Mit Passwörtern kann es keinen Datenschutz geben

Patrick McBride, Chief Marketing Officer, Beyond Identity

4 Jahre EU-DSGVO:  Ein Kommentar von Patrick McBride, Chief Marketing Officer von Beyond Identity.

Mit der Datenschutz-Grundverordnung (DSGVO) wurde ein einheitlicher Standard geschaffen, der auf widerstandsfähigen Cybersicherheitspraktiken beruht und unsere Daten und Privatsphäre schützen soll. Bei der Umsetzung wird dabei jedoch gerne übersehen, dass Privacy und Security Hand in Hand gehen, und keine wirkliche Sicherheit gewährleistet werden kann, solange Passwörter und traditionelle Multi-Factor-Authentification (MFA) im Spiel sind.

Die DSGVO macht an sich keine spezifischen Aussagen zur Verwendung von Passwörtern, doch sie verpflichtet Unternehmen und Organisationen dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen sicher zu verarbeiten. Dementsprechend sollten die Generierung und Absicherung von Passwörtern dieser sicheren Verarbeitung angemessen sein. Unternehmen müssen also prüfen, ob es keine besseren und sichereren Alternativen zur Authentifizierung gibt als Passwörter.

Dabei herrscht in der Sicherheitsbranche immer noch der Irrglaube, dass Passwörter grundsätzlich Sicherheit bieten können, wenn sie nur lang und komplex genug sind. Doch diese Annahme ist einfach nur falsch. Um wirklichen Datenschutz zu gewährleisten und die Privatsphäre zu schützen, müssen Regierungen endlich damit anfangen, eine Passwort-basierte Authentifizierung in Unternehmern abzuschaffen.

Doch nicht nur klassische Passwörter weisen große Sicherheitsmängel auf, auch andere traditionelle MFA-Faktoren – etwa SMS-Links oder Push-Benachrichtigungen – können von Cyberkriminellen mithilfe von Standard-Phishing und Man-in-the-Middle-Exploits leicht umgangen werden. Herkömmliche MFA ist im Grunde genommen nutzlos und wird nie die Sicherheit und Zuverlässigkeit bieten, die sie verspricht. Sämtliche Regularien und gesetzliche Vorschriften sollten dieser Tatsache Rechnung tragen und veraltete Passwort- und MFA-Praktiken endlich anpassen. Staatliche Stellen müssen sicherstellen, dass Unternehmen phishingresistente, passwortlose MFA verwenden, um sensible und kritische Daten wirklich zu schützen.“

#BeyondIdentity