Geschrieben am 19.12.2019 von:
TOM ist in seiner Mission für den Datenschutz und die IT-Sicherheit vielen Zwängen unterworfen. Er muss sich jeden Tag an Vorgaben halten, deren Sinn er manchmal anzweifelt. Zum Glück ist das Leben aber dynamisch und selbst festgefahrene Gewohnheiten können sich schnell ändern.
„Sie müssen Ihr Passwort in spätestens 5 Tagen ändern“
Wer kennt es nicht? Man meldet sich bei der Arbeit morgens wie immer am Computer an und auf dem Bildschirm steht „Sie müssen Ihr Passwort ändern“. Ihr Arbeitgeber will Sie damit nicht ärgern oder von der Arbeit abhalten, sondern ein gewisses Sicherheitsniveau schaffen. Es sollen schließlich nur Mitarbeiter auf das System gelangen und keine Fremden. Der regelmäßige Passwortwechsel soll dabei helfen. Aber ist diese erzwungene Änderung des Passworts noch zeitgemäß?
Wenn man das eigene Passwort ändert, muss man sich zwangsläufig eine neue Zahlen- und Wortkombination merken. Das kann schwierig sein, vor allem wenn das Passwort eine bestimmte Länge haben und Sonderzeichen haben muss. Das führt bei den meisten Mitarbeitern zu Klebezetteln mit notierten Passwörtern am Monitor oder unter der Tastatur.
Diese Vorgehensweise stellt ein echtes Sicherheitsrisiko dar, weil sich im Prinzip jeder anmelden kann – andere Mitarbeiter, Handwerker, Reinigungskräfte oder Unbefugte. Diejenigen, die ihr Passwort nicht aufschreiben und griffbereit halten, wählen eine andere Methode. Sie hängen eine Zahl oder einen Buchstaben an und zählen das Passwort immer weiter hoch. Sicher ist anders.
Empfehlungen in Wandel
Seit einigen Jahren ist Bewegung in den ständigen Passwortwechsel gekommen. Ursprünglich stammte die Empfehlung zum regelmäßigen Wechsel aus den USA. Dort hatte sie die NIST in einer Zeit aufgestellt, als die wenigsten Menschen überhaupt Zugang zu einem Computer hatten.
Mittlerweile gibt es aber Millionen von Menschen mit unzähligen Zugängen zu Computern, Portalen und Softwareanwendungen. Menschen neigen zur Erstellung von Passwörtern, die von Maschinen leicht erraten werden können – auch wenn sie komplex aussehen. Das hat eine Auswertung von wirklich verwendeten und durch Leaks öffentlich sichtbar gewordenen Passwörtern gezeigt.
Ein erzwungener Wechsel hilft da nicht, denn das neue Passwort wird nicht sicherer werden. Die NIST selbst hat ihre Empfehlung daher überarbeitet und rät mittlerweile vom Zwangswechsel ab. Auch Microsoft ist von der früheren Vorgabe in den eigenen „Best Practices“ abgekommen.
Nach langer Zeit hat nun auch das Bundesamt für Sicherheit in der Informationstechnik die nächste Version des IT-Grundschutz-Kompendiums, den Baustein zum Passwort-Wechsel („ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B“), entsprechend angepasst. Der Zwangswechsel ist nun zumindest etwas aufgeweicht, wobei Sie die Möglichkeit des erzwungenen Wechsels nicht ganz ad Acta legen sollten. Je nach Anwendungsbereich und Wichtigkeit des Zugangs kann ein periodischer Wechsel durchaus sinnvoll sein.