Passwortsicherheit DSGVO: Warum sie wichtig ist und wie Sie Ihre Konten effektiv schützen können

Passwörter begleiten uns täglich. Viele Menschen nutzen einfache Passwörter, die leicht zu merken sind. Doch oftmals sind diese auch leicht zu knacken, denn Cyberkriminelle kommen schnell hinter diese Kombination. Bei einem Cyberangriff sind nicht nur die Daten in Gefahr. Hacker können den Account auch für illegale Machenschaften und Geschäfte nutzen. Starke Passwörter schützen davor, dass Kriminelle Ihre persönlichen Daten missbrauchen. Ein sicheres Passwort ist wie ein gutes Rätsel. Für Unternehmen gibt es gesetzliche Vorgaben zur Passwortsicherheit aus NIS-2, Datenschutz Grundverordnung (DSGVO), die umzusetzen sind. 

---

Warum brauche ich ein sicheres Passwort?

In einer digitalisierten Welt ist der Schutz persönlicher und beruflicher Daten wichtiger denn je. Ob bei Online-Banking, E-Mails oder dem Bestellen eines Pakets über Amazon – eine sichere Passwortvergabe ist der erste Schutzwall gegen unbefugten Zugriff. Doch viele Nutzerinnen und Nutzer unterschätzen die Bedeutung eines sicheren Passworts und riskieren damit, Opfer von Cyberkriminalität zu werden.

Hacker verfügen über Werkzeuge, die automatisch alle möglichen Zeichenkombinationen durchprobieren, ganze Wörterbücher samt gängiger Kombinationen aus Wörtern und angehängten Zahlen testen oder im Internet veröffentlichte Zugangsdaten systematisch bei verschiedenen Diensten ausprobieren. Ein sicheres Passwort sorgt dafür, dass Ihre sensiblen Daten nicht in falsche Hände geraten. Darüber hinaus ist Passwortsicherheit für Unternehmen unter der NIS-2-Gesetzgebung und unter der Datenschutz-Grundverordnung (DSGVO) von enormer Bedeutung, um im Einklang mit den gesetzlichen Vorgaben zu sein. 

Risiken bei der Verwendung eines schwachen Passworts

Ein schwaches und simples Passwort ist eines, das Cyber-Kriminelle leicht erraten oder knacken können, was schwerwiegende Konsequenzen haben kann. Solche Passwörter sind häufig Ziel von Cyberangriffen wie Brute-Force- oder Wörterbuchattacken. Nach Attacken auf Passwörter können Angreifer auf diese zugreifen, um Zugang zu Ihren personenbezogenen Daten zu erlangen. Dadurch sind Sie dem Risiko von Identitätsdiebstahl oder Finanzbetrug ausgesetzt.

Beispiele aus dem Alltag zeigen, wie wichtig ein starkes Passwort für eine ausreichende Passwortsicherheit ist:

• Privater Bereich: Ein gehacktes Amazon-Konto könnte dazu führen, dass Bestellungen in Ihrem Namen aufgegeben werden.
• Beruflicher Bereich: Der Zugriff auf Ihr E-Mail-Konto könnte vertrauliche Geschäftsdaten offenlegen und somit einen Verstoß gegen die NIS-2-Richtlinie bzw. das NIS-2-Umsetzungsgesetz darstellen und ggf. eine Datenschutzverletzung begründen. Passwortsicherheit ist insbesondere auch unter der DSGVO essenziell.
• Betrugsmaschen: Mit Phishing-SMS, die vorgeben, von Ihrer Bank oder einem Paketdienst zu stammen, versuchen Betrüger, an Ihre Zugangsdaten zu gelangen.

Wann ist ein Passwort sicher?

Ein sicheres Kennwort sollte schwer zu erraten und gegen automatisierte Angriffe resistent sein. Wann ein Passwort „sicher“ wird, wird weder im NIS-2-Umsetzungsgesetz noch in der DSGVO hinreichend definiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt folgende Best Practices für sichere Passwörter:

• Passwortlänge: Je länger, desto besser. Nutzen Sie ein möglichst langes Passwort im Optimalfall mit 25 Zeichen. Eine Passwortlänge von mindestens 12 Zeichen sollte nicht unterschritten werden.
• Passwortkomplexität: Verwenden Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (Leerzeichen, ?!%+…).
• Unvorhersehbarkeit: Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, Geburtsdaten oder einfache Wörter wie „Passwort“ oder „123456“.
• Einzigartigkeit: Nutzen Sie für jeden Dienst ein eigenes, individuelles Passwort.

Bei der Wahl eines Passwortes sind Ihrer Kreativität keine Grenzen gesetzt. Wichtig ist, dass Sie sich das Passwort gut merken können.

