EU Datenschutz Grundverordnung 2018

KW 5: Authentifizierung: Begeistern Sie mit schicken Accessoires Ihre Mitarbeiter und erfüllen Ihre Rechenschaftspflicht!

Autor:

Joachim Jakobs

Passwörter überfordern Nutzer – und lassen sich immer besser von Kriminellen knacken. Die Zwei-Faktor-Authorisierung könnte zur systematischen Bewältigung des Problems beitragen. Sie sind gesetzlich dazu verpflichtet, Ihre Datensicherheit nachweisen zu können. Ihre Mitarbeiter können Ihnen beim Erfüllen Ihrer Pflichten wesentlich helfen!

Mitte Januar meldete golem.de: „Twitter-Account des Spiegel-Chefs gehackt“ – stundenlang soll das Konto des Chefredakteurs Klaus Brinkbäumer von Dritten übernommen worden sein und in dieser Zeit den türkischen Staatspräsidenten beweihräuchert haben. Die feindliche Übernahme von Brinkbäumers Konto könnte mit einem schlechten Passwort zusammenhängen: Zwei Tage nach Bekanntwerden von Herrn Brinkbäumers Panne wurde eine Studie veröffentlicht der zufolge bei 81 Prozent aller Datenangriffe schwache Passwörter im Spiel gewesen sein sollen: So wie das WLan der Luther-Bibliothek im sachsen-anhaltinischen Zeitz mit dem Passwort „Martin“ „gesichert“ sein soll. Womöglich sind sich die Nutzer nicht darüber im Klaren, dass es Passwort-Lexika mit Milliarden Einträgen gibt .


C-IAM GmbH:

Beratung für DSGVO 0228 534-592-35


Die Angegriffenen sind überfordert

Lange Zeit wurde empfohlen , Passwörter sollten häufig gewechselt werden, mindestens 8 Zeichen lang und „komplex“ sein, also nicht nur Groß- und Kleinbuchstaben, sondern auch noch Zahlen und Sonderzeichen enthalten.

Die Verantwortlichen in den IT-Abteilungen hätten das gegenüber Kunden, Partnern und Mitarbeitern per „Passwort-Politik“ durchsetzen können; tatsächlich scheinen sie häufig mit ihrer Aufgabe überfordert zu sein: 78 Prozent der „IT-Entscheider“ sollen nicht in der Lage sein, den Zugang zu cloud-basierten Anwendungen zu kontrollieren, knapp zwei Drittel würden noch nicht einmal verhindern, dass ein Passwort von mehreren Personen genutzt wird. Was konsequent von den Angreifern ausgenutzt wird. Da die Chefs bei den IT-Anwendern mittlerweile zu 84 Prozent ihre Einkaufsentscheidungen mit Hilfe „sozialer“ Medien absichern , sollen Britische Unternehmen gar Gefahr laufen , auf diese Weise „Millionen“ zu verlieren. Und so manche Nutzer treiben den Unsinn ihrer schlechten Vorbilder auf die Spitze: Sean Spicer – der frühere Pressesprecher von US-Präsident Donald Trump – soll in der Woche seines Amtsantritts sein Passwort getwittert haben.

Die Cyber-Apokalypse

Die Leistungsfähigkeit der Informationstechnik spielt den Angreifern, nicht den Angegriffenen in die Hände: Die Angegriffenen sind noch genauso naiv wie zu Zeiten des Fax-Geräts, die Qualität der Angriffe befindet sich auf dem jeweiligen Stand der Technik. Und mit den Quantencomputern droht uns nach Ansicht von James Butterfill, Head of Research & Investment Strategy beim Britischen Anlageberater ETF Securities Ltd. eine „Cyber Apokalypse“: Heute gängige Verschlüsselungsverfahren würden obsolet, weil die Schlüssel „in Sekunden“ errechnet werden könnten. Es wird vermutet , dass neue Verschlüsselungsverfahren in zehn Jahren verfügbar sein könnten, doch will niemand seine Hand dafür ins Feuer legen, dass die Verfahren schneller als die Quantencomputer am Markt sind.

