Passwortsicherheit und DSGVO
Vor einem Jahr trat die DSGVO in Kraft. Sie räumt den personenbezogenen Daten mehr Schutz ein und verlangt von den datenverarbeitenden Unternehmen höhere Sorgfalt und Sicherheit im Umgang mit den Daten ihrer Kunden und Dritten. In diesem Zusammenhang kommt Passwörtern eine besondere Bedeutung zu: einerseits zur Absicherung in datenverarbeitenden Unternehmen, um den Zugriff auf Informationen autorisierten Nutzern vorzubehalten. Andererseits nutzen Kunden dieser datenverarbeitenden Unternehmen Passwörter zur Authentifizierung bei digitalen Diensten. Passwortsicherheit muss in beiden Bereichen greifen. Jeder Nutzer – ob auf Unternehmens- oder Kundenseite – hat rund 100 Konten, die er mit Passwörtern sichert. Passwörter über verschiedene Konten mehrfach zu verwenden oder auf Klebezetteln für andere sichtbar zu notieren sind da keine Seltenheit, um dem Gedächtnis auf die Sprünge zu helfen. Passwortmanager helfen, hier den Überblick zu behalten und sicher mit Authentifizierung umzugehen: Sie generieren für die Anwender sichere Passwörter für jedes einzelne ihrer Konten und hinterlegen diese wie in einem Tresor in einem zentralen Repository.
LastPass, einer der weltweit bekanntesten und beliebtesten Passwortmanager, legt großen Wert auf die Sicherheit der Kundendaten:
„Wir haben viel in unsere eigenen Datenschutz Policies investiert, damit wir als Unternehmen selbst vertrauenswürdig, sicher und zuverlässig sind. Die Sicherheit unseres Passwortmanagers LastPass basiert auf dem Zero-Knowledge-Sicherheitskonzept. Das bedeutet, LastPass oder LogMeIn als SaaS-Anbieter und somit Host der Passwörter seiner Kunden hatte niemals Zugang zu den Passwörtern seiner Nutzer. Unsere Devise lautet: Wenn LastPass nicht auf die Kundendaten zugreifen kann, können Hacker das auch nicht. Die Verschlüsselung erfolgt ausschließlich auf Geräteebene, bevor die Daten zur sicheren Speicherung mit LastPass synchronisiert werden. Der LastPass-Tresor kann daher nur vom Benutzer selbst mit dem Master-Passwort entschlüsselt werden, das nie an LastPass gesendet wird. Vor kurzem hat LastPass zudem die C5 Standardisierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. LogMeIn ist derzeit einer der wenigen Anbieter eines Cloud-basierten Passwortmanagers, der diese Zertifizierung erhält. Nachdem wir von Anfang an in hohen Datenschutz investiert haben, ist die Zertifizierung nur ein Gütesiegel, um unsere Anstrengungen auch nach außen hin sichtbar zu machen“, erläutert Gerald Beuchelt, CISO von LogMeIn, Hersteller von LastPass.
www.logmeininc.com/trust/privacy