Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) verbietet nicht die Authentifizierung mit Benutzername und Passwort. Sie fordert aber, dass personenbezogene Daten besser geschützt werden müssen.
Unternehmen müssen anlässlich EU-DSGVO eine sogenannte Datenschutz-Folgeabschätzung vornehmen. Das heißt, sie müssen prüfen, welche Risiken und mögliche Folgen eine Panne beim Datenschutz für die Betroffenen haben kann. Für Passwörter bedeutet das: ihr Einsatz ist für Unternehmen nur zulässig, wenn sie keine Probleme verursachen, erklärt Björn Söland.
Zunächst ein Beispiel (wenn auch ein praxisfernes) für ein Szenario, in dem Passwörter der EU-DSGVO gerecht werden: In einem Unternehmen werden sensible personenbezogene Daten über EU-Bürger lokal auf einem Computer gespeichert. Dieser Computer ist nicht an das Internet angeschlossen. Außerdem befindet der Rechner sich in einem abgeschlossenen Raum mit einem guten Zutrittskontrollsystem.
Die Wirklichkeit sieht aber anders aus.
In den meisten Fällen bieten Passwörter keinen ausreichenden Schutz für personenbezogene Daten. Deshalb sind sie laut EU-DSGVO künftig verboten.
Riskieren Unternehmen ihre Compliance?
Interessant wird, welche Schlussfolgerungen die Unternehmen aus den Datenschutz-Folgeabschätzungen ziehen werden. Die Frage ist: Werden sie ihre Compliance riskieren und weiterhin Passwörter einsetzen? Vor allem, weil es inzwischen viele Alternativen gibt, wie zum Beispiel die Zwei-Faktor-Authentifizierung.
1+1 ergibt nicht immer 2
Für diejenigen, die sich nicht täglich mit Sicherheitsthemen auseinandersetzen, mag es komisch klingen. Aber 1+1 ergibt in der Sicherheits-Zahlenlehre nicht immer 2.
Ein Beispiel:
- Authentifizierung mit Benutzernamen und Passwort am Arbeitsrechner = 1-Faktor-Authentifizierung
- Authentifizierung mit Benutzernamen und Passwort am System, in dem personenbezogene Daten gespeichert sind = 1-Faktor-Authentifizierung
- Aber: 1FA+1FA ist nicht gleich 2FA (Zwei-Faktor-Authentifizierung)
Es wartet noch viel Arbeit auf Unternehmen
Heute ist es quasi Standard, den Zugriff auf Cloud-Services mit sensiblen Informationen mit einer Zwei-Faktor-Authentifizierung abzusichern.
Nexus unterstützt Unternehmen täglich dabei. Deshalb können wir den Status quo in Sachen Authentifizierungsmethoden bei Cloud-Services und klassischen On-Premise-Lösungen gut miteinander vergleichen.
Um es kurz zu machen: auf Unternehmen wartet noch viel Arbeit bis zum 25.Mai 2018!