Passwort-Manager und Sicherheits-Sätze

Bis dahin sollten wir wenigstens von den heute vorhandenen Möglichkeiten Gebrauch machen: Liese und Otto Normalverbraucher könnten einen Passwortmanager verwenden – die Idee: Der Passwortmanager selbst erstellt ein neues Passwort anhand der Vorgaben des Nutzers (Länge, Groß-/Kleinbuchstaben, Sonderzeichen) und speichert alle Zugangsdaten der verschiedenen Dienste. Hier hat die c‘t vor Jahren solche Werkzeuge geprüft . Doch welches Werkzeug ist auch in Zukunft so vertrauenswürdig, dass Sie ihm guten Gewissens intimste Geheimnisse anvertrauen können? Manche Technik ist nicht nur löchrig – die Anbieter streiten auch noch darüber, ob Sie von den Löchern Kenntnis nehmen dürfen: Kurz vor Weihnachten 2017 wurde bekannt , dass die Firma Keeper Security den Journalisten Dan Goodin wegen eines Berichts über Sicherheitslücken verklagt hat. Der Vorwurf der Klage: „Ziel und Ergebnis des Artikels waren, Keeper und seine Mitarbeiter zu schädigen und Keeper Produkte schlecht zu machen." Nicht auszuschließen ist, dass sich Journalisten auf diese Weise eingeschüchtert fühlen und nicht über Lücken berichten. Was ebenfalls den Angreifern in die Hände spielt.

Andere mögen die „MasterPassword App“: Die Anwendung soll aus dem MasterPassword dieser Anwendung und dem Namen des jeweiligen Dienstes ein einmaliges Passwort generieren. Auch wenn HeiseSecurity-Chefredakteur Jürgen Schmidt und andere von der Anwendung begeistert zu sein scheinen, so ist dies noch kein Nachweis der Sicherheit dieses Dienstes – vor einem Jahr hieß es bei theregister: „Sicherheitspannen bei 1Password und anderen Passwort-Managern ‚extrem beängstigend‘“. Ich kann weder diese Aussage noch die Sicherheit irgendeiner anderen Anwendung beurteilen; aber solang ich kein Zertifikat von einer unabhängigen Institution gesehen habe, das diesem Werkzeug glaubwürdig Sicherheit bescheinigt, bewahre ich mir mein Misstrauen.

Ich persönlich bilde immer Sätze mit dem Namen des jeweiligen Dienstes – ein solcher Satz könnte für C-IAM zum Beispiel lauten „Ich bin ein Fan von C-IAM!“ – wenn man nur die Initialen der einzelnen Worte aus diesem Satz übriglässt, erhält man das neunstellige „IbeFvC-I!“ – im Vergleich zur Masse der Passwörter schon recht komplex. Wenn Sie da jetzt noch das „e“ durch die Zahl „1“ ersetzen und dem Passwort zum Beispiel „¹“ und „?“ (Beide Zeichen befinden sich ziemlich an den Rändern der Tastatur und lassen sich damit gut merken!) setzen, sieht das schon richtig gut aus: „¹Ib1FvC-I!?“ – es enthält immerhin 11 Stellen einschließlich Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen. Mit der Veröffentlichung hier ist dieses Passwort jetzt allerdings bekannt und sollte nicht mehr genutzt werden.

DSGVO, BDSG und 2FA

Jetzt die Konsequenzen für Unternehmen, die Mitarbeiter und Kunden identifizieren wollen: § 64 BDSG (neu) – die Präzisierung der DSGVO in Deutschland – verlangt , „die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, “ Also zuerst einmal zurück auf Los und eben rasch eine Risikoanalyse anstellen!

