print logo

4 Jahre DSGVO: Mit Passwörtern kann es keinen Datenschutz geben

Am 25. Mai 2018 trat die DSGVO in Kraft. Haben sich Datenschutz und Cybersicherheit seitdem verbessert?
Beyond Identity | 25.05.2022
Bei der Umsetzung der DSGVO wird oft übersehen, dass Privacy und Security Hand in Hand gehen © Pixabay
 

Unternehmen sollten prüfen, ob es bessere und sicherere Alternativen zur Authentifizierung gibt als Passwörter

Mit der Datenschutz-Grundverordnung (DSGVO) wurde ein einheitlicher Standard geschaffen, der auf widerstandsfähigen Cybersicherheitspraktiken beruht und unsere Daten und Privatsphäre schützen soll. Bei der Umsetzung wird dabei jedoch gerne übersehen, dass Privacy und Security Hand in Hand gehen, und keine wirkliche Sicherheit gewährleistet werden kann, solange Passwörter und traditionelle MFA im Spiel sind.

Die DSGVO macht an sich keine spezifischen Aussagen zur Verwendung von Passwörtern, doch sie verpflichtet Unternehmen und Organisationen dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen sicher zu verarbeiten. Dementsprechend sollten die Generierung und Absicherung von Passwörtern dieser sicheren Verarbeitung angemessen sein. Unternehmen müssen also prüfen, ob es keine besseren und sichereren Alternativen zur Authentifizierung gibt als Passwörter.

Passwörter sind unsicher – egal wie lang oder stark sie sind

Dabei herrscht in der Sicherheitsbranche immer noch der Irrglaube, dass Passwörter grundsätzlich Sicherheit bieten können, wenn sie nur lang und komplex genug sind. Doch diese Annahme ist einfach nur FALSCH. Um wirklichen Datenschutz zu gewährleisten und die Privatsphäre zu schützen, müssen Regierungen endlich damit anfangen, eine Passwort-basierte Authentifizierung in Unternehmern abzuschaffen.

Doch nicht nur klassische Passwörter weisen große Sicherheitsmängel auf, auch andere traditionelle MFA-Faktoren – etwa SMS-Links oder Push-Benachrichtigungen – können von Cyberkriminellen mithilfe von Standard-Phishing und Man-in-the-Middle-Exploits leicht umgangen werden. Herkömmliche MFA ist im Grunde genommen nutzlos und wird nie die Sicherheit und Zuverlässigkeit bieten, die sie verspricht.

Sämtliche Regularien und gesetzliche Vorschriften sollten dieser Tatsache Rechnung tragen und veraltete Passwort- und MFA-Praktiken endlich anpassen. Staatliche Stellen müssen sicherstellen, dass Unternehmen phishing-resistente, passwortlose MFA verwenden, um sensible und kritische Daten wirklich zu schützen.