Datenschutz und Datensicherheit in Zeiten von DSGVO - Secrets und Passwörter sicher teilen

Mindestens seit Beginn der Unixzeit (1. Januar 1970 um 00:00 Uhr koordinierte Weltzeit) wächst mit jedem neuen Tag die Wichtigkeit von Schutz und Sicherheit von Daten. Insbesondere weil Daten, egal welcher Art, das Kapital der Zukunft darstellen und auch hier der Leitsatz „Wissen ist Macht“ gilt, steigen zugleich auch die Risiken von Angriffen oder versehentlichem Verlust sensibler Daten.

Während es beim Thema Datenschutz darum geht, die grundsätzliche Erhebung sowie die Verarbeitung personenbezogener Daten und damit der Persönlichkeits- und Grundrechte eines Menschen den geltenden Gesetzen aus Bundesdatenschutzgesetz (BDSG) sowie der europäischen Datenschutzgrundverordnung (EU-DSGVO) konform zu gestalten, betrifft das Thema Datensicherheit schlussendlich alle Daten im Unternehmen, auch ohne konkreten Personenbezug.

Neben Verträgen, Konzepten, technischen Plänen oder anderen, unternehmensrelevanten Informationen in digitaler aber auch analoger Form sind es insbesondere Zugänge zu Drittsystemen, die einer besonderen Aufmerksamkeit bedürfen. Benutzername und Passwort, im weiteren Verlauf auch Accountinformationen oder Credentials genannt, sind schließlich der digitale Türöffner für Korridore, in die nicht jeder Zugang haben sollte. Schon gar nicht ein fremder Dritter. Selbstreden grenzt sich je Thematik natürlich auch der Kreis der Mitarbeiter oder Kollegen entsprechend ein, oder würdest du den Zugang zum Onlinebanking Deines Unternehmens einfach so an einen beliebigen Mitarbeiter weitergeben? Neben ausgeklügelten Backupstrategien, Firewalls und VPN-Zugängen, gruppen- und rollenbasierten Passwort-Vaults, verschlüsselter Kommunikation gibt es noch zahlreiche andere, individuelle Maßnahmen zur Wahrung der Datensicherheit innerhalb des Teams und der eigenen Unternehmensinfrastruktur.

Ein Punkt, der jedoch besonders im Kosmos einer Agentur als Dienstleister für einen Kunden in seiner Rolle als Auftraggeber schon fast zum Daily Business gehört, ist das Senden und Empfangen oben erwähnter Credentials. Folgende Beispiele sollten Ihnen womöglich bekannt sein:

  • Kunde sendet Agentur benötigte Credentials um eine Payment Schnittstelle einzurichten
  • Agentur sendet Kunde benötigte Accountinformationen um sich in den Administrationsbereich des Shops einloggen zu können
  • Kunde sendet Agentur benötigte Zugangsdaten zum Email-Marketingdienst um diesen mit dem Shop zu verknüpfen
  • Hostingdienstleister oder IT-Beauftragter des Kunden sendet Agentur Zugangsinformationen um sich auf den Webserver verbinden zu können
  • ...

Völlig normale, übliche Vorgänge die prinzipiell nur wenige Minuten an Aufwand bedürfen und doch aufgrund von Datensicherheitsmaßnahmen teilweise übermäßig langwierig sein können. Wer sich erinnert: noch vor etwa etwa zehn Jahren wurde beim Abschluss eines Telefon- bzw. Internetanschlusses das Passwort zum Aufbauen der Verbindung auf dem Postweg übermittelt. In einer solch hektischen Zeit wie heute, in der Wartezeiten - schon gar nicht im IT-Bereich - kaum mehr Akzeptanz finden, absolut undenkbar! Zu leichtfertig werden aus der Bequemlichkeit heraus daher gerne Benutzer und Passwörter, im Worst Case auch noch gemeinsam, im Klartext per E-Mail oder einem beliebigen Messenger Dienst weitergeleitet ohne auch nur eine Sekunde darüber nachzudenken, dass die Nachricht auf dem Übertragungsweg von irgendjemandem abgefangen werden könnte.

Was also tun? Wie schafft man es, Credentials schnell, einfach und ohne großen Aufwand teilen zu können ohne aber den Faktor Sicherheit außer acht zu lassen?

Wir als Agentur setzen in dieser Sache nun schon seit ein paar Jahren hochzufrieden auf saltify.io Entwickelt von unserem Software Architekten und langjährigen Mitarbeiter Martin Schindler, verlassen wir uns auf sogenannte One-Time-Secrets: Geheimnisse also, die nach einmaligem Abruf oder nach Ablauf der festgelegten Lebensdauer automatisch verschwinden, dabei vollständig gelöscht werden und nicht wiederherstellbar sind. Mit modernsten Algorithmen verschlüsselt, kann das Geheimnis ausschließlich über einen generierten Link abgerufen werden. Diesen Link kann man anschließend bequem mit Mitarbeiter, Kunden oder Kooperationspartner teilen. Weil es hier und da schon mal richtig eilt, kann man dank der saltify.io Integration in den beliebten Messengerdienst Slack direkt im Zuge der Kommunikation neue Secrets erzeugen und unmittelbar an den Chatpartner senden. Bequem, einfach, schnell… UND SICHER!

Und noch ein Vorteil bietet sich bei diesem Verfahren: Würde während der Weitergabe des generierten Links zum Abrufen des Secrets ein Unbefugter das Geheimnis abrufen, ist jenes anschließend für den eigentlichen Empfänger nicht mehr verfügbar. Spätestens dann fällt der zuvor statt gefundene, unerlaubte Zugriff auf und man kann je nach Fall entsprechende weitere Maßnahmen einleiten und etwa das verschickte Passwort ändern.

Wer bereits mit uns in Kontakt stand oder steht, wird womöglich bereits ein saltify Secret von uns erhalten haben. Allen anderen empfehlen wir ebenfalls guten Gewissens: wirf doch einen einen Blick auf www.saltify.io und überzeug dich selbst!

Riskantes Geheimnis, da Kontext klar Gutes Geheimnis, da ohne Kontext unbrauchbar Anmerkung
Benutzername: demo Passwort: 1234 1234 Besser nur das Passwort versenden und Benutzername über ein anderes Mittel kommunizieren
Zugang zu unserem Google Account lautet demo/1234 demo/1234 Selbst wenn man Benutzer und Passwort zusammen übermittelt, der Kontext (in diesem Fall: Google Account) darf nicht dabei stehen
Wenn du dich per SSH mit Deinem User auf unseren Server 123.123.123.1 verbindest, dann gib folgendes Passwort an: 1234 1234 Anweisung zum Verbinden über ein anderes Mittel kommunizieren, Passwort ohne Kontext als One-Time-Secret
sshpass -p '1234' ssh [email protected] sshpass -p ‚YourPassword' ssh [email protected] Passwort, Usernamen und Server-Adresse getrennt über separate One-Time-Secrets oder andere Kommuikationswege zu versenden ist allemal sicherer als den Befehl zum Verbinden per SSH komplett vorauszufüllen

Du siehst also, je weniger Informationen man dem Geheimnis entnehmen kann umso weniger nützlich ist es einer Dritten Person wenn diese den Kontext nicht kennt. Es ist ähnlich einer Schlüsselkarte fürs Hotelzimmer. Ohne zu wissen, zu welchem Zimmer eine unbedruckte, weiße Karte gehört, wird es schwierig den richtigen Zugang zu finden. Schreibt man auf die Karte jedoch die Zimmernummer drauf, kann man die Tür eigentlich gleich offen stehen lassen.

Kurz und knapp zusammengefasst, das sind unsere Tipps für Dich:

  • Nutze einen Dienst um Passwörter verschlüsselt zu übertragen (wie saltify.io)
  • Stelle sicher, dass das Secret nicht schon vorher aufgerufen wurde
  • Erleichtere die tägliche Routine für dich und deine Kollegen, indem du Tools in deine bestehende Infrastruktur integrierst. Dies steigert die Akzeptanz. saltify.io lässt sich beispielsweise in Slack integrieren.
  • Kläre deine Kunden/Kollegen auf, dass man nur auf dem spezifizieren Weg Secrets versenden und auch empfangen darf/sollte. Dadurch steigerst du die Awareness aller Beteiligten.
  • Versende Secrets nie mit deren Kontext (Siehe Beispiele in der Tabelle)
  • Sprich mit deinem Datenschutzbeauftragten, welche Kommunikationsmittel und -wege in deinem Unternehmen in Einklang zu den Datenschutzvereinbarungen möglich sind.
  • Nutze im Idealfall unterschiedliche Kommunikationswege. Ein potenzieller Datenklau erfolgt meist über einen spezifischen Kanal. Unwahrscheinlich, dass alle Kommunikationskanäle dem zum Opfer fallen.
saltify-teaser