Vielfalt ist das beste Passwort

Ein häufiger Fehler ist die Wiederverwendung des gleichen Passworts bei verschiedenen Diensten und Plattformen. Wenn ein Angreifer eines Ihrer Passwörter kennt, erhöht sich die Wahrscheinlichkeit, dass er auf andere Konten zugreifen kann. Verwenden Sie deshalb für jeden Dienst ein neues Passwort. Darüber hinaus sollten Sie Passwörter nur wechseln, wenn Sie vermuten, dass sie kompromittiert wurden. Häufige Wechsel verleiten dazu, einfachere und unsicherere Passwörter zu erstellen. Unternehmen sollten unter NIS-2 und der DSGVO für eine angemessene Passwortsicherheit keine ständigen Passwortwechsel erzwingen, sondern darauf setzen, dass Mitarbeitende einzigartige, komplexe und möglichst lange Passwörter verwenden. 

Wie erstelle ich ein sicheres, komplexes Passwort? 

Zufällige Zeichenfolgen wie „A3$dF&1k“ sind sicher, aber schwer zu merken. Eine bessere Methode ist es, sich einen einprägsamen Satz auszudenken, der Zahlen und Sonderzeichen enthält, z. B.:

„Ich wohne in einem schönen Haus am Stadtrand mit fünf Zimmern und einem kleinen Garten!“

Aus diesem Satz bilden Sie Ihr Passwort, indem Sie die Anfangsbuchstaben jedes Wortes nehmen und Zahlen sowie Sonderzeichen hinzufügen:

Iwi1sHaSm5Z&1kG!

Diese Methode verbindet Sicherheit mit einer hohen Merkfähigkeit.

Warum Passwortmanager?

Viele Menschen speichern Passwörter unsicher, beispielsweise in Notizbüchern oder Textdateien. Im privaten Umfeld ist dies bereits gefährlich. Im beruflichen Kontext drohen wegen mangelhafter Passwortsicherheit zusätzlich Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) oder das NIS-2-Umsetzungsgesetz. 

Ein Passwortmanager ist hier die bessere Alternative. Passwort-Manager sind Programme, die Ihnen dabei helfen, Benutzernamen und Passwörter sicher und übersichtlich zu verwalten. Sie speichern Ihre Zugangsdaten verschlüsselt und schützen sie mit einem einzigen, komplexen Masterpasswort. Die Funktionsweise lässt sich mit einem verschlossenen Notizbuch vergleichen, das nur von der Besitzerin oder dem Besitzer geöffnet werden kann. Der entscheidende Vorteil: Anstatt sich zahlreiche Passwörter merken zu müssen, genügt ein einziges Masterpasswort. Doch Vorsicht: Geht dieses verloren, könnten im schlimmsten Fall alle gespeicherten Daten unzugänglich werden. Vor dem Hintergrund der DSGVO und der NIS-2 kommt der Verwendung eines Passwortmanagers zur Aufrechterhaltung sicherer Authentifizierungsmethoden besondere Bedeutung zu. 

Wie funktionieren Passwortmanager?

Passwortmanager erleichtern das Erstellen, Speichern und Abrufen von Passwörtern:

• Sobald eine Anmeldemaske erscheint, erkennt der Passwortmanager diese und füllt die Zugangsdaten automatisch aus.
• Alternativ können Sie den Passwortmanager manuell öffnen und auf Ihre Passwörter zugreifen.

Vorteile von Passwortmanagern

• Sichere Aufbewahrung: Alle Passwörter werden verschlüsselt gespeichert.
• Passworterstellung: Der Manager generiert komplexe und sichere Passwörter für Sie.
• Zeitersparnis: Sie müssen sich nur ein Master-Passwort merken.

Ein starkes Master-Passwort erstellen

Das Master-Passwort ist der Schlüssel zu Ihrem digitalen Tresor. Es sollte besonders stark und gleichzeitig leicht merkbar sein. Nutzen Sie die oben genannte Technik mit einem einprägsamen Satz, um ein sicheres Master-Passwort zu erstellen.

Zwei-Faktor-Authentifizierung für höhere Sicherheit:

Immer mehr Online-Dienste bieten Verfahren an, bei denen Nutzerinnen und Nutzer zusätzlich zur Passworteingabe einen weiteren Schritt zur Identifikation durchlaufen müssen, um sich in ihre Konten einzuloggen. Diese sogenannte Zwei-Faktor-Authentifizierung (2FA) gibt es in verschiedenen Varianten – von einem einmaligen Code per SMS bis hin zu hardwaregestützten TAN-Generatoren.

