IT-Academy Logo
Sign Up Login Help
Home - Netzwerke - Sicherheit - Passwörter - Gestaltung und Verwendung



Passwörter - Gestaltung und Verwendung

Empfehlungen für Benutzer; Hinweise für Systemverwalter und interne Datenschutzbeauftragte; Checkliste.


Autor: Sebastian Fladung (SFiL)
Datum: 01-04-2003, 08:35:17
Referenzen: google, www.sias.de, ...
Schwierigkeit: Fortgeschrittene
Ansichten: 4832x
Rating: 10 (3x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Hinweise zur Passwort - Gestaltung und Verwendung
Erforderlichkeit

Jede Datenverarbeiterin und jeder Datenverarbeiter sollte ein besonderes Interesse haben, die "eigenen Daten" vor den neugierigen Augen unberechtigter Dritter zu schützen. § 9 des Bundesdatenschutzgesetzes (BDSG) verpflichten Daten verarbeitende Stellen technische und organisatorische Maßnahmen gegen die unberechtigte Verarbeitung oder Nutzung von personenbezogenen Daten zu treffen. Das Passwortverfahren ist gegenwärtig das am meisten verwendete Verfahren, um den unberechtigten Zugriff auf personenbezogene Daten zu verhindern. Benutzer erhalten eine Benutzerkennung und ein persönliches Passwort, um sich so gegenüber dem IuK-System als Berechtigter ausweisen zu können. Dem nachgewiesenen authentischen Benutzer wird der Zugang zum System, zur Anwendung oder zu Teilen der Anwendung entsprechend den vergebenen Rechten eröffnet. Mit den folgenden Hinweisen sollen Empfehlungen zur Passwort-Gestaltung und Tipps zur Kontrolle einer datenschutzgerechten Verwendung von Passworten gegeben werden.

1. Empfehlungen für Benutzer

Passwort nirgends notieren und niemanden mitteilen!
(Ausnahme: z.B. versiegelte Hinterlegung des Systemverwalter-Passwortes für Notfälle). Die Benutzung des versiegelten Umschlages ist zu begründen.

Mindestens 6 Zeichen aus Buchstaben, Ziffern und Zeichen gemischt!

Mindestens 1 Sonderzeichen verwenden!

Passwort regelmäßig ändern, aber nicht zu oft!

Keine Trivialpasswörter verwenden!

Um sich auch ein kompliziertes Passwort leicht merken zu können, sollte man aus einem einprägsamen Satz, Lied oder Vers jeden x-ten Buchstaben auswählen und Sonderzeichen einstreuen, so z.B.: "Morgenstund hat Gold im Mund" = mshgim?

2. Hinweise für Systemverwalter und interne Datenschutzbeauftragte

Die Passwortregeln sind nach der Sensibilität der zu verarbeitenden personenbezogenen Daten abgestuft. Die Datenschutzbeauftragten des Bundes und der Länder untergliedern personenbezogene Daten nach dem Grad möglicher Beeinträchtigungen schutzwürdiger Belange in fünf Schutzstufen. Bei der Einordnung in eine der Schutzstufen sind nicht einzelne Datenfelder zu bewerten, vielmehr ist die gesamte Datei, die mögliche Verknüpfbarkeit oder auch das Auswahlkriterium der Speicherung, das nicht selbst gespeichert sein muss, zu berücksichtigen.

Checkliste – Passwort - Gestaltung und -Verwendung



Erläuterung:

Die einzelnen Anforderungen sind nach dem Schutzstufenkonzept (siehe Anlage 1) gestaffelt aufgeführt.
Die Grundschutzforderungen unter der Schutzstufe A – B sind immer anzuwenden. Die unter den Schutzstufen C, D oder E aufgeführten Anforderungen kommen aufgrund der höheren Datenschutzsicherungsanforderung jeweils ergänzend hinzu.







Anlage 1 - Schutzstufenkonzept
Klassifizierung schutzwürdiger Belange


Personenbezogene Daten werden nach dem Grad möglicher Beeinträchtigung schutzwürdiger Belange bei Missbrauch dieser Daten in 5 Schutzstufen untergliedert. Bei der Klassifizierung sind Datenfelder niemals einzeln zu bewerten. Die Betrachtung ist vielmehr auf die gesamte Datei, ggf. auf die gesamte DV-Anlage auszudehnen. Werden personenbezogene Daten unter einem Auswahlkriterium in eine Datei aufgenommen, das in der Datei nicht enthalten ist, so ist dieses Auswahlkriterium bei der Klassifizierung mit zu bewerten. Enthalten Dateien umfassende Angaben zu einer Person (Dossiers), so sind sie in eine höhere Schutzstufe einzuordnen, als dies nach den Einzeldaten erforderlich wäre.

Es werden folgende Schutzstufen unterschieden:

Stufe A: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.B. Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken.

Stufe B: Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen.

Stufe C: Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann ("Ansehen"), z.B. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten.

Stufe D: Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann ("Existenz"), z.B. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse.

Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.B. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. Falls die Sensitivität nicht bekannt ist, ist von der höchsten Sensitivitätsstufe auszugehen. Denkbar ist auch, dass der Schutz empfindlicher Firmendaten ohne Personenbezug die Einstufung bestimmt.


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04508
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06246
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1154
Comments: 0