Frage: Welche einfache technische und organisatorische Maßnahme kann ergriffen werden, um einen Zugriff auf personenbezogene Daten durch Dritte zu verhindern?
Antwort: Computer immer mit Passwortschutz!

Das kann doch nicht so schwer sein, meine ich. Scheinbar aber doch, was ich letzten Monat leider erleben musste.

Ich traute meinen Augen nicht

Nicht gesperrte Computer mit sichtbaren Lohnabrechnungen begrüßten mich in der Mittagspause eines Lohnbüros. Vom Geschäftsführer erhielt ich folgende Begründung: »Die Daten werden ja remote im Rechenzentrum des Dienstleisters verarbeitet und sind daher absolut sicher.«

Ich teilte dem Geschäftsführer mit, dass die erste technische und organisatorische Maßnahme ist, um Daten zu schützen, sämtliche Computer mit Benutzernamen und Passwort zu versehen. Der Zugriff auf Daten, egal wo auch immer sie sich befinden, muss ganz klar geregelt werden. Ein Zugriff durch Dritte muss ausgeschlossen werden können.«

Der Geschäftsführer war sich dessen nicht bewusst, wollte sich aber umgehend um die Sicherung des Zugriffes auf die Daten kümmern.

Was sind TOM?

Nach Art. 32 DSGVO - Sicherheit der Verarbeitung müssen Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) treffen, um ein Schutzniveau zu gewährleisten. Dabei werden der Stand der Technik sowie die Implementierungskosten berücksichtigt.

Zum Beispiel ist das Speichern von Passworten als Klartext definitiv nicht Stand der Technik. Dazu können Sie im Beitrag Knuddels.de muss 20.000 EUR Strafe zahlen mehr lesen.

Computer immer mit Passwortschutz versehen

Eine der ersten Schutzmaßnahmen ist, dass der Computer durch ein Passwort gesichert wird. Dabei muss dieser nicht einmal in einer Domäne an einem Server angemeldet sein. Gleiches gilt natürlich auch für mobile Endgeräte wie zum Beispiel Smartphones und Tablets.

Allerdings nützt das beste Passwort nichts, wenn der Computer beim Verlassen des Arbeitsplatzes nicht gesperrt wird. Das sollte bei jedem Mitarbeiter in Fleisch und Blut übergehen. Immer den Computer beim Verlassen sperren, selbst wenn man sich nur mal schnell einen Kaffee holt.

Wie das Entsperren des Computers erfolgt, ist erst einmal unerheblich. Ob das Entsperren per Passwort, USB-Stick, Transponder oder Fingerabdruck erfolgt, ist lediglich ein höheres oder niedriges Sicherheitsniveau.

Ein Passwortmanager hält Ordnung

Wenn die erste Sicherheitsmaßnahme gemeistert ist, warten unter Umständen noch viele weitere Passwörter darauf, eingegeben zu werden. Wenn man dann noch alles richtig machen will und die Passwörter mit einer Mindestlänge, Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben versieht, ist ein Passwortmanager unabdingbar.

Passwortmanager gibt es mittlerweile schon als Netzwerklösung, so dass verschiedene Mitarbeiter, unter Berücksichtigung ihrer Rollenrechte, Zugriff auf die zentral gepflegte Passwortdatenbank haben.

Fazit

In Unternehmen sollte jedes Endgerät Passwort-geschützt sein. Das ist Stand der Technik. Bitte schützen Sie auch Ihre privaten Geräte vor Zugriff durch Dritte. Ein Passwort-Verzicht wegen Bequemlichkeit, ist keine Option.

Unterstützung

Wenn Sie mehr über das Thema wissen möchten oder Fragen dazu haben, sprechen Sie mich bitte unter 030 - 280 400 an.

Manfred Wöller
Datenschutzbeauftragter (TÜV)