Verbraucherschutz (Consumer Financial Protection Bureau) empfiehlt Passwortverwaltung als Datenschutz-Praxis
Datenlecks stellen eine zunehmende Gefahr für Verbraucher in Bezug auf Identitätsbetrug und andere Cyberkriminalität dar. Regulierungsagenturen reagieren auf diesen Trend, indem sie mehr Druck auf Unternehmen ausüben, die Verbraucherdaten zu schützen – entweder durch neue Vorschriften oder durch aktualisierte Empfehlungen. Die jüngste Entwicklung in diesem Bereich stammt vom Consumer Financial Protection Bureau (CFPB), das im August darauf hinwies, dass unzureichender Datenschutz für sensible Verbraucherdaten Vorschriften in Bezug auf unlautere Praktiken verletzen könnten.
Daher empfiehlt das CFPB Unternehmen, drei gängige Sicherheitspraktiken zum Schutz von Kundendaten einzusetzen, u. a. die Passwortverwaltung. Warum ist das so wichtig?
Die Erklärung des CFPB zum unzureichenden Datenschutz
Im Jahr 2021 stieg die Anzahl der Datenlecks und ähnlichen Vorfälle in den USA um 68 % im Vergleich zum Vorjahr an und erreichte laut dem Identity Theft Recource Center (Ressourcenzentrum für Identitätsdiebstahl) neue Höchstwerte. Diese Vorfälle erhöhen das Risiko von Betrug und anderer Finanzkriminalität für Verbraucher. Der Rundbrief des CFPB vom August konstatiert, dass „die weit verbreiteten Datenlecks und Cyberangriffe zu erheblichen Schäden für Verbraucher geführt haben.“ Da eine Definition einer „unlauteren Geschäftspraxis“ ist, dass sie erhebliche Schäden verursacht, können Unternehmen mit schwachen Datenschutzpraktiken im Sinne des Verbraucherschutzgesetzes (Consumer Financial Protection Act/CFPA) unlautere Geschäftspraktiken haben. Das Amt gibt Ransomware-Angriffe, Exploits und Cyberattacken als weitere Mittel an, die Datenlecks und damit erhebliche Schäden für Verbraucher verursachen können.
Wichtig bei der Aussage des CFPB ist, dass das Gesetz gegen unlautere Praktiken selbst dann verletzt werden kann, wenn keine Datenlecks vorliegen. Selbst wenn in einem Jahr kein Datenleck eintritt, bedeutet dies noch lange nicht, dass die ungeschützten Daten für immer sicher sind.
Das CFPB empfiehlt drei gängige Praktiken zur Cybersicherheit, um Gesetzesverstöße zu vermeiden:
- Implementierung der Multi-Faktor-Authentifizierung
- Etablierung von Richtlinien und Verfahren für die Passwortverwaltung
- Zeitgerechte Aktualisierung von Software
Das CBFP nannte mehrere Präzedenzfälle, wie z. B. das Datenleck bei Equifax, und wies darauf hin, dass die mangelnde Implementierung dieser gängigen Datenschutzpraktiken „die Wahrscheinlichkeit erheblich erhöht“, dass ein Unternehmen gegen das Gesetz gegen unlautere Handlungen Geschäftspraktiken verstößt.
Passwortverwaltung wird mehr Aufmerksamkeit gewidmet
In den letzten ein oder zwei Jahren wurde von Regierungsbehörden, Regulierungsagenturen und Industrievereinigungen gleichermaßen mehr Wert auf die Umsetzung von Passwortrichtlinien und Passwortverwaltungspraktiken gelegt. Ein Beispiel hierfür ist die Executive Order zur Cybersicherheit, die US-Präsident Biden im Mai 2021 erlassen hat. Das Normeninstitut NIST legte als Reaktion auf diesen Erlass Passwortverwaltungsprogramme als kritische Software für eine IT-Umgebung fest, die unerlässlich für die Informationssicherheit ist.
