Sicherheit bei der Datenverarbeitung belegt wird.
Checkliste Passwort – Ist mein Passwort sicher?
Passwörter sollten nach gewissen Vorgaben festgelegt werden, damit Sie sicher sind. Unter anderem sollte ein Passwort:
- mindestens acht Zeichen lang sein
- nicht nur Buchstaben beinhalten, sondern aus Groß- und Kleinbuchstaben, Sonderzeichen (Satzzeichen u.Ä.) und Zahlen bestehen
- kein sinnbringendes Wort sein, dass beispielsweise im Duden aufgeführt ist
- nicht aus einem einfachen Passwort bestehen (z.B. bekannte Namen)
- nicht aus Zeichen aufgebaut sein, die auf der Tastatur nebeneinander liegen (z.B. 123456)
- mehrfach hintereinander das gleiche Zeichen auf der Tastatur enthalten (z.B. www)
- nicht direkt mit dem Benutzer in Verbindung gebracht werden können uvm.
Mehr zu sicheren Kennwörtern lesen Sie auch in unserem Blog.
Was beinhaltet die Unternehmensrichtlinie für sichere Passwörter?
Die Unternehmensrichtlinie für sichere Kennwörter sollte gewisse Vorgaben enthalten. Dazu gehören unter anderem der Gültigkeitsbereich, in dem definiert wird, warum es sichere Kennwörter im Unternehmen geben muss und was in der Richtlinie geregelt wird. Es sollte auch festgelegt werden, wer die Verantwortlichkeit für diese Richtlinie trägt.
Definieren Sie ebenso Zwecke und Ziele der Unternehmensrichtlinie – für welche Bereiche gilt diese Richtlinie? Dabei sollten Sie auch Serverräume, Mobiltelefone und andere Bereiche berücksichtigen, die kennwortgesichert sein müssen.
Mitarbeitern deutlich machen, warum das richtige Passwort wichtig ist
Neben den klaren Vorgaben, wie das Kennwort aufgebaut sein soll (siehe oben), sollte in der Kennwortrichtlinie auch klar gemacht werden, warum man diese Unternehmensrichtlinie festgelegt hat. Welche Ziele verfolgen Sie mit der Richtlinie? Warum ist der Schutz der Daten so wichtig, welche Fehler können passieren und was kann der Mitarbeiter tun, um diese zu verhindern?
Wenn der Mitarbeiter versteht, welchen Zweck diese Vorgaben haben, kann er sie entsprechend umsetzen. Klare Vorgaben bei der Vergabe der Kennwörter helfen darüber hinaus auch bei der sicheren Kennwortfindung und geben Sicherheit bei deren Erstellung.
Datenkategorien und Inhalte der Unternehmensrichtlinie
Definieren Sie in der Kennwortrichtlinie, für welche IT-Systeme diese gilt. Darüber hinaus macht es Sinn, festzulegen, welche Kennwortverwaltung (immer nach den gesetzlichen Vorgaben) es möglicherweise geben kann. Wichtig dabei ist, dass Kennwörter nicht notiert oder unverschlüsselt gespeichert werden dürfen. Grundsätzlich darf natürlich keine Weitergabe der Kennwörter erfolgen, auch nicht an Administratoren.
Nicht zuletzt spielen auch zentrale Sicherheitshinweise für die Nutzung von Passwörtern eine große Rolle. Festgelegt werden kann dabei z.B., dass voreingestellte Standardpasswörter, die bei der Einrichtung des Zugangs verwendet wurden, geändert werden müssen, dass Passwörter nur verschlüsselt angezeigt und alle drei Monate geändert werden müssen.
Mögliche Sanktionen
Da die falsche und nicht ausreichende Nutzung von Kennwörtern im Datenschutz weitreichende Folgen hat, sollte jeder im Unternehmen darüber informiert werden. Mehr noch als informieren, muss darauf hingewiesen werden, dass eine Nicht-Einhaltung dieser Vorschrift möglicherweise auch strafrechtliche Folgen mit sich bringen kann.
Durch eine Unterschrift sollte jeder, der personenbezogene Daten in der Organisation verarbeitet, bestätigen, dass er diese Passwortrichtlinie gelesen und verstanden hat.
Kennwortrichtlinien mit dem externen Datenschutzbeauftragten
Bei der Erstellung einer Unternehmensrichtlinie für Passwörter im Datenschutz, ist es wichtig, die komplexen Abläufe in einem Unternehmen nach den datenschutzrechtlichen Vorgaben zu prüfen. Ein externer Datenschutzbeauftragter kann dabei helfen, die Passwortrichtlinien auf die Einhaltung der DS-GVO hin zu prüfen.
Darüber hinaus unterstützt er die Unternehmen durch weitere Angebote aus dem Datenschutz:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- Projektbezogener Datenschutz
- Beurteilung von ADV-Verträgen
- GoBD-Beratung
- IT-Audit
- Mitarbeiterschulungen im Datenschutz
Als externer Datenschutzbeauftragter für den Raum Köln, Bonn, Siegburg, Düsseldorf, Siegen und ganz NRW bieten wir von Datenschutzberater.NRW eine umfängliche Beratung im Datenschutz mit dem Background aus IT, Steuerrecht und Datenschutz. Nehmen Sie gerne Kontakt zu uns auf und wir setzen uns mit einem individuellen Angebot mit Ihnen in Verbindung.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO einhalten, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.