Liebe Leser und Datenschutz-Interessierte,
die Zahl der Datenpannen durch unberechtigte Zugriffe auf Datenverarbeitungssysteme (z.B. den E-Mail-Account) von außen nehmen seit geraumer Zeit drastisch zu. Die Angreifer gelangen häufig etwa durch Phishing-Attacken an die Zugangsdaten (inkl. Passwörter) oder kaufen diese einfach im Darknet. Das Darknet ist voll von Zugangsdaten von Unternehmensaccounts, die in der Vergangenheit bereits durch Angriffe erbeutet wurden, oft auch, ohne dass Sie als Unternehmen hiervon Kenntnis erlangt haben.
Datenschutz durch Zwei-Faktor-Authentifizierung
Datenschutzrechtlich müssen alle Unternehmen gemäß Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten treffen. Hierzu zählen u.a. Maßnahmen zum Zugriffsschutz auf Systeme/Server etc. Eine bekannte Maßnahme ist bspw. die Implementierung eines sicheren Passwortschutzes, realisiert durch ein starkes Passwort (mind. 10 Zeichen, inkl. Sonderzeichen etc.).
Aber dieses alleine reicht grds. nicht aus, um die Accounts und die darin befindlichen Daten angemessen zu schützen. Es bedarf eines weiteren / zusätzlichen Sicherheitsfaktors, wie dies etwa auch bei Ihrer Bankkarte der Fall ist. Hier reicht das bloße Einlesen der Bankkarte nicht zum Geldabheben aus, sondern Sie benötigen (als zweiten Faktor) zusätzlich noch Ihre PIN. Warum sollte es bei wichtigen (Unternehmens-)Daten also anders sein?
Stand der Technik – Datenschutzvorgaben
Als Stand der Technik ist die Implementierung einer Zwei-Faktor-Authentifizierung für den Zugang/Zugriff auf Systeme, auf bzw. mit denen personenbezogene Daten verarbeitet werden, folglich verpflichtend. Es gibt mehrere Möglichkeiten wie eine Zwei-Faktor-Authentifizierung implementiert werden kann. Dies erfolgt bspw. über die Verwendung einer App, die automatisch kurze Einmalkennwörter generiert (z.B. per Sophos Authenticator oder Microsoft Authenticator).
Bei der technischen Einrichtung einer Zwei-Faktor-Authentifizierung ist Ihr IT-Administrator / IT-Dienstleister der erste Ansprechpartner. Bei der rechtlichen „Einrichtung“ ist Ihr (externer) Datenschutzbeauftragter hingegen der erste Ansprechpartner. Hintergrund: Auch die ausgewählte Lösung zur Umsetzung der Zwei-Faktor-Authentifizierung muss datenschutzrechtlichen Vorgaben genügen und sich an diesen orientieren; dies ist – je nach Anbieter – leider nicht immer der Fall. Weitere Informationen rund um die Zwei-Faktor-Authentifizierung finden Sie auch unter: BSI – Zwei-Faktor-Authentisierung – mehr Sicherheit für Geräte und Daten (bund.de).
Risikoreduzierung durch Zwei-Faktor-Authentifizierung
Auch wenn die Einrichtung einer Zwei-Faktor-Authentifizierung mit (etwas) Aufwand verbunden ist, so schiebt dies den meisten Angriffen einen Riegel vor, sodass Ihr Unternehmen gar nicht erst Opfer einer entsprechenden Datenpanne wird. Haben Sie bisher keine Zwei-Faktor-Authentifizierung eingerichtet, so wird die zuständige Aufsichtsbehörde bei der nächsten Datenpanne sehr unangenehme Rückfragen stellen, wie wir bereits seit geraumer Zeit beobachten. Dies kann sodann auch zu einem Bußgeld seitens der Aufsichtsbehörden führen, wegen Verstoßes gegen Art. 32 Abs. 1 DSGVO.
Bei Rückfragen kommen Sie ebenfalls gerne – wie gewohnt – auf uns zu.
Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy
