#14 Technisch-Organisatorische Maßnahmen, ein Passwort-Trick und Passwort-Safes

Technisch-Organisatorische Maßnahmen (TOM) und warum guter Passwortschutz so wichtig ist.

Hallo und herzlich willkommen zu einer neuen Folge von 'So geht sicher. Der Podcast für Datenschutz und IT-Sicherheit in der Steuerkanzlei'. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH, und ich habe Ihnen heute wie in der letzten Episode versprochen das Thema „Technisch-Organisatorische Maßnahmen“ mitgebracht.

Der Begriff „Technisch-Organisatorische Maßnahmen“ kommt eigentlich aus dem Thema Auftragsverarbeitung, darum ging es ja beim letzten Mal auch. Die Technisch-Organisatorischen Maßnahmen sind fester Bestandteil jedes Vertrags zur Auftragsverarbeitung. Der Dienstleister muss Sie als Auftraggeber darüber informieren, in welcher Weise diese Maßnahmen umgesetzt werden, Sie bzw. Ihr Datenschutzprofi muss entscheiden, ob die Angaben für Sie ausreichend sind und das Niveau der Maßnahmen dem Schutz entspricht, den Sie sich für Daten, die Sie an einen Dienstleister weitergeben, vorstellen.

Wir legen nun für einige Folgen den Fokus Auf diese Maßnahmen, denn die gleichen Dinge, die Ihre Auftragsverarbeiter umsetzen müssen, sind im Grunde ja auch die Themen, mit denen Sie selbst im Datenschutz und der IT-Sicherheit konfrontiert sind und die Sie für sich organisieren sollten.

Wir können hier tatsächlich Datenschutz und IT-Sicherheit gleichberechtigt nebeneinander erwähnen, denn gerade die Technisch-Organisatorischen Maßnahmen bilden die große Schnittmenge zwischen diesen Bereichen. Wie der Name schon sagt geht es hier auch um technische Möglichkeiten zur Umsetzung der DSGVO, also sprechen wir von IT und Ihrer Nutzung. Am Ende der Episode schnappen wir uns auch gleich ein konkretes Thema, über das wir sprechen, nämlich den sinnvollen und sicheren Umgang mit Passwörtern.

Aber zuerst ein bisschen Know-how zu dem Technisch-Organisatorischen Maßnahmen, kurz TOM. Gerade in der Steuerberatung ist nunmal essenziell, dass personenbezogene Daten sicher verarbeitet und geschützt werden. Deshalb wollen wir uns heute genauer ansehen, was TOM sind und welche Maßnahmen darunter fallen.

Was sind Technisch-Organisatorische Maßnahmen (TOM)?

Darunter versteht man Schutzmaßnahmen, die sicherstellen sollen, dass personenbezogene Daten bei der Verarbeitung entsprechend geschützt werden. Diese Maßnahmen sind im Rahmen der DSGVO verpflichtend und dienen dazu, die Integrität, Vertraulichkeit und Verfügbarkeit von Daten zu gewährleisten. Dabei wird zwischen technischen und organisatorischen Maßnahmen unterschieden.

Technische Maßnahmen

Technische Maßnahmen beziehen sich auf die physische und digitale Sicherheit der Daten. Hierzu gehören unter anderem:

Verschlüsselung: Daten sollten sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden.

Zugriffskontrollen: Nur autorisierte Personen sollten Zugriff auf personenbezogene Daten haben. Dies kann durch Passwörter, biometrische Daten oder andere Authentifizierungsverfahren sichergestellt werden.

Datensicherung: Regelmäßige Backups der Daten sind notwendig, um im Falle eines Datenverlustes eine Wiederherstellung zu ermöglichen.

Netzwerksicherheit: Firewalls, Antivirus-Programme und regelmäßige Sicherheitsupdates sind essenziell, um das Netzwerk vor Angriffen zu schützen.

Organisatorische Maßnahmen

Organisatorische Maßnahmen betreffen die internen Abläufe und Strukturen innerhalb eines Unternehmens. Dazu gehören:

Schulungen: Mitarbeiter sollten regelmäßig im Umgang mit personenbezogenen Daten geschult werden, um Datenschutzverletzungen zu vermeiden.

