Neben dem Gesetz über den Kirchlichen Datenschutz (KDG) wurde auch die entsprechende Durchführungsverordnung (KDG-DVO) überarbeitet – beide treten zum 1. März in Kraft. Der § 11 Abs. 2 lit. b S. 2 KDG-DVO regelt jetzt, dass in „sicherheitskritischen Bereichen“ oder bei „Zugriffen außerhalb gesicherter Netze“ insbesondere der Einsatz von „Mehr-Faktor-Authentifizierungsverfahren“ vorzusehen ist.

Zwei- bzw. Mehr-Faktor-Authentifizierung (2FA/MFA) bedeutet, dass für eine Anmeldung nicht nur ein Faktor, typischerweise ein Passwort, sondern mindestens ein zweiter, andersartiger Faktor erforderlich ist. Die in Betracht kommenden Faktoren müssen aus unterschiedlichen Kategorien stammen. Neben der Kategorie „Wissen“ (Passwort oder PIN) gibt es die Kategorien

  • „Besitz“ (Smartphone mit Authenticator-App oder Hardware-Token)
  • „Biometrie“ (Fingerabdruck oder Gesicht)

Durch den Mix aus unterschiedlichen Kategorien ist der Zugang selbst dann geschützt, wenn ein Faktor in die falschen Hände geraten ist.

Wo wird das relevant?

Die KDG-DVO sieht ein Erfordernis zunächst dort, wo „sicherheitskritische Bereiche“ betroffen sind. Eine Definition für diese Bereiche liefert die KDG-GVO nicht. Hier hilft regelmäßig das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter, das für viele Regelungen der KDG-DVO Impulsgeber war. Dieses sieht eine MFA als obligatorisch an, sobald ein „hoher“ Schutzbedarf festgestellt wird. Das ist der Fall, wenn aus einer Verletzung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit beträchtliche Schadensauswirkungen innerhalb verschiedener Schadensszenarien resultieren.

Schutzbedarfskategorie „hoch“

Verstoß gegen Gesetze/Vorschriften/Verträge

  • Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen
  • Vertragsverletzungen mit hohen Konventionalstrafen

Beeinträchtigung des informationellen Selbstbestimmungsrechts

  • Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann.

Beeinträchtigung der persönlichen Unversehrtheit

  • Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden.

Beeinträchtigung der Aufgabenerfüllung

  • Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt.
  • Die maximal tolerierbare Ausfallzeit liegt zwischen einer und 24 Stunden.

Negative Innen- oder Außenwirkung

  • Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.

Finanzielle Auswirkungen

  • Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend.

Quelle: BSI-Standard 200-2; IT-Grundschutz-Methodik, S. 106 f.

Erfasst sind somit Systeme, in denen besonders schützenswerte personenbezogene Daten verarbeitet werden, aber auch solche, mit denen weitreichende Konfigurationsmöglichkeiten (Admin-Konten) möglich sind.

Der zweite Anwendungsfall sind „Zugriffe außerhalb gesicherter Netze“. Solange jemand im internen, gut abgesicherten Netz arbeitet, das durch Firewall, Segmentierung und klar geregelte Zugriffsrechte geschützt ist, ist das Risiko überschaubarer. In der Realität greifen viele vom Homeoffice oder von unterwegs auf E-Mails, Dateien und Fachanwendungen zu oder rufen Cloud-Dienste von verschiedensten Orten aus auf. Hinzu kommen öffentliche WLANs in Hotels, Zügen oder Cafés. In diesen Fällen steigt das Risiko rasant an. Angriffe wie Phishing oder das Abfangen von Zugangsdaten sind wahrscheinlicher. Hier soll die zusätzliche Absicherung mittels MFA mehr Sicherheit bringen.

Für kirchliche Einrichtungen ergibt sich daraus ein konkreter Handlungsauftrag:

  1. Feststellung, in welchen Bereichen ein erhöhter Schutzbedarf besteht und wo von außen auf Systeme zugegriffen wird.
  2. Festlegung klarer Regeln zum Einsatz von MFA, bspw. für bestimmte Administratoren, für alle externen Zugriffe auf interne Systeme und für alle Anwendungen mit besonderen Kategorien personenbezogener Daten.
  3. Handelt es sich bei der Einrichtung um eine „besonders wichtige Einrichtung“ oder eine „wichtige Einrichtung“ im Sinne des § 28 Abs. 1 und 2 BSI-Gesetz, ist die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung verpflichtend, z. B. § 30 Abs. 2 Nr. 10 BSI-Gesetz.

Technisch gibt es verschiedene Wege, MFA umzusetzen, etwa app-basierte Einmalcodes (TOTP), Hardware-Token oder die Zusendung einer zusätzlichen temporären PIN per E-Mail oder SMS.

| | , | , , , , , , ,