Wenn Sie das gemacht haben, lesen Sie den folgenden Halbsatz nach „gewährleisten,“ in §64: „insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.“

Es scheint, als ob der Gesetzgeber bei besonderen Kategorien personenbezogener Daten einen besonderen Schutzbedarf unterstellt. Das BSI schreibt in einer Broschüre mit dem Titel „Notfallmanagement mit der Cloud für KMUs“: „Die Verarbeitung von Daten mit erhöhtem Schutzbedarf bedingt auch einen erhöhten Schutz Für die Verarbeitung solcher Daten empfiehlt es sich, nur Dienste mit zusätzlichen Methoden zur Authentisierung zu nutzen.“ Offenbar ist die Verwendung eines zweiten Faktors Stand der Technik – auch in Kleinunternehmen!

Authentisierung: Wenn Sie durchs Werkstor Ihres Arbeitgebers gehen, „authentisieren“ Sie mich mit Ihrem Mitarbeiterausweis – die Werksicherheit „authentifiziert“ Sie an Hand Ihres Fotos als Mitarbeiterin. Um im Beispiel zu bleiben: Wollte Ihr Unternehmen jetzt eine Zwei-Faktor-Authentisierung (2FA) am Werkstor einführen, müssten Sie künftig womöglich zusätzlich noch Ihre Personalnummer nennen. So wie Sie am Bankautomaten nicht nur die EC-Karte, sondern auch noch eine PIN benötigen.

Der Fachanwalt für IT-Recht Stephan Hansen Oest warnt: „Wenn die Risikoanalyse einen hohen Schutzbedarf ergibt, dann wird (man) eine 2FA ggf. aus Art. 32 DSGVO ableiten können.“ Diesem Artikel der (Europäischen) DSGVO entspricht § 64 BDSG (neu).

Besondere Kategorien personenbezogener Daten …

Wer also „besondere Kategorien personenbezogener Daten“ verarbeitet, der sollte einen zweiten Faktor zur elektronischen Authentifizierung seiner Mitarbeiter, Patienten oder Lieferanten nutzen. Zu diesen besonderen Kategorien personenbezogener Daten zählen nach Art. 9 (1) DSGVO „Daten, aus denen die

  1. rassische und ethnische Herkunft,
  2. politische Meinungen,
  3. religiöse oder weltanschauliche Überzeugungen
  4. oder die Gewerkschaftszugehörigkeit

hervorgehen, sowie die Verarbeitung von
  1. genetischen Daten,
  2. biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  3. Gesundheitsdaten oder
  4. Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen
  5. Person“

Also Gewerkschaften, Kirchen und Parteien in Bund, Ländern und Gemeinden, Blutspendedienste, das Gesundheitswesen, die Pflegewirtschaft, die Heimatvertriebenen aus der ganzen Welt und die Verarbeiter von Bildern sollten die technischen Richtlinien und Empfehlungen des BSI im Zusammenhang mit der Verarbeitung personenbezogener Daten genau studieren. Zu den genannten Branchen kommen noch ein paar Exoten – etwa das Gastgewerbe; die Rheinland-Pfälzische Aufsichtsbehörde warnte bereits 2013: „Viele Hotelgastdaten sind zudem besonders persönlich und sensibel, denn der Kontakt zwischen Gast und Hotel ist naturgemäß eng. Das Hotel kennt die Essgewohnheiten und –vorlieben des Gastes, erfährt von seinen Freizeitinteressen, reinigt täglich sein Bad und richtet sein Bett. Häufig hat das Hotel sogar Kenntnis vom Gesundheitszustand des Gastes, von Krankheiten, Allergien oder Diäten. Das Hotel weiß, welche Fernsehprogramme der Gast bevorzugt, welche Besucher er empfängt, welche Zahlungsmittel er einsetzt und welches nächste Reiseziel er ansteuert. Deshalb ist der Schutz der Gastdaten nach dem Datenschutzgesetz absolut notwendig und die Enttäuschung der Gäste bei Fehlern besonders gut nachvollziehbar.“

