Müssen Passwörter regelmäßig geändert werden, um sicher zu sein?

Immer wieder veröffentlichen Hacker Listen mit Unmengen von Onlinezugangsdaten verschiedenster Natur. Ein Hauptproblem sind dabei schwache Passwörter. Unternehmen sollten also ein verstärktes Augenmerk auf sichere Passwörter legen. Eine der häufigsten Empfehlungen ist das regelmäßige (erzwungene) Ändern von Passwörtern. Doch es gibt auch Alternativen zu dieser lästigen Pflicht.

Update Februar 2020

Mittlerweile ist auch das BSI vom starr erzwungenen Kennwortwechsel abgerückt. ORP.4.A23 des IT-Grundschutz-Kompendiums sieht vor, Passwortwechsel nur noch mit validem Grund zu erzwingen und möglichst keine rein zeitgesteuerten Wechsel vorzusehen. Insgesamt stellt das BSI aber auch auf die in diesem Artikel beschriebenen Anforderungen ab. Es ist also nicht möglich, diese Aussage isoliert als Richtlinie für die eigene Umsetzung heranzuziehen. Vielmehr müssen sämtliche Vorgaben an sichere Passwörter beachtet werden.

Es gilt auch weiterhin, die eigenen Prozesse den bestehenden Risiken angemessen auszugestalten. Will man den Gefahren begegnen, die durch Passwortnotizen, die Eingabe des Passwortes in unsicheren Umgebungen, die gut gemeinte kurzfristige Weitergabe des Passworts oder die trotz Verbots eben doch erfolgende Verwendung des Passwortes auch im privaten Bereich entstehen, bleibt oft nur, dass Passwort zu ändern oder aber strikt auf eine mehr-Faktor-Authentifizierung umzustellen.

Aktuelle Empfehlungen einer Aufsichtsbehörde

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat kürzlich „Hinweise zum sicheren Umgang mit Passwörtern“ herausgegeben. Eine bemerkenswerte Aussage darin ist, dass Passwörter nicht mehr regelmäßig geändert werden sollen, sondern nur noch bei Kompromittierung. Was ist davon zu halten?

Immer wieder hört man Ansätze, lieber dauerhaft wirklich sichere Passworte zu verwenden, anstatt Benutzer mit dem erzwungenen Wechsel von Passworten zu gängeln. Dieser Ansatz hat sicher einen richtigen Kern. Aus praktischen Gründen ist er aber regelmäßig kaum umzusetzen, ohne die Sicherheit im Unternehmen zu gefährden!

Das Problem in der Praxis ist, dass ein Absehen von Passwortwechseln voraussetzt, dass alle anderen Vorgaben an die Sicherheit von Passwörtern erfüllt sind. Nur unter dieser Voraussetzung wäre der Ansatz diskutabel.

Empfehlungen der Aufsichtsbehörde für Passwortsicherheit (die ein regelmäßiges Wechseln von Passwörtern erübrigen würden)

Hierbei handelt es sich zweifellos um die primäre Voraussetzung, um über dauerhaft eingesetzte Passwörter nachzudenken. Neben der Komplexität ist hierbei vor allem auch die Länge entscheidend. Die Hinweise der baden-württembergischen Aufsichtsbehörde sehen zwölf und mehr Stellen vor. Bereits dies wird in der Praxis auf wenig bis gar keine Gegenliebe stoßen und im Zweifel nicht umgesetzt.

Zudem werden  Tipps gegeben, mit denen Mitarbeiter sich ein solch sicheres Passwort wählen und auch merken können sollen. Das Problem ist, findige Mitarbeiter werden immer Wege entdecken, zwar alle technischen Vorgaben zu erfüllen, im Ergebnis aber ein nicht sicheres Passwort oder einen nicht sicheren Satz zu verwenden. Das Unternehmen kennt aber das gewählte geheime Passwort nicht und kann dementsprechend nicht reagieren. Sollte es sich um ein tatsächlich sicheres Passwort handeln, wird dieses im Zweifel dann doch „sicherheitshalber“ irgendwo notiert.

Die Vorgabe ist sinnvoll, aber vom Unternehmen nicht wirksam zu kontrollieren. Die einzige Methode, um zu verhindern, dass das im Unternehmen eingesetzte Passwort nicht das gleiche ist, wie das möglicherweise jahrelang auch im privaten Bereich großflächig eingesetzte (das per Post-it am privaten Monitor klebt), ist die erzwungene Änderung.

Auch dieser Hinweis ist grundsätzlich sinnvoll. Aber er stellt Unternehmen vor weitere Schwierigkeiten. Welche Lösung soll eingesetzt werden? Ist diese sicher? Wer ist der Anbieter? Wo sitzt der Anbieter? Wer administriert die Lösung? Wer bezahlt sie? Wer sorgt für die Datensicherung?

Der Tipp ist richtig – er kann aber durch das Unternehmen kaum sichergestellt werden. Das Unternehmen kann zwar technisch Vorgaben machen, diese lassen sich aber sehr leicht durch minimale Veränderungen des Wortes oder Zusätze dazu erfüllen bzw. umgehen.

Auch das ist grundsätzlich richtig, lässt sich aber weder unterbinden noch wirksam kontrollieren.

Ein völlig richtiger Hinweis. Spätestens jetzt ist das Passwort zu ändern. Auch hier aber besteht das Problem wie beim zweiten Punkt: Das Unternehmen bekommt von einer Kompromittierung im privaten Umfeld des Mitarbeiters möglicherweise gar nichts mit. Im Zweifel merkt es der Mitarbeiter selbst nicht.

Richtig – aber mit allen Problemen verbunden, die entstehen, wenn mobile Geräte nicht wirksam der technischen Verwaltung des Unternehmens unterworfen sind.

Der Hinweis ist uneingeschränkt richtig. Die Umsetzung sollte aber ohnehin dem zuständigen IT-Personal und nicht dem „normalen“ Mitarbeiter obliegen.

Korrekt. Hat aber mit der eigentlichen Thematik nichts zu tun.

Diese wäre – bei korrekter und lückenloser Implementierung (!) — tatsächlich ein wirklich belastbares Argument, Passworte nicht mehr regelmäßig zu ändern.

Fazit: Wechsel von Passwörtern ist in der Praxis kaum zu ersetzen

Der Gedanke, Passwortwechsel nicht mehr zu erzwingen, ist nachvollziehbar und wäre wohl diskutabel, wenn tatsächlich alle genannten Anforderungen erfüllt sind. Viele der Anforderungen wird das Unternehmen aber faktisch nicht kontrollieren können – oder erst gar nicht umsetzen. Es steht zu befürchten, dass IT-Verantwortliche und Benutzer sich nun selektiv merken, dass hier eine Aufsichtsbehörde aussagt, Passwörter müssten nicht mehr geändert werden und die übrigen Voraussetzungen „übersehen“.

In dieser Hinsicht gilt zudem: Vertrauen in den Umgang mit sicheren Passwörtern durch Mitarbeiter ist gut; technische Kontrolle ist besser. Solange Verantwortliche nicht mit guter Begründung sicher sein können, dass sich alle Mitarbeiter tatsächlich an alle Vorgaben halten, sollten doch-nicht-so-sichere Passworte regelmäßig getauscht werden.

Zur Erinnerung: Es besteht Rechenschaftspflicht! Wer behauptet, dass alle Voraussetzungen für den Verzicht auf Passwortwechsel vorliegen, muss dies auch messen und belegen!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.