Ein Login mit einem zweiten Faktor bietet ein sehr angemessenes Schutzniveau als allein die Kombination aus Benutzername und Passwort. Insbesondere hardwarebasierte Verfahren gelten als äußerst sicher und sollten, wenn möglich, mit einem starken Passwort kombiniert werden. Mit der Zwei-Faktor-Authentifizierung lassen sich Konten mit sensiblen Daten zusätzlich absichern. Aktivieren Sie die Multi-Faktor Authentifizierung: Nach der Bestätigung auf einem zweiten Gerät erhalten Sie Zugriff auf das jeweilige Konto. Diese Methode erschwert es Cyberkriminellen erheblich, sich unbefugt anzumelden, da sie neben dem Passwort auch Zugriff auf das zweite Gerät benötigen.

Unternehmen sollten darauf achten, Administratorkonten und Nutzerkonten mit einer Multi-Faktor-Authentifizierung zu schützen, Verstöße gegen die IT-Sicherheitsgesetze und die Datenschutz-Grundverordnung zu vermeiden. 

Datenschutz Tipps zur Kontensicherheit

Voreingestellte Passwörter sofort ändern

Bei vielen Hardware- und Softwareprodukten werden standardmäßig leere oder allgemein bekannte Passwörter vergeben. Hacker sind sich dessen bewusst und testen bei Angriffen häufig zuerst, ob solche Voreinstellungen noch aktiv sind. Im Sinne der DSGVO und NIS-2 ist es wichtig, in den Handbüchern nachzusehen, ob solche Konten existieren und diese Passwörter unverzüglich zu ersetzen.

Bildschirmschoner mit Kennwort aktivieren

Betriebssysteme bieten die Möglichkeit, den Zugang zu Tastatur und Bildschirm nach einer gewissen Inaktivitätszeit automatisch zu sperren. Die Entsperrung ist dann nur nach Eingabe des richtigen Passworts möglich. Diese Funktion sollte unbedingt genutzt werden, um unbefugten Dritten keinen Zugriff zu ermöglichen, falls Sie Ihren Arbeitsplatz vorübergehend unbeaufsichtigt lassen.

Unsere Empfehlung: Der Bildschirmschoner sollte spätestens fünf Minuten nach der letzten Aktivität aktiviert werden. Zusätzlich können Sie die Sperrung bei Bedarf auch manuell auslösen, z. B. bei Windows mit der Tastenkombination Strg+Alt+Entf. Unternehmen sollten dies durch technische Gruppenrichtlinien im Betriebssystem technisch erzwingen und/oder durch Arbeitsanweisungen für Mitarbeiter sicherstellen, um die Kontensicherheit zu erhöhen und die NIS-2-Compliance und DSGVO-Compliance zu verbessern. 

Keine Passwörter per E-Mail versenden

Passwörter sollten niemals per E-Mail verschickt werden. Der Grund: E-Mails werden in der Regel unverschlüsselt versandt und könnten auf ihrem Weg durch das Internet von Dritten mitgelesen oder abgefangen werden. Zudem gibt es keine Garantie, dass die Nachricht die richtige Empfängerin oder den richtigen Empfänger erreicht. Wenn Passwörter weitergegeben werden, verliert man die Kontrolle darüber. Dritte könnten sich Zugang zu sensiblen Diensten verschaffen und dort gespeicherte Informationen verändern. Das mühsam erstellte sichere Passwort wird dadurch praktisch wertlos. 

Fazit: Verzichten Sie auf das Verschicken von Passwörtern und nutzen Sie stattdessen sichere Alternativen wie Passwortmanager oder andere verschlüsselte Übertragungswege.

Fazit zur Passwortsicherheit

Die Sicherheit Ihrer Passwörter ist entscheidend für den Schutz Ihrer digitalen Identität. Zusammengefasst:

• Sichere Passwörter erstellen: Nutzen Sie komplexe und einzigartige Passwörter.
• Passwortmanager verwenden: Diese Tools bieten sichere Aufbewahrung und einfache Verwaltung.
• Zwei-Faktor-Authentifizierung aktivieren: Zusätzlicher Schutz erschwert den Zugriff durch Angreifer.
• Bewusst handeln: Wechseln Sie Passwörter nur bei Verdacht auf Kompromittierung und vermeiden Sie Wiederholungen.

Indem Sie diese Tipps befolgen, machen Sie es Cyberkriminellen deutlich schwerer, auf Ihre Daten zuzugreifen. Für Unternehmen nimmt die Passwortsicherheit aufgrund der neuen IT-Sicherheitsgesetze (NIS-2-Richtlinie bzw. NIS-2-Umsetzungsgesetz) und der DSGVO ebenfalls eine wichtige Rolle ein, da millionenschwere Bußgelder drohen. Starten Sie noch heute mit der Verbesserung Ihrer Passwortsicherheit!

FAQ Passwortsicherheit DSGVO