Datenschutz und Datensicherheit in Zeiten von DSGVO - Secrets und Passwörter sicher teilen

Zu den Sicherheitstipps

Während es beim Thema Datenschutz darum geht, die grundsätzliche Erhebung sowie die Verarbeitung personenbezogener Daten und damit der Persönlichkeits- und Grundrechte eines Menschen den geltenden Gesetzen aus Bundesdatenschutzgesetz (BDSG) sowie der europäischen Datenschutzgrundverordnung (EU-DSGVO) konform zu gestalten, betrifft das Thema Datensicherheit schlussendlich alle Daten im Unternehmen, auch ohne konkreten Personenbezug.

Neben Verträgen, Konzepten, technischen Plänen oder anderen, unternehmensrelevanten Informationen in digitaler aber auch analoger Form sind es insbesondere Zugänge zu Drittsystemen, die einer besonderen Aufmerksamkeit bedürfen. Benutzername und Passwort, im weiteren Verlauf auch Accountinformationen oder Credentials genannt, sind schließlich der digitale Türöffner für Korridore, in die nicht jeder Zugang haben sollte. Schon gar nicht ein fremder Dritter. Selbstreden grenzt sich je Thematik natürlich auch der Kreis der Mitarbeiter oder Kollegen entsprechend ein, oder würdest du den Zugang zum Onlinebanking Deines Unternehmens einfach so an einen beliebigen Mitarbeiter weitergeben? Neben ausgeklügelten Backupstrategien, Firewalls und VPN-Zugängen, gruppen- und rollenbasierten Passwort-Vaults, verschlüsselter Kommunikation gibt es noch zahlreiche andere, individuelle Maßnahmen zur Wahrung der Datensicherheit innerhalb des Teams und der eigenen Unternehmensinfrastruktur.

Ein Punkt, der jedoch besonders im Kosmos einer Agentur als Dienstleister für einen Kunden in seiner Rolle als Auftraggeber schon fast zum Daily Business gehört, ist das Senden und Empfangen oben erwähnter Credentials. Folgende Beispiele sollten Ihnen womöglich bekannt sein:

• Kunde sendet Agentur benötigte Credentials um eine Payment Schnittstelle einzurichten
• Agentur sendet Kunde benötigte Accountinformationen um sich in den Administrationsbereich des Shops einloggen zu können
• Kunde sendet Agentur benötigte Zugangsdaten zum Email-Marketingdienst um diesen mit dem Shop zu verknüpfen
• Hostingdienstleister oder IT-Beauftragter des Kunden sendet Agentur Zugangsinformationen um sich auf den Webserver verbinden zu können
• ...

Völlig normale, übliche Vorgänge die prinzipiell nur wenige Minuten an Aufwand bedürfen und doch aufgrund von Datensicherheitsmaßnahmen teilweise übermäßig langwierig sein können. Wer sich erinnert: noch vor etwa etwa zehn Jahren wurde beim Abschluss eines Telefon- bzw. Internetanschlusses das Passwort zum Aufbauen der Verbindung auf dem Postweg übermittelt. In einer solch hektischen Zeit wie heute, in der Wartezeiten - schon gar nicht im IT-Bereich - kaum mehr Akzeptanz finden, absolut undenkbar! Zu leichtfertig werden aus der Bequemlichkeit heraus daher gerne Benutzer und Passwörter, im Worst Case auch noch gemeinsam, im Klartext per E-Mail oder einem beliebigen Messenger Dienst weitergeleitet ohne auch nur eine Sekunde darüber nachzudenken, dass die Nachricht auf dem Übertragungsweg von irgendjemandem abgefangen werden könnte.

Was also tun? Wie schafft man es, Credentials schnell, einfach und ohne großen Aufwand teilen zu können ohne aber den Faktor Sicherheit außer acht zu lassen?

Wir als Agentur setzen in dieser Sache nun schon seit ein paar Jahren hochzufrieden auf saltify.io Entwickelt von unserem Software Architekten und langjährigen Mitarbeiter Martin Schindler, verlassen wir uns auf sogenannte One-Time-Secrets: Geheimnisse also, die nach einmaligem Abruf oder nach Ablauf der festgelegten Lebensdauer automatisch verschwinden, dabei vollständig gelöscht werden und nicht wiederherstellbar sind. Mit modernsten Algorithmen verschlüsselt, kann das Geheimnis ausschließlich über einen generierten Link abgerufen werden. Diesen Link kann man anschließend bequem mit Mitarbeiter, Kunden oder Kooperationspartner teilen. Weil es hier und da schon mal richtig eilt, kann man dank der saltify.io Integration in den beliebten Messengerdienst Slack direkt im Zuge der Kommunikation neue Secrets erzeugen und unmittelbar an den Chatpartner senden. Bequem, einfach, schnell… UND SICHER!

Und noch ein Vorteil bietet sich bei diesem Verfahren: Würde während der Weitergabe des generierten Links zum Abrufen des Secrets ein Unbefugter das Geheimnis abrufen, ist jenes anschließend für den eigentlichen Empfänger nicht mehr verfügbar. Spätestens dann fällt der zuvor statt gefundene, unerlaubte Zugriff auf und man kann je nach Fall entsprechende weitere Maßnahmen einleiten und etwa das verschickte Passwort ändern.

Wer bereits mit uns in Kontakt stand oder steht, wird womöglich bereits ein saltify Secret von uns erhalten haben. Allen anderen empfehlen wir ebenfalls guten Gewissens: wirf doch einen einen Blick auf www.saltify.io und überzeug dich selbst!

Du siehst also, je weniger Informationen man dem Geheimnis entnehmen kann umso weniger nützlich ist es einer Dritten Person wenn diese den Kontext nicht kennt. Es ist ähnlich einer Schlüsselkarte fürs Hotelzimmer. Ohne zu wissen, zu welchem Zimmer eine unbedruckte, weiße Karte gehört, wird es schwierig den richtigen Zugang zu finden. Schreibt man auf die Karte jedoch die Zimmernummer drauf, kann man die Tür eigentlich gleich offen stehen lassen.