Regelmäßiger Passwortwechsel nötig oder unnötig? – Aktuelle Entwicklungen

Momentan liest man aufgrund der gehäuften Vorkommen von großen Datenleaks (z. Bsp. https://www.focus.de/digital/internet/gigantischer-leak-im-internet-gigantischer-leak-im-internet-773-millionen-passwoerter-veroeffentlicht_id_10197540.html)  fast auf sämtlichen Newsplattformen oder Medien, die sich auch nur entfernt mit IT-Sicherheit beschäftigten, Tipps für den richtigen Umgang mit Passwörtern, um die Datensicherheit zu erhöhen.

Dabei werden Tipps zur richtigen Passwortlänge und Zeichenkombination gegeben, es wird die Zwei-Faktor-Authentifizierung erklärt und empfohlen und auch Passwortmanager werden beworben.

All diese Tipps lassen sich in den kürzlich veröffentlichten Hinweisen zum Umgang mit Passwörtern von der baden-württembergischen Datenschutzaufsichtsbehörde nachlesen, welche diese Hinweise wahrscheinlich im Hinblick auf die letzten großen Datendiebstähle herausgegeben hat:

https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/

Es ist sehr zu empfehlen diese Tipps zu beachten und danach die Bedingungen für eine Passwortrichtlinie zu definieren.

Worum es jedoch eigentlich gehen soll, ist ein Detail, dass in der Veröffentlichung unter Punkt 6 genannt ist:

„Die Empfehlung, in regelmäßigen Abständen die Passwörter zu ändern, gilt heutzutage als überholt.“

Diese Empfehlung findet sich noch immer im IT-Grundschutzkatalog des BSI und ebenfalls in so gut wie jedem Muster für Passwortrichtlinien. Ursprünglich geht das 90-tage-Intervall zum Passwortwechsel auf den Amerikaner Bill Burr zurück, der 2003 für das National Institute of Standards and Technology Vorgaben für Passwörter entwickelt hat. Bis heute bauen viele Passwortrichtlinien auf seine Vorgaben auf. Bill Burr bereut heute jedoch genau diese Empfehlung zum regelmäßigen Passwortwechsel und gibt zu, dass er damit falsch lag (https://www.sueddeutsche.de/digital/it-sicherheit-der-mann-der-schuld-ist-am-passwort-wahnsinn-bereut-sein-werk-1.3623586).

Was ist so problematisch am regelmäßigen Passwortwechsel?

Das Problem liegt im Grunde genommen daran, dass Menschen, die diese Vorgabe zu erfüllen haben, unglaublich genervt davon sind und deshalb häufig unsichere Passwörter wählen, die sie sich leichter für die kurze Zeitspanne von 90 Tagen merken können. Andererseits führt diese Vorgabe auch dazu, dass man Passwörter in Büros noch immer auf „Post-Its“ an Bildschirmen kleben sieht. Zusammengefasst bedeutet dies, dass damit die Datensicherheit eher gefährdet statt gefördert wird. Ganz davon abgesehen, dass nicht erwiesen ist, dass ein regelmäßiger Passwortwechsel sicherer als ein dauerhaft genutztes, sehr sicheres Passwort ist.

Welche Empfehlung ist nun zu beachten?

Das LDI Baden-Württemberg hat sich mit seinen Hinweisen als erste deutsche Aufsichtsbehörde gegen die Vorgaben des BSI ausgesprochen. Grundsätzlich gilt zwar, dass sich bezüglich der IT-Sicherheit am IT-Grundschutz-Katalog zu orientieren ist (auch bzgl. der technischen und organisatorischen Maßnahmen im Datenschutz), jedoch bieten die Hinweise des LDI Baden-Württemberg eine gute Argumentationsgrundlage, um den regelmäßigen Passwortwechsel abzuschaffen und auf dauerhaft genutzte sichere Passwörter zu setzen.

Letztendlich wird sich auch in dieser Diskussion wieder mit der Zeit zeigen, ob das BSI mit seinen Vorgaben nachzieht, ob es ein größerer Begründungsaufwand bleiben wird, keine Passwortintervalle zu bestimmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in