… gibt’s nicht nur im Gastgewerbe

Also das Gastgewerbe weiß über die Gesundheit seiner Gäste Bescheid. Beim Essen sind aber nicht nur die Diäten geheimhaltungswürdig. Getreu dem Motto „Du bist, was Du isst“ können weitere Informationen über Religion oder Weltanschauungen hinzukommen: Vegetarier und Veganer zum Beispiel sind nach Ansicht der Berliner Zeitung „falsche Moralisten“. Ähnliche Vorhaltungen könnten auch denen gemacht werden, die an Pilgerreisen teilnehmen. Weltanschauungen könnten auch aus den Kundendaten von Wein- und Tabakhändlern abgeleitet werden. Oder den Abonnenten der Zeitschrift „Der Feinschmecker“. Hinzu kommen Bekleidungshersteller: Die Weltanschauungen einer katholischen Nonne dürften sich signifikant von denen eines Mitglieds der Hells Angels, des Bayerischen Trachtenverbands oder eines Freikletterers unterscheiden und sich dabei auch in der jeweiligen Kleidung spiegeln. Was Konsequenzen für die Sicherheit von Kundendatenbanken der Hersteller und Verleger mit sich bringt.

Der Kreis derer, die unter Art. 9 fallen, ist erheblich und wächst parallel zur Digitalisierung: Von Essgewohnheiten können auch elektronische Fotoalben oder die Geräte zur Selbstvermessung zeugen: „Selbstvermessung: Auf der Jagd nach dem Optimum“ titelt „GEO“.

Bei der Beurteilung, ob Ihre Institution zu den Verpflichteten nach Art. 9 zählt oder nicht und Sie persönlich „verantwortlich“ nach Art. 4 Nr. 7 sind, ist nicht Ihr Maßstab relevant – sondern der des Gesetzgebers!

Zur Frage, ob die „TAZ“, „DIE WELT“ und die „Junge Freiheit“ demnächst noch unverhüllt aus dem Zeitungsrohr lugen dürfen, fragen Verlags- und Versandleiter bitte ihren Anwalt oder die zuständige Aufsichtsbehörde.

Jetzt aber zur 2FA bei elektronischen Medien: datenschutzbeauftragter-info nennt die generellen Möglichkeiten einer Person, sich zu authentisieren:

  1. „sie hat geheime Informationen, die nur ihr bekannt sind (z.B. Passwort)
  2. sie besitzt einen Identifizierungsgegenstand (z.B. Personalausweis)
  3. sie ist selbst das Identifizierungsobjekt (z.B. biometrische Merkmale wie Fingerabdruck).“

Zu dem bereits genutzten Passwort soll ein weiterer Faktor hinzukommen; Der Fingerabdruck wäre sicher eine äußerst praktische Angelegenheit, weil er immer dabei ist und er einfach zu nutzen wäre.

Datenschutz durch Technik und durch Voreinstellung

Und wenn wir uns mit diesem Fingerabdruck gegenüber unserem Arbeitgeber oder dem Tele-Arzt authentisieren könnten, hätte das noch einen ganz besonderen Vorteil – Erwägungsgrund 78 der DSGVO mit der Überschrift „Geeignete technische und organisatorische Maßnahmen“ empfiehlt: „Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.“

Datenschutz soll also bereits in der Technik enthalten und noch dazu voreingestellt sein. Beide Voraussetzungen wären wohl mit einem zweiten Authentisierungsfaktor in Form eines Fingerabdrucks gegeben.

Das Problem: Fingerabdrücke sollen sich nicht nur von Wassergläsern sondern auch per Kamera nehmen lassen. Sogar Laien sollen in der Lage sein , das auf eine Distanz von bis zu sieben Metern zu tun. Anschließend sollen sich solche Fingerabdrücke auf Latexhandschuhe übertragen lassen – behauptet DIE WELT unter Bezug auf das Bundeskriminalamt. Da ist es also keine gute Idee, „Victory“-Zeichen in irgendwelche Kameras zu machen . Eine geklaute Kreditkarte kann man ersetzen. Wer aber ersetzt Ihnen Ihren geklauten Fingerabdruck? Insbesondere dann, wenn der sich auch noch dazu in Ihrem Personalausweis oder Reisepass befindet?! Das Schlimme an dieser Geschichte ist: Der Artikel aus der „Welt“ ist 13 Jahre alt – und trotzdem ist die Idee aus der Mottenkiste der Daktyloskopie nicht totzukriegen!