Datenschutzrichtlinien: Klare Richtlinien und Verfahren sollten festgelegt werden, wie mit personenbezogenen Daten umgegangen wird.

Auftragsverarbeitungsverträge: Wenn Daten an Dritte weitergegeben werden, sollte ein Vertrag zur Auftragsverarbeitung geschlossen werden, der die Einhaltung der DSGVO sicherstellt.

Protokollierung: Alle Zugriffe auf personenbezogene Daten sollten protokolliert und regelmäßig überprüft werden.

Zusammenfassend lässt sich also sagen, dass Technisch-Organisatorische Maßnahmen ein zentraler Bestandteil des Datenschutzes sind und durch deren Umsetzung ein großer Teil der Todos für die Sicherheit und den Schutz der personenbezogenen Daten Ihrer Mandanten bereits gewährleistet wird.

Passwortschutz

Wie schon angekündigt habe ich direkt ein erstes Thema mitgebracht, über das wir genau genommen schon seit Jahrzehnten reden, das in der Praxis aber immernoch große Defizite in der Umsetzung hinterläßt: die Passwortsicherheit.

Passwörter sind die erste Verteidigungslinie gegen unberechtigten Zugriff auf sensible Daten. Deshalb ist es essenziell, sich mit den Grundlagen und aktuellen Best Practices auseinanderzusetzen.

Warum sind starke Passwörter so wichtig?

Starke Passwörter sind ein Eckpfeiler jeder Sicherheitsstrategie. Ein schwaches Passwort kann leicht geknackt werden, wodurch Angreifer Zugang zu vertraulichen Informationen erhalten können. Dies kann besonders in einer Steuerkanzlei verheerende Folgen haben, da hier täglich mit sensiblen und vertraulichen Daten gearbeitet wird. Machen Sie bitte nicht den Fehler bei “Passwort” nur an die lokale Nutzeranmeldung an Ihrem PC zu denken, das wird tatsächlich sehr oft miteinander gleichgesetzt. Wir sprechen auch von den Passwörtern, mit denen Sie sich online in die Kanzlei einwählen, in Mandantenportale, an Ihrer Homepage, in Ihrem E-Mail-Konto, bei Verschlüsselungsdiensten, Bankingdienste, Einkaufsplattformen, Cloud-Diensteanbietern, im Rechenzentrum und und und. Dieses kleine Eingabefeld für Ihr Passwort hat eine riesengroße Wirkung für den Schutz Ihrer Kanzleidaten und sollte daher auch entsprechend gestaltet sein.

Wie sollte ein Passwort aktuell aussehen, wie stark muss es sein?

Aktuelle Empfehlungen zur Passwortstärke haben sich in den letzten Jahren weiterentwickelt und weichen stark voneinander ab. Das hängt allerdings auch davon ab, welche Daten sich hinter dem Passwort verbergen. Hier sind einige wichtige Punkte, die Sie beachten sollten:

- Länge: Ein Passwort sollte mindestens 12 Zeichen lang sein. Längere Passwörter sind in der Regel sicherer. Setzen Sie das bitte immer in Relation zu dem Dienst oder Datenbestand, an dem Sie sich mit diesem Passwort anmelden. - Komplexität: Verwenden Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Vermeiden Sie leicht zu erratende Passwörter wie '123456' oder 'Passwort', den Namen des Kanzleihunds, das eigene Geburtsdatum oder das Ziel des letzten Kanzleiausflugs. Letzteres vor allem, wenn Ihre Kanzlei in sozialen Medien aktiv ist.- Einzigartigkeit: Jedes Konto sollte ein einzigartiges Passwort haben. Verwenden Sie niemals dasselbe Passwort für mehrere Konten.

Wie kann man sich ein gutes Passwort merken?

Meine Empfehlung ist ungefähr so alt, wie die Diskussion über sichere Passwörter, aber immernoch sehr zielführend: der Passwortsatz.