Diese erhöhte Aufmerksamkeit zeigt, wie kritisch Passwortpraktiken im digitalen Zeitalter geworden sind. Es ist nicht weiter verwunderlich, dass eine der vier wichtigen Verhaltensweisen, die den Schwerpunkt des diesjährigen Cybersecurity Awareness Monats im Oktober bilden, die Verwendung starker Passwörter und eines Passwortverwaltungsprogramms ist.
Ziel dieser jährlichen Kampagne ist es, Menschen und Organisationen daran zu erinnern, wie grundlegende Praktiken zur Cybersicherheit ihre Daten schützen können. Dies ist eine gute Gelegenheit für Ihr Unternehmen, Ihre Passwortrichtlinien zu prüfen – oder solche Richtlinien zu implementieren, falls Sie dies noch nicht getan haben.
Aufstellen einer Richtlinie zur Passwortverwaltung
Eine Passwortrichtlinie hilft dabei, die Cybersicherheit durch Best Practices für die Passwortverwaltung zu verbessern. Die Richtlinie beschreibt eine Reihe von Passwortregeln für Ihre Geschäftskonten, einschließlich der Tools und Verfahren, die Mitarbeitende verwenden müssen.
Die Passwortrichtlinie sollte Aspekte abdecken, wie:
- Anforderungen für die Erstellung starker und separater Passwörter für jedes Konto
- Informationen über den Passwort-Manager, den Ihr Unternehmen verwendet
- Best Practices für die sichere Weitergabe, Speicherung und Verwaltung von Passwörtern
- Unsicheres Verhalten zu vermeiden, wie z. B. das Speichern von Passwörtern in Browsern und die Wiederverwendung von Passwörtern für verschiedene Konten
Einer der wichtigsten Aspekte für Ihre Passwortrichtlinie ist, dass sie das Gleichgewicht zwischen den Sicherheitsanforderungen Ihres Unternehmens und den Bedürfnissen Ihrer Mitarbeitenden erhalten muss. Ihre Richtlinie ist nur dann wirksam, wenn sie im gesamten Unternehmen eingehalten wird. Je „menschenfreundlicher“ sie ist, desto eher werden Ihre Mitarbeitenden sie einhalten.
Ziehen Sie Strategien in Erwägung, die die Einhaltung verbessern, wie z. B.:
- Förderung einer Sicherheitskultur, die den Mitarbeitenden verdeutlicht, inwiefern Cybersicherheit sowohl sie als auch das Unternehmen schützt.
- Einbindung von Gesprächen über die Bedeutung einer guten Passworthygiene, sowohl beim Onboarding neuer Mitarbeitender als auch bei den regelmäßigen Schulungen zur Cybersicherheit im Laufe des Jahres.
- Bereitstellung der Tools, die Mitarbeiter für eine gute Passwortsicherheit benötigen, wie z. B. einen benutzerfreundlichen Passwort-Manager für das Geschäft.
Das aktuelle CFPB-Rundschreiben belegt, dass das Amt die Datensicherheit betont – und dies ist nur ein Beispiel dafür, wie Regierungsbehörden neue Erwartungen für Unternehmen schaffen. Die Grundlagen der Cybersicherheit sind eine Voraussetzung für jedes Unternehmen im digitalen Zeitalter – und die Anforderungen an gängige Praktiken wie die Passwortverwaltung werden immer weiter zunehmen.
Der Password Manager for Business von Dashlane kann Sie bei der Implementierung einer starken Passwortrichtlinie und von Best Practices für die Passwortverwaltung unterstützen. Unser Passwort-Manager verfügt über eine Reihe robuster Funktionen und ist einfach zu bedienen. Dies erhöht Ihre Datensicherheit, ohne die Produktivität zu beeinträchtigen.
Probieren Sie eine kostenlose Testversion aus und finden Sie heraus, wie Dashlane Ihrem Unternehmen helfen kann, die Datensicherheit zu verbessern.
Literaturhinweise
- Identity Theft Resource Center, Annual Data Breach Report - ITRC, 2021.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten