Materialien zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

6. Empfehlungen zu technisch-organisatorischen Maßnahmen

Anlage 6.1

Empfehlungen für die Vergabe von Paßwörtern

Voraussetzung dafür, daß bei der automatisierten Verarbeitung personenbezogener Daten die technischen und organisatorischen Kontrollanforderungen der Datenschutzgesetze (Anlage zu § 9 BDSG, § 5 Abs. 3 BlnDSG) erfüllt werden können, ist die Identifizier-ung mit einer persönlichen Kennung und die dazugehörige Authentifizierung mit einem geheimen Paßwort. Dieses Ver-fahren ist in lokaler Umge-bung für den mittleren Schutzbedarf hinreichend.

Der Benutzer weist sich mit Kennung und dazugehörigem Paßwort dem System gegenüber als berechtigt aus. Das System prüft, ob die Kennung existiert und ob das Paßwort zu der Kennung gehört. Es läßt danach eine Benutzung zu oder weist sie ab.

Damit mit einem solchen Verfahren die gewünschten Sicherheitsziele erreicht werden können, müssen Mindestanforderungen an die

  • technischen Mechanismen
  • organisatorischen Regelungen und Bedingungen
  • persönlichen Verhaltensweisen der Benutzer und Systemverwalter

erfüllt werden.

1. Anforderungen an die Technik

  • Die Paßwörter sind im System verschlüsselt und gegen unbefugte Schreibzugriffe und möglichst auch gegen unbefugte Lesezugriffe zu schützen.
  • In Protokollen oder Dateien dürfen Paßwörter nie in Klarschrift erscheinen.
  • Mehrmalige Falscheingaben von Paßwörtern müssen vom System unterbunden und mit Restriktionen beantwortet werden.

Das System sperrt die Kennung nach dreimaliger Falscheingabe; nur der Systemadministrator bzw. der Benutzerverwalter kann die Nutzerkennung später wieder freigeben.

Die Freigabe kann nur erfolgen, wenn der Benutzer seine Authentizität und die Berechtigung nachweisen kann.

  • Die Eingabe des Paßwortes hat verdeckt zu erfolgen.
Seitenanfang

nächste Seite

Das Paßwort wird am Monitor nicht abgebildet, möglichst auch nicht durch Sonderzeichen (*, @, #, o.ä.), da sich sonst die Paßwortlänge erkennen läßt.
  • Bei der Paßworteinrichtung oder -änderung muß die Möglichkeit der Bestätigung gegeben sein, damit eine unbewußte Falscheingabe sofort auffällt und nicht erst beim nächsten - dann natürlich vergeblichen - Anmeldeversuch.
  • Das System sollte die regelgerechte Bildung von Paßwörtern überprüfen und bei Abweichung abweisen können.
  • Die Mindestlänge von Paßwörtern sollte acht Zeichen, mindestens aber 6 betragen.

Durch die Verlängerung des Paßwortes lassen sich die Kombinationsmöglich-keiten bei der Zeichenauswahl erhöhen und so die Erfolgsaussichten von "Hackern" senken.

  • Das Paßwort sollte aus einem alphanumerischer Zeichenmix mit mindestens einem Sonderzeichen gebildet werden.
  • Es sollte ein zwangsweiser zyklischer Wechsel (alle 90 Tage) des Paßwortes erfolgen.

Vorsicht: Zu kurze Wechselrhythmen fördern u.U. nicht die Sicherheit, da zu häufiges Wechseln zum Notieren von Paßwörtern führen kann.

  • Die Wiederverwendung bereits benutzter Paßwortes sollte erst nach mehreren Wechseln (min. 5) möglich sein.
  • Die Benutzung von Trivialpaßwörtern ist zu verhindern.

Sollte dies systemseitig nicht implementiert sein, so ist zumindest in einer organisatorischen Regelung beispielhaft auf unzulässige Paßwörter hinzuweisen: Namen, Geburtsdaten, Kfz-Kennzeichen, Arbeitsgebiet, Zeichenketten ohne Zeichenwechsel, ....