Ein Beispiel:

!HidbKs13fUO#

Ein Passwort mit 13 Stellen, Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Keine Wörter aus dem Wörterbuch, Geburtsdaten etc. Das sieht gar nicht schlecht aus. Wie kann man sich das nun merken? Ganz einfach. Man bildet zuerst einen brauchbaren Passwortsatz, aus dem man sich das Passwort dann immer wieder ableiten kann. In diesem Fall:

Das ! an erster Stelle kann man beispielsweise grundsätzlich vor jedes Passwort setzen, das muss man sich nicht merken. Dann kommt der Satz: “Hildegart ist die beste Kollegin seit 13 für UnternehmenOnline.” Die letzten beiden Buchstaben, UO, stehen also für die Anwendung, für die das jeweilige Passwort gedacht ist, in diesem Fall UnternehmenOnline. Und die Raute, das Nummernzeichen, der Hashtag oder wie auch immer man sagen möchte am Ende kann man auch wieder grundsätzlich so nutzen, wie beim Ausrufezeichen muss man sich das nicht extra merken.

Müssen Sie sich nun für jede Anwendung einen neuen Satz merken? Nein. Deswegen können Sie ja das Kürzel für die jeweilige Anwendung am Ende dieses Satzes – oder wo auch immer das in Ihrem Satz steht – immer austauschen. Statt UO für “UnternehmenOnline” ist es dann “CG” für ein ChatGPT-Konto. Ich denke das Prinzip ist verstanden.

So wird aus der guten Zusammenarbeit mit Ihrer Kollegin Hildegard ein sinnvolles Passwort, mit dem man wirklich was anfangen kann. An dieser Stelle geht ein herzlicher Gruß an alle Hildegards, die diese Episode anhören.

Sind Passwort-Safes eine datenschutzkonforme Lösung?

Passwort-Safes, auch Passwort-Manager genannt, sind Programme, die Passwörter sicher speichern und verwalten. Sie generieren starke, einzigartige Passwörter für jede Anwendung und speichern diese verschlüsselt. Der große Vorteil der meisten Anwendungen ist, dass sie die Anmeldung an einem Dienst automatisch für Sie durchführen, was das Arbeiten durchaus beschleunigen kann.

Die Nutzung von Passwort-Safes kann datenschutzkonform sein, wenn einige wichtige Punkte beachtet werden:

Die Verschlüsselung: Der Passwort-Safe sollte eine starke Verschlüsselung verwenden, um die gespeicherten Passwörter zu schützen. Sprich: der Zugang zum Passwort-Safe und die Absicherung der Datenbestände sollte sich an Fort-Knox orientieren.

Der Anbieterwahl: Wählen Sie einen vertrauenswürdigen Anbieter, der Datenschutzbestimmungen einhält und transparent über seine Sicherheitsmaßnahmen informiert (hier sind wir auch wieder beim Thema Auftragsverarbeitung, hinterfragen Sie das Sicherheitsniveau ruhig im Detail).

Das Master-Passwort: Das Master-Passwort, mit dem der Passwort-Safe geschützt wird, sollte besonders stark und einzigartig sein. Nutzen Sie, wenn möglich, die Zwei-Faktor-Authentifizierung, um einen zusätzlichen Schutzlayer hinzuzufügen.

Zusammenfassend lässt sich sagen, dass starke Passwörter und der Einsatz von Passwort-Safes wesentliche Bestandteile einer soliden IT-Sicherheitsstrategie sind. Lassen Sie bei der Auswahl des Passwort-Safes Vorsicht walten und fragen Sie am Besten Ihren Datenschutz-Experten, der kann Ihnen sicher eine für Ihre Bedürfnisse passende Lösung empfehlen. Fakt ist: mit einer guten Passwort-Strategie können Sie die Sicherheit Ihrer Daten deutlich erhöhen und sich besser gegen potenzielle Angriffe schützen. Auch wenn man es uns selten glaubt: diese paar Buchstaben können eine wirklich große Wirkung entfalten.

Das war's für heute. Ich hoffe, Sie fanden diese Folge hilfreich und informativ. Wenn Sie spezielle Themenwünsche haben, oder Fragen zur heutigen Episode, Hinweise oder Kritik, dann schreiben Sie uns gerne, die Kontaktdaten finden Sie wie immer in den heute wirklich viel zitierten Shownotes. Und wenn Sie mehr von diesem Podcast hören wollen, sollten Sie „so geht sicher“ JETZT GLEICH abonnieren. Bis bald!