Lang lebe das Passwort – oder nicht?!

Wir loggen uns ein und bekommen diese Meldung: „Dein Passwort ist abgelaufen… Erstelle bitte ein neues, welches keine Teilbereiche des davor benutzten Passwortes enthält, sowieso sicher, mind. 8 Zeichen, Buchstaben, Sonderzeichen und Groß- und Kleinschreibung beinhaltet.“ Aber muss dies auf Zwang geschehen? Sind die Änderungen der Passwörter nicht Entscheidung der User?

Seit Februar 2020 ist nun Schluss mit den gezwungenen Passwortwechseln. Das hat das Bundesamt für Sicherheit in der Informationstechnik in dem aktuellen IT-Grundschutz-Kompendium entschieden. Was dies für Sie bedeutet, wann eine Passwortänderung immer noch erzwungen werden kann und welche Schritte Sie nun beachten müssen, haben wir Ihnen in diesem Artikel zusammengetragen.

 

Die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Bevor die neuen Vorgaben erschienen sind, galt es als die sicherste Variante, automatische, nach zeitlichen Vorgaben, Passwortänderungen anzustreben und auch in den TOMS (technische und organisatorische Maßnahmen zur Datensicherheit nach Art. 32 DSGVO), Vertragsmustern (z. B. Wartungsverträge für IT-Systeme) und Auftragsverarbeitungsverträgen zu integrieren.

Das BSI hat nun in dem Passus ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B) folgende Vorgabe getätigt: „IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“

Dies ist ein großer Unterschied zu den vorherigen Empfehlungen. Weiterführend heißt es in ORP.4.A8 Regelung des Passwortgebrauches [Benutzer, IT-Betrieb]: „Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.“

 

Gründe für die automatischen Passwortwechsel-Aufforderung

Eine automatische Aufforderung, die zeitgesteuert den Passwortwechselzwang auslöst, zu erstellen, ist nur noch mit validen Gründen möglich.

Hierzu gehört, neben dem bereits angesprochenen Sicherheitsrisiko, bei dem ein Verdacht besteht, dass eine nicht autorisierte Person Gebrauch des Passwortes gemacht hat, auch der Wechsel des Erstpasswortes. Sollte ein User ein Initialpasswort für den ersten Login erhalten haben, ist die Änderung des Passwortes weiterhin ein Muss.

Alle weiteren Gründe für einen erzwungenen Passwortwechsel sollten vermieden werden.

Was bedeutet das konkret in der Umsetzung?

Für Besitzer von Portalen, Webseiten etc. mit LogIn und passwortgeschützen Bereichen ist diese Änderungen wichtig, denn die automatische Passwortänderungsaufforderung sollte nun ausgestellt werden. Anwälte sprechen sogar davon, dass sonst ein Haftungsrisiko entstehen kann, wenn die Vorgaben nicht intern geprüft und angepasst werden.

Sollte diese Änderung durchgeführt werden, ist natürlich auch eine Anpassung in den TOMs (technische und organisatorische Maßnahmen zur Datensicherheit), ertragsmustern und Auftragsverarbeitungsverträgen notwendig, falls dort zu einer Passwortänderung aus Sicherheitsgründen geraten wird.

Ein gutes Passwort kann bedenkenlos über Jahre hinweg verwendet werden. Experten sind sich sicher, dass ein regelmäßiges Ändern der Passwörter eher zu der Verwendung von schwächeren Varianten geführt hat.

IT-Grundschutz-Kompendium des BSI 

Blogbeitrag von Datenschutz-Guru: Passwortwechsel Zwang

Welche Anpassungen sind bei Ihrem Unternehmen notwendig? In welchen Dokumenten müssen Sie Änderungen einpflegen? Lassen Sie uns gemeinsam darauf schauen und die neuen Vorgaben umsetzen. Schreiben Sie uns einfach eine E-Mail:  info@litc.de