GDPR and Passwords Nexus Group

Passwörter und die EU-DSGVO passen einfach nicht zusammen!

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) verbietet nicht die Authentifizierung mit Benutzername und Passwort. Sie fordert aber, dass personenbezogene Daten besser geschützt werden müssen.

Unternehmen müssen anlässlich EU-DSGVO eine sogenannte Datenschutz-Folgeabschätzung vornehmen. Das heißt, sie müssen prüfen, welche Risiken und mögliche Folgen eine Panne beim Datenschutz für die Betroffenen haben kann. Für Passwörter bedeutet das: ihr Einsatz ist für Unternehmen nur zulässig, wenn sie keine Probleme verursachen, erklärt Björn Söland.

Zunächst ein Beispiel (wenn auch ein praxisfernes) für ein Szenario, in dem Passwörter der EU-DSGVO gerecht werden: In einem Unternehmen werden sensible personenbezogene Daten über EU-Bürger lokal auf einem Computer gespeichert. Dieser Computer ist nicht an das Internet angeschlossen. Außerdem befindet der Rechner sich in einem abgeschlossenen Raum mit einem guten Zutrittskontrollsystem.


E-book herunterladen: IT-Sicherheit im Jahr 2018 – Daten und Fakten


Die Wirklichkeit sieht aber anders aus.

In den meisten Fällen bieten Passwörter keinen ausreichenden Schutz für personenbezogene Daten. Deshalb sind sie laut EU-DSGVO künftig verboten.

Riskieren Unternehmen ihre Compliance?

Interessant wird, welche Schlussfolgerungen die Unternehmen aus den Datenschutz-Folgeabschätzungen ziehen werden. Die Frage ist: Werden sie ihre Compliance riskieren und weiterhin Passwörter einsetzen? Vor allem, weil es inzwischen viele Alternativen gibt, wie zum Beispiel die Zwei-Faktor-Authentifizierung.

1+1 ergibt nicht immer 2

Für diejenigen, die sich nicht täglich mit Sicherheitsthemen auseinandersetzen, mag es komisch klingen. Aber 1+1 ergibt in der Sicherheits-Zahlenlehre nicht immer 2.

Ein Beispiel:

  • Authentifizierung mit Benutzernamen und Passwort am Arbeitsrechner = 1-Faktor-Authentifizierung
  • Authentifizierung mit Benutzernamen und Passwort am System, in dem personenbezogene Daten gespeichert sind = 1-Faktor-Authentifizierung
  • Aber: 1FA+1FA ist nicht gleich 2FA (Zwei-Faktor-Authentifizierung)

Es wartet noch viel Arbeit auf Unternehmen

Heute ist es quasi Standard, den Zugriff auf Cloud-Services mit sensiblen Informationen mit einer Zwei-Faktor-Authentifizierung abzusichern.

Nexus unterstützt Unternehmen täglich dabei. Deshalb können wir den Status quo in Sachen Authentifizierungsmethoden bei Cloud-Services und klassischen On-Premise-Lösungen gut miteinander vergleichen.

Um es kurz zu machen: auf Unternehmen wartet noch viel Arbeit bis zum 25.Mai 2018!

New call-to-action

Published 29/3 2018

News and Blog