  • Vom System automatisch generierte Paßwörter sollten nicht verwendet werden, da diese zum Aufschreiben (z.B. im Terminkalender) verführen.
  • Das sogenannte "Durchreichen" des Paßwortes von der Benutzeroberfläche in die eigentlichen Anwendungen (Programme) ist möglichst zu unterstützen, um das dann zu erwartende Notieren von mehreren unterschiedlichen Paßwörtern zu verhindern.
  • Die letzte Systemnutzung sollte dem Benutzer automatisiert bei der aktuellen Anmeldung angezeigt werden.

Auf diese Weise kann der Anwender sehen, wann die letzte Anmeldung mit seiner Nutzerkennung erfolgte und so u.U. einen Mißbrauchsversuch feststellen.

  • Der letzte nicht erfolgreiche Versuch einer Anmeldung sollte dem Benutzer automatisiert angezeigt werden.
  • Nicht erfolgreiche Login sollten auf jeden Fall protokolliert werden.

2. Anforderungen an organisatorische Regeln und Bedingungen

  • Jeder Benutzer hat eine eigene Nutzerkennung mit Paßwort.
  • Paßwörter werden benutzerabhängig vergeben.

Der Benutzer hat ausschließlich Zugriff auf die Programme und Daten, die er für die Erfüllung seiner Aufgaben benötigt; es sollte möglichst kein sogenanntes "Generalpaßwort" geben, mit dem der Besitzer Zugriff auf "ALLES" hat.

  • Die Vergabe von Nutzerkennzeichen und Paßwörtern ist in einem Konzept zur Benutzerverwaltung zu regeln. Diese Regelung sollte Bestandteil eines umfassenden Datenschutz- und Sicherheitskonzeptes sein.
  • Richtet der Systemverwalter sogenannte "Einstiegs-Paßwörter" ein, so sind diese bei der Erstanmeldung der jeweiligen Benutzer zwangsweise (wenn nicht implementiert, unverzüglich) durch selbstgewählte (s.u.) Paßwörter zu ersetzen.
  • Die Vergabe von Gruppenpaßwörtern ist zu vermeiden. Die Einrichtung von Gruppen bzw. Gruppenrechten sollte dazu dienen, die Benutzer (mit ihrer persönlichen Kennung) den jeweiligen Gruppen mit gleichen Zugriffsrechten zuzuordnen.
  • Ist die berechtigte Nutzung mehrerer ADV-Anwendungen an eine Paßwortein-gabe gebunden und ein automatisches Durchreichen des Paßwortes nicht möglich, kann ein Paßwort für diese Anwendungen benutzt werden, wenn es die Sensibilität der zu verarbeitenden Daten zuläßt.
  • Das Paßwort des Systemadministrators ist gesichert zu hinterlegen. Der Gebrauch durch Dritte ist zu protokollieren (Datum, Uhrzeit, Grund, ...). Anschließend ist das Paßwort unverzüglich zu ändern und wieder zu hinterlegen.
  • Bei Verdacht einer Ausspähung des Paßwortes ist dieses unverzüglich zu wechseln.
  • Bei systemimmanenten Benutzerkennungen (root, admin, ...) sind die Paßwörter bei der Erstanmeldung zu ändern. Zeitweise nicht benutzte Kennungen sind zu sperren bzw. zu deaktivieren.
  • Es müssen Vertretungsregelungen für Abwesenheitszeiten (Urlaub, Krankheit, ...) festgelegt werden. Kennungen sind zu sperren, wenn eine längere Abwesenheit vorhersehbar ist. Der Vertreter sollte möglichst über eine eigene Kennung mit Paßwort verfügen.
  • Kennungen von ausgeschiedenen Mitarbeitern sind unverzüglich zu löschen bzw. zu sperren.
  • Nach vorübergehender Vertretung in Ausnahmesitutationen sind die damit u.U. verbundenen Rechtezuweisungen zu deaktivieren.
  • Paßwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.

3. Anforderungen an die persönliche Verhaltens-weisen von Benutzern und Systemverwaltern

  • Das Paßwort darf grundsätzlich nicht weitergegeben werden, es muß geheimgehalten werden.
  • Wird ein Paßwort unauthorisierten Personen bekannt, so ist dieses unverzüglich zu wechseln.
  • Die Eingabe des Paßwortes sollte unbeobachtet stattfinden.

Der Monitor und die Tatstatur sind so aufzustellen, daß ein Beobachten der Zeicheneingabe ausgeschlossen wird.

