Anmelden


Kommentar zu Passwortsicherheit und DSGVO

Datenschutz bei LastPass, dem nach C5 zertifizierten Passwortmanager

Vor einem Jahr trat die DSGVO in Kraft. Sie räumt den personenbezogenen Daten mehr Schutz ein und verlangt von den datenverarbeitenden Unternehmen höhere Sorgfalt und Sicherheit im Umgang mit den Daten ihrer Kunden und Dritten. In diesem Zusammenhang kommt Passwörtern eine besondere Bedeutung zu: einerseits zur Absicherung in datenverarbeitenden Unternehmen, um den Zugriff auf Informationen autorisierten Nutzern vorzubehalten. Andererseits nutzen Kunden dieser datenverarbeitenden Unternehmen Passwörter zur Authentifizierung bei digitalen Diensten. Passwortsicherheit muss in beiden Bereichen greifen. Jeder Nutzer – ob auf Unternehmens- oder Kundenseite – hat rund 100 Konten, die er mit Passwörtern sichert. Passwörter über verschiedene Konten mehrfach zu verwenden oder auf Klebezetteln für andere sichtbar zu notieren sind da keine Seltenheit, um dem Gedächtnis auf die Sprünge zu helfen. Passwortmanager helfen, hier den Überblick zu behalten und sicher mit Authentifizierung umzugehen: Sie generieren für die Anwender sichere Passwörter für jedes einzelne ihrer Konten und hinterlegen diese wie in einem Tresor in einem zentralen Repository.

LastPass, einer der weltweit bekanntesten und beliebtesten Passwortmanager, legt großen Wert auf die Sicherheit der Kundendaten:

„Wir haben viel in unsere eigenen Datenschutz Policies investiert, damit wir als Unternehmen selbst vertrauenswürdig, sicher und zuverlässig sind. Die Sicherheit unseres Passwortmanagers LastPass basiert auf dem Zero-Knowledge-Sicherheitskonzept. Das bedeutet, LastPass oder LogMeIn als SaaS-Anbieter und somit Host der Passwörter seiner Kunden hatte niemals Zugang zu den Passwörtern seiner Nutzer. Unsere Devise lautet: Wenn LastPass nicht auf die Kundendaten zugreifen kann, können Hacker das auch nicht. Die Verschlüsselung erfolgt ausschließlich auf Geräteebene, bevor die Daten zur sicheren Speicherung mit LastPass synchronisiert werden. Der LastPass-Tresor kann daher nur vom Benutzer selbst mit dem Master-Passwort entschlüsselt werden, das nie an LastPass gesendet wird. Vor kurzem hat LastPass zudem die C5 Standardisierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. LogMeIn ist derzeit einer der wenigen Anbieter eines Cloud-basierten Passwortmanagers, der diese Zertifizierung erhält. Nachdem wir von Anfang an in hohen Datenschutz investiert haben, ist die Zertifizierung nur ein Gütesiegel, um unsere Anstrengungen auch nach außen hin sichtbar zu machen“, erläutert Gerald Beuchelt, CISO von LogMeIn, Hersteller von LastPass.

Weiterführende Informationen:

LogMeIn und DSGVO:

Das in Kraft treten der DSGVO am 25. Mai 2018 war nur ein Ereignis in der Geschichte des Datenschutzes. Die Privatsphäre der Kunden und (End)Anwender stellte schon immer eine der obersten Prioritäten LogMeIns dar. Zusätzlich zu den soliden Nutzungsbedingungen und einer Datenschutzrichtlinie, die die geltenden gesetzlichen Bestimmungen und branchenüblichen Praktiken berücksichtigen soll, bietet LogMeIn einen umfassenden, globalen Datenverarbeitungszusatz (DPA) an, der die Anforderungen an DSGVO und darüber hinaus erfüllt. Das DPA enthält branchenübliche Datenschutz- und Regulierungsbedingungen, um umfassende Datenschutzanforderungen für unsere globalen Kunden zu erfüllen, einschließlich derjenigen, die von GDPR gefordert werden: (a) gemäß Artikel 28 (Einzelheiten der Datenverarbeitung, Unterauftragsveröffentlichungen usw.); (b) um eine rechtmäßige Übertragung gemäß Kapitel 5 des GDPR durch die Anwendung von EU-Standardvertragsklauseln und die Verwendung der LogMeIn-Zertifizierung EU-USA und Swiss Privacy Shield zu ermöglichen; und (c) die technischen und organisatorischen Maßnahmen von LogMeIn.

Die Privatsphäre der Kunden, Benutzer und Endbenutzer von LogMeIn hat oberste Priorität. Da der Schutz der Privatsphäre von Personen immer mehr an Bedeutung gewinnt, setzt sich LogMeIn weiterhin für eine dynamische Datenschutzposition ein, um die von Regierungs- und Aufsichtsbehörden auf der ganzen Welt verkündeten Schutzmaßnahmen einzuhalten und zu übertreffen.

Alles zur LastPass Sicherheit: https://www.lastpass.com/de/enterprise/security

Alles zu Passwortmanagement und DSGVO: https://www.datenschutzexperte.de/blog/datenschutz-im-internet/datenschutz-passwort-manager/

LastPass Blog: https://blog.lastpass.com/de/