Säule 2NIS2DSGVOBSI-GRUNDSCHUTZTISAX

Passwort-Hygiene & -Policy

Praxis-Szenario

Ein Steuerberater nutzt 'Sommer2024!' für alle Mandantenportale. Als ein Portal gehackt wird, probiert der Angreifer das gleiche Passwort bei DATEV, Elster und der Kanzlei-Cloud — überall funktioniert es. Ergebnis: Steuerdaten von 300 Mandanten kompromittiert, Meldung an die Datenschutzaufsicht, existenzbedrohender Reputationsschaden.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 2 lit. j

Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen inkl. Zugangsschutz

DSGVODSGVO Art. 32 Abs. 1 lit. b

Technische Maßnahmen zum Schutz personenbezogener Daten bei der Verarbeitung

BSI IT-GrundschutzBSI ORP.4

Geregelte Passwortvergabe und angemessene Passwortqualität

Lösung & Umsetzung

1. Passwort-Policy festlegen: Mindestens 14 Zeichen, keine Wörterbuchbegriffe 2. Passwort-Manager einführen (Bitwarden Business, ab 3€/Nutzer/Monat) 3. Automatische Prüfung gegen Leaked-Passwort-Datenbanken aktivieren 4. Passwort-Rotation: Nur bei Verdacht auf Kompromittierung (nicht mehr zeitbasiert) 5. Admin-Passwörter: 20+ Zeichen, separate Passwort-Tresore

Ihr Mehrwert

Ein Passwort-Manager eliminiert Passwort-Wiederverwendung zu 100%. Mitarbeiter müssen sich nur noch ein Master-Passwort merken. Reduziert Helpdesk-Anfragen für Passwort-Resets um 50%.

Nächster Schritt