4. Ergänzende Empfehlung für Systemverwalter

Anlage 6.2

Empfehlung des Arbeitskreises Technik der Konferenz der Datenschutzbeauftragten zu Datenschutz bei Telefax

I. Konventionelle Telefaxgeräte

Telefaxgeräte sind datenverarbeitende Geräte, mit denen auch personenbezogene Daten automatisiert übertragen werden können. Sie werden eingesetzt, um bei einfacher Handhabung schnell Informationen zu übermitteln. Das Telefax ist nach dem Telefon inzwischen zum wichtigsten Kommunikationsverfahren geworden. Nicht alle Nutzer von Telefaxgeräten sind sich darüber im klaren, welche Risiken für die Vertraulichkeit der per Telefax übermittelten Informationen bestehen.

Die besonderen Gefahren sind:

- Die Informationen werden grundsätzlich "offen" (unverschlüsselt) übertragen, und der Empfänger erhält sie - vergleichbar mit einer Postkarte - in unverschlossener Form.

- Der Telefaxverkehr ist wie ein Telefongespräch abhörbar.

- Die Adressierung erfolgt durch eine Zahlenfolge (Telefaxnummer) und nicht durch eine mehrgliedrige Anschrift. Dadurch sind Adressierungsfehler wahrscheinlicher, und Übertragungen an den falschen Adressaten werden nicht oder erst nachträglich bemerkt.

- Bei Telefaxgeräten neueren Typs kann der Hersteller Fernwartungen durchführen, ohne daß der Besitzer diesen Zugriff wahrnimmt. Unter bestimmten Umständen kann er dabei auf die im Telefaxgerät gespeicherten Daten zugreifen (z. B. Lesen der Seitenspeicher sowie Lesen und Beschreiben der Rufnummern- und Parameterspeicher).

Diese Gefahren werden von Anbietern der Telekommunikationsnetze und -dienste nicht abgefangen. Deshalb ist insbesondere die absendende Stelle für die ordnungsgemäße Übertragung und die richtige Einstellung der technischen Parameter am Telefaxgerät verantwortlich.

Die Datenschutzbeauftragten des Bundes und der Länder haben sich mit den Risiken vertraulicher Kommunikation beim Einsatz von Telefaxgeräten befaßt. Sie geben die folgenden Empfehlungen, um den datenschutzgerechten Umgang mit Telefaxgeräten weitgehend zu gewährleisten:

1. Aufgrund der gegebenen Gefährdungen darf die Übertragung sensibler personenbezogener Daten per Telefax nicht zum Regelfall werden, sondern darf nur im Ausnahmefall unter Einhaltung zusätzlicher Sicherheitsvorkehrungen erfolgen.

2. Was am Telefon aus Gründen der Geheimhaltung nicht gesagt wird, darf auch nicht ohne besondere Sicherheitsvorkehrungen (z. B. Verschlüsselungsgeräte) gefaxt werden. Das gilt insbesondere für sensible, personenbezogene Daten, beispielsweise solche, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen (Sozial-, Steuer-, Personal- und medizinische Daten).

3. Bei der Übertragung sensibler personenbezogener Daten ist zusätzlich zu hier genannten Maßnahmen mit dem Empfänger ein Sendezeitpunkt abzustimmen, damit Unbefugte keinen Einblick nehmen können. So kann auch eine Fehlleitung durch z. B. veraltete Anschlußnummern oder beim Empfänger aktivierte Anrufumleitungen bzw. -weiterleitungen vermieden werden.

4. Telefaxgeräte sollten nur auf der Grundlage schriftlicher Dienstanweisungen eingesetzt werden. Die Bedienung darf nur durch eingewiesenes Personal erfolgen.

5. Das Telefaxgerät ist so aufzustellen, daß Unbefugte keine Kenntnis vom Inhalt eingehender oder übertragener Schreiben erhalten können.

6. Alle vom Gerät angebotenen Sicherheitsmaßnahmen (z. B. Anzeige der störungsfreien Übertragung, gesicherte Zwischenspeicherung, Abruf nach Paßwort, Fernwartungsmöglichkeit sperren) sollten genutzt werden.

7. Die vom Gerät auf der Gegenseite vor dem eigentlichen Sendevorgang abgegebene Kennung ist sofort zu überprüfen, damit bei eventuellen Wählfehlern die Übertragung unverzüglich abgebrochen werden kann.

