Frage: Welche einfache technische und organisatorische Maßnahme kann am Computer ergriffen werden, um einen Zugriff auf personenbezogene Daten durch Dritte zu verhindern?
Antwort: Computer immer mit Passwortschutz versehen!
Das kann doch nicht so schwer sein, meine ich. Scheinbar aber doch, was ich letzten Monat leider wiederholt erleben musste.
Ich traute meinen Augen nicht
Nichtgesperrte Computer mit sichtbaren Lohnabrechnungen begrüßten mich in der Mittagspause eines Lohnbüros. Vom Geschäftsführer erhielt ich folgende Begründung: »Die Daten werden ja remote im Rechenzentrum des Dienstleisters verarbeitet und sind daher absolut sicher.«
Ich teilte dem Geschäftsführer mit, dass die erste technische und organisatorische Maßnahme (TOM) ist, um Daten zu schützen, sämtliche Computer mit Benutzernamen und Passwort zu versehen. Der Zugriff auf Daten, egal wo auch immer sie sich befinden, muss ganz klar geregelt werden. Ein Zugriff durch Dritte muss ausgeschlossen werden können.«
Der Geschäftsführer war sich dessen nicht bewusst, wollte sich aber umgehend um die Sicherung des Zugriffes auf die Daten kümmern.
Wer ist TOM?
TOM ist nicht nur einer - es sind gleich mehrere. Nach Artikel 32 DSGVO - Sicherheit der Verarbeitung müssen Verantwortliche und Auftragsverarbeiter geeignete Technische und Organisatorische Maßnahmen (TOM) treffen, um ein Schutzniveau zu gewährleisten. Dabei werden der Stand der Technik und die Implementierungskosten berücksichtigt.
Zum Beispiel ist das Speichern von Passworten als Klartext definitiv nicht Stand der Technik. Lesen Sie mehr darüber, warum z. B. Knuddels.de 20.000 EUR Bußgeld zahlen musste.
Computer immer mit Passwortschutz versehen
Eine der ersten Schutzmaßnahmen ist, dass der Computer durch ein Passwort gesichert wird. Dabei muss dieser nicht einmal in einer Domäne an einem Server angemeldet sein. Gleiches gilt natürlich auch für mobile Endgeräte wie zum Beispiel Smartphones und Tablets.
Allerdings nützt das beste Passwort nichts, wenn der Computer beim Verlassen des Arbeitsplatzes nicht gesperrt wird. Das sollte bei jedem Mitarbeiter in Fleisch und Blut übergehen. Immer den Computer beim Verlassen sperren, selbst wenn man sich nur mal schnell einen Kaffee holt.
Wie das Entsperren des Computers erfolgt, ist erst einmal unerheblich. Ob das Entsperren per Passwort, USB-Stick, Transponder oder Fingerabdruck erfolgt, ist lediglich ein höheres oder niedriges Sicherheitsniveau.
Ein Passwortmanager hält Ordnung
Wenn die erste Sicherheitsmaßnahme gemeistert ist, warten unter Umständen noch viele weitere Passwörter darauf, eingegeben zu werden. Wenn man dann noch alles richtig machen will und die Passwörter mit einer Mindestlänge, Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben versieht, ist ein Passwortmanager unabdingbar.
Passwortmanager gibt es mittlerweile schon als Netzwerklösung, so dass verschiedene Mitarbeiter, unter Berücksichtigung ihrer Rollenrechte, Zugriff auf die zentral gepflegte Passwortdatenbank haben.
Fazit
In Unternehmen sollte jedes Endgerät passwortgeschützt sein. Das ist Stand der Technik. Bitte sichern Sie auch Ihre privaten Geräte vor dem Zugriff durch Dritte. Ein Passwortverzicht aus Bequemlichkeit ist keine Option.