Die Datenschutzkonferenz (DSK), ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat in ihrer „Hambacher Erklärung“ unter anderem ein Positionspapier zu “Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung” veröffentlicht.

Das Papier versteht sich als Guideline für Provider, welches als Reaktion auf den „Hackerangriff“ auf Politiker und Prominente im Januar 2019 veröffentlicht wurde. Darin werden Maßnahmen zur Zugangssicherung für Online-Dienste nach dem Stand der Technik (aus Sicht der Aufsichtsbehörden) empfohlen.

Bei der Verarbeitung personenbezogener Daten richten sich die umzusetzenden technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DSGVO. Ferner wird auf die Empfehlungen im Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik sowie Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) verwiesen.

Die zusammengefassten Empfehlungen:

  • Die Passwortstärke soll dem Anwender bei der Einrichtung angezeigt werden.
  • Ein „angemessenes Passwort mittlerer Güte“ sollte eine Länge von in der Regel mindestens 10 Zeichen aufweisen. Bei Verwendung starker Passwörter soll ein regelmäßiger Wechsel entbehrlich sein, nur bei Kompromittierungsverdacht sollen Passwörter geändert und nicht wiederverwendet werden.
  • Fehlgeschlagene Anmeldeversuche sollen registriert und dem Anwender mitgeteilt werden. Nach mehreren Fehleingaben soll eine Sperrung des Zugangs erfolgen.
  • Bei Kompromittierung des Dienstes ist der Benutzer zu benachrichtigen.
  • Benutzer sollen benachrichtigt werden, wenn Änderungen an Stammdaten erfolgen oder Logins aus dem Ausland vorgenommen werden.
  • Das Zurücksetzen von Passwörtern soll auf sicheren Kanälen und nach Möglichkeit nur mit einem zweiten Faktor erfolgen können.
  • Passwörter sollen nur verschlüsselt übertragen werden.
  • Gespeicherte Passwörter beim Anbieter sollen durch Einweg-Hashverfahren gesichert werden, die Sicherheit von Passwortdatenbanken soll besonders gesichert und die Sicherheitseinstellungen regelmäßig geprüft werden, beispielsweise durch Penetrationstests. Authentisierungsdaten sollen getrennt von anderen Daten gespeichert werden.
  • Anbieter sollen ihre Beschäftigten für Datenschutz- und Informationssicherheitsthemen sensibilisieren.
  • Nutzern soll eine Zwei-Faktor-Authentisierung angeboten werden.
  • Anwender sollen Passwörter nicht unverschlüsselt speichern und über Passwortmanager informiert werden.
  • Anbieter sollen nicht nur die Sicherheit der Authentifizierungsmaßnahmen beachten, sondern auch die Datensicherheit als Prozess betrachten, der fortlaufend zu prüfen und ggfs. zu verbessern