8. Bei Telefaxgeräten, die an Nebenstellenanlagen angeschlossen sind, ist das Risiko einer Fehladressierung besonders groß, da vor der Nummer des Teilnehmers zusätzlich Zeichen zur Steuerung der Anlage eingegeben werden müssen. Beim Umgang mit derartigen Geräten ist deshalb besondere Sorgfalt geboten.

9. Die Dokumentationspflichten müssen eingehalten werden (z. B. Vorblatt oder entsprechend aussagekräftige Aufkleber verwenden, Zahl der Seiten angeben, Protokolle aufbewahren). Sende- und Empfangsprotokolle sind vertraulich abzulegen, da sie dem Fernmeldegeheimnis unterliegen.

10. Vor Verkauf, Weitergabe oder Aussortieren von Telefaxgeräten ist zu beachten, daß alle im Gerät gespeicherten Daten (Textinhalte, Verbindungsdaten, Kurzwahlziele usw.) gelöscht werden.

11. Die am Telefaxgerät eingestellten technischen Parameter und Speicherinhalte sind regelmäßig zu überprüfen, damit beispielsweise Manipulationsversuche frühzeitig erkannt und verhindert werden können.

12. Verfügt das Telefaxgerät über eine Fernwartungsfunktion, sollte sie grundsätzlich durch den Nutzer deaktiviert werden. Nur für notwendige Wartungsarbeiten ist diese Funktionen freizugeben. Nach Abschluß der Wartungsarbeiten sollten die eingestellten Parameter und Speicherinhalte kontrolliert werden.

II. Telefax in Bürokommunikationslösungen

Rechner mit Standard- oder Bürokommunikationssoftware können um Hard- und Softwarekomponenten erweitert werden, mit deren Hilfe Telefaxe gesendet und empfangen werden können (integrierte Telefaxlösungen). Lösungen für den Faxbetrieb werden sowohl für Einplatzrechner als auch für Rechnernetze angeboten.

Der Betrieb (Installation, Konfiguration, Bedienung und Wartung) integrierter Telefaxlösungen birgt gegenüber dem konventionellen Telefaxgerät zusätzliche Gefahren, da beispielsweise die verwendeten Faxmodems bzw. -karten oft nicht nur für Telefaxsendung und empfang geeignet sind, sondern auch andere Formen der Datenübertragung und des Zugriffes ermöglichen.

Daher sollten die folgenden Empfehlungen beim Umgang mit integrierten Telefaxlösungen zusätzlich zu den bereits genannten beachtet werden.

1. Das verwendete Rechnersystem muß sorgfältig konfiguriert und gesichert sein. Die IT-Sicherheit des verwendeten Rechners bzw. Netzes ist Voraussetzung für einen datenschutzgerechten Betrieb der Faxlösung. Dazu gehört unter anderem, daß kein Unbefugter Zugang oder Zugriff zu den benutzten Rechnern und Netzwerken hat.

2. Beim Absenden ist auf die korrekte Angabe der Empfänger zu achten. Dazu sind die durch die Faxsoftware bereitgestellten Hilfsmittel wie Faxanschlußlisten, in denen Empfänger und Verteiler mit aussagekräftigen Bezeichnungen versehen werden können, zu benutzen.

3. Die vielfältigen Nutzungsmöglichkeiten integrierter Faxlösungen erfordern die regelmäßige und besonders sorgfältige Überprüfung der in der Faxsoftware gespeicherten technischen Parameter, Anschlußlisten und Protokolle.

4. Der Einsatz kryptographischer Verfahren ist bei integrierten Faxlösungen unklompliziert und kostengünstig möglich, sofern beide Seiten kompatible Produkte einsetzen. Deshalb sollten personenbezogene Daten immer verschlüsselt und digital signiert übertragen werden, um das Abhören zu verhindern und um den Absender sicher ermitteln und Manipulationen erkennen zu können.

5. Schon bei der Beschaffung integrierter Telefaxlösungen sollte darauf geachtet werden, daß ausreichende Konfigurationsmöglichkeiten vorhanden sind, um die dringend notwendige Anpassung an die datenschutzrechlichen Erfordernisse des Nutzers zu gewährleisten.

Zuletzt geändert:
am 03.03.1999

mail to webmaster