4 Jahre EU-DSGVO: Mit Passwörtern kann es keinen Datenschutz geben

Die DSGVO macht an sich keine spezifischen Aussagen zur Verwendung von Passwörtern, doch sie verpflichtet Unternehmen und Organisationen dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen sicher zu verarbeiten. Dementsprechend sollten die Generierung und Absicherung von Passwörtern dieser sicheren Verarbeitung angemessen sein. Unternehmen müssen also prüfen, ob es keine besseren und sichereren Alternativen zur Authentifizierung gibt als Passwörter.

Dabei herrscht in der Sicherheitsbranche immer noch der Irrglaube, dass Passwörter grundsätzlich Sicherheit bieten können, wenn sie nur lang und komplex genug sind. Doch diese Annahme ist einfach nur FALSCH. Um wirklichen Datenschutz zu gewährleisten und die Privatsphäre zu schützen, müssen Regierungen endlich damit anfangen, eine Passwort-basierte Authentifizierung in Unternehmern abzuschaffen.

Doch nicht nur klassische Passwörter weisen große Sicherheitsmängel auf, auch andere traditionelle MFA-Faktoren – etwa SMS-Links oder Push-Benachrichtigungen – können von Cyberkriminellen mithilfe von Standard-Phishing und Man-in-the-Middle-Exploits leicht umgangen werden. Herkömmliche MFA ist im Grunde genommen nutzlos und wird nie die Sicherheit und Zuverlässigkeit bieten, die sie verspricht. Sämtliche Regularien und gesetzliche Vorschriften sollten dieser Tatsache Rechnung tragen und veraltete Passwort- und MFA-Praktiken endlich anpassen. Staatliche Stellen müssen sicherstellen, dass Unternehmen phishing-resistente, passwortlose MFA verwenden, um sensible und kritische Daten wirklich zu schützen."