In Malaysia wollten sich Kriminelle wohl nicht die Mühe mit dem Herstellen der Fingerabdruckkopie machen, um anschließend den Mercedes ihres Opfers mit diesem imitierten Fingerabdruck starten zu können – stattdessen schnitten sie ihrem Opfer einem Bericht der Britischen BBC zufolge den Finger kurzerhand ab. Womöglich ein Grund dafür, dass sich Fingerabdrücke hierzulande beim Starten von Automobilen noch nicht massenweise durchgesetzt haben.

Mit schicken Accessoires die Rechenschaftspflicht der DSGVO erfüllen

Eine Hardware-Lösung wie von datenschutzbeauftragter-info erwähnt, scheint da schon cleverer zu sein: Irgendein Signal außerhalb des Rechners soll der gewünschten Anwendung bestätigen, dass der Mensch vor dem Gerät befugt ist, sich zu diesem bestimmten Dienst mit diesem bestimmten Benutzernamen anzumelden. Der Vorteil: Ohne das bisschen Hardware geht nichts! Da kann ein Roboter am anderen Ende der Welt noch so viele Versuche unternehmen, sich anzumelden – es wird ihm nicht helfen! Deshalb kann das Passwort für den Berechtigten tatsächlich trivial sein: „1234“. Nach drei Fehlversuchen in physischer Nähe des Rechners lässt sich die erneute Eingabe beliebig verzögern und damit auch eine unberechtigte Nutzung durch Diebe verhindern.

Das Manko: Solche Lösungen sind aufwendig und damit teuer. Sie sind jedoch vermutlich billiger als die mit der DSGVO einhergehenden Geldbußen und Schadenersatzforderungen.

Für Sie bieten sich jetzt zwei Möglichkeiten: Sie können lautstark gegenüber Ihren Mitarbeitern darüber klagen, wie teuer das Alles wird – oder Sie versuchen, aus der Not eine Tugend zu machen: Spendieren Sie allen Ihren Mitarbeitern/Kunden/Partnern entsprechende Accessoires; das gibt’s in Form von Schmuck oder als Schlüsselanhänger . In Zukunft hätten tatsächlich nur noch die Berechtigten Zugriff zu Mails, Mitarbeiter-/Kundendaten, Bestellungen, Rechnungen und SAP. Oder auch Zugang zu Firmenauto, -parkplatz, -gebäude und dem Serverraum. Die Botschaft: „Ihre Sicherheit ist es uns wert!“

Vermitteln Sie mit dieser Investition das Signal: „Wir wollen die Vorgaben der DSGVO erfüllen!“ Erzeugen Sie Begeisterung und Aufbruchstimmung – wenn nicht nur Sie sich selbst engagieren, sondern auch Ihre Mitarbeiter mit dem Herzen dabei sind, ist die Wahrscheinlichkeit größer, dass die Aufsichtsbehörde das registriert und zu honorieren weiß – und bei etwaigen Verstößen weniger penibel ist als sie es vielleicht sein könnte. Werben Sie bei Ihrem Branchenverband für derartige Lösungen und tragen so zur Sicherheit Dritter bei – vielleicht erwidern die eine solche Geste mit ähnlichen Maßnahmen und es entwickelt sich ein System vernetzter Sicherheit. Offenbar gibt’s schon ein paar Vorbilder dafür…

Die Zukunft der Datensicherheit: Zugang zu personenbezogenen Daten nur noch mit beringtem Finger?: Tokenize Inc.

Nach der Authentisierung und der Authentifizierung ist in der nächsten Woche die „Autorisierung“ dran: Wer von den künftigen Ring-Trägern darf damit tatsächlich in den Server-Raum?

Je weniger Rechte ein Mitarbeiter hat, umso geringer die Schäden, die Dritte in seinem Namen verursachen können. Und: Je präziser Ihr Identitätsmanagement, umso besser erfüllen Sie Ihre Rechenschaftspflicht!