Home / Aktuelles & Termine / it.sec blog

Bei Anmeldungen an Datenverarbeitungssystemen müssen die Benutzer eindeutig identifiziert und authentisiert werden, um eine ausreichende Vertraulichkeit und Integrität der Daten (Zugangs-, Zugriffs- und Eingabekontrolle), wie es in Art. 32 Datenschutzgrundverordnung (DSGVO) gesetzlich vorgeschrieben ist, zu gewährleisten. Dies ist mit einem unpersonalisierten Benutzer-Account nicht ohne Weiteres möglich:

  • Bei nicht-personalisierten Benutzerkonten ist es nicht möglich, je nach Aufgabenstellung oder Tätigkeitswechsel, die Zugriffsrechte der einzelnen Benutzer innerhalb des Datenverarbeitungssystems differenziert zu vergeben (Lesen, Ändern, Löschen).
  • Eine Eingabekontrolle kann effektiv nur erfolgen, wenn Benutzerkonten nicht von verschiedenen Personen verwendet werden, da nur so nachvollziehbar ist, wer wann auf welche Daten Zugriff genommen hat.
  • Die Vertraulichkeit der Passwörter als auch Passwortlänge, -komplexität sowie ein regelmäßiger Passwortwechsel sind so ebenfalls nicht gewährleistet: Bei einem Passwortwechsel müsste das Passwort den anderen Benutzern, die ebenfalls über diese Kennung, Zugang erhalten, mitgeteilt werden. Die Gefahr, dass Passwörter durch Dritte ausgespäht werden, ist hierbei sehr hoch. Insbesondere wenn die Passwörter aus pragmatischen Gründen notiert und z.B. per E-Mail weitergegeben werden. Zudem besteht die Gefahr, dass einfache Passwörter gewählt werden, da sie leichter mitteilbar und für diejenigen Benutzer, die das Passwort nicht selbst gewählt haben, besser zu merken sind oder aus Bequemlichkeit das Kennwort oft nicht zeitnah bzw. gar nicht mehr geändert wird oder Wiederholungen vergangener Passwörter verwendet werden. Hierbei ist die Gefahr, dass potentielle Angreifer durch Ausprobieren das Passwort leicht erraten, sehr hoch.
  • Bei einem ggf. erfolgten missbräuchlichem Einsatz von Zugangsdaten, die von mehreren Benutzern gleichzeitig genutzt werden können, kann niemals zweifelsfrei nachgewiesen werden, wer nicht den festgestellten Missbrauch begangen hat, da die Kennung und auch das Passwort nicht eindeutig einem Benutzer zugeordnet werden können. Nicht-personalisierte Benutzerkonten werden in der Praxis daher bevorzugt von Unbefugten genutzt, um zu verschleiern, wer für ein entsprechendes Handeln verantwortlich ist.

Sabrina Kieselmann
Beraterin für Datenschutz

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics hacken Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Malware Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31