In dem jährlich aktualisierten Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entfällt erstmalig in diesem Jahr der Hinweis zur regelmäßigen Änderung von Passwörtern sowie dessen gewünschter Komplexitätsstandard. Damit folgt die Behörde in ihrer Empfehlung endlich dem Beispiel anderer internationaler Institutionen, beispielsweise dem US-amerikanischen National Institute of Standards and Technology (NIST). Denn bei genauerem Hinsehen stellten sich viele Nutzer und vor allem Datenschützer seit langem die Frage, wer davon profitierte, vermeintlich sichere, da komplexe Passwörter vierteljährlich zu ändern – abgesehen von den Denksportfähigkeiten der Nutzer. Zurück geht der Drang zur vierteljährlichen Änderung auf eine Empfehlung des NIST aus dem Jahr 2003. Als Orientierung diente seinerzeit allerdings das Nutzerverhalten der 1980er, einer Zeit also, zu der nicht davon auszugehen war, dass eine Privatperson ohne weiteres 40 verschiedene Passwörter benötigen könnte.
Denn: Verschieden müssen Passwörter nach wie vor sein. Viel wichtiger als sämtliche Sonderzeichen bei der Erstellung von Passwörtern ist tatsächlich deren Verwendung für nur einen Account. Komplexität hingegen führt oftmals eher dazu, dass Nutzer ihre Passwörter vergessen, zumal die Erkennung etwaiger Ziffern als Ersatz für Buchstaben Hackern mittlerweile keine Schwierigkeiten mehr macht. Das BSI empfiehlt daher neuerdings sich auf die Länge des Passwortes zu konzentrieren und möglicherweise ganze Sätze zu verwenden, zugleich diese jedoch nicht zu offensichtlich, d.h. leicht erratbar, zu gestalten. Letzter Hinweis ist wichtig, da mithilfe von Target Guessing, d.h. unter Zuhilfenahme öffentlich verfügbarer Informationen über eine Person, Angreifer Erfolgsraten von bis zu 75 Prozent erfahren. Zu „guter“ Letzt, gilt es nach wie vor das Niederschreiben von Passwörtern zu unterlassen.
Viele Unternehmen erlassen seit geraumer Zeit Passwortrichtlinien. Dies ist zwar ein wichtiger Schritt, allerdings nur der Erste. Da sich gezeigt hat, dass eine statische Richtlinie oftmals nicht die gewünschten Sicherungseffekte mit sich bringt, wird die Richtlinie nun häufig direkt in das Benutzerverwaltungssystem integriert und ermöglicht dadurch eine individuelle und dem Sicherheitsniveau entsprechende Anpassung. Für Nutzer mit einer enormen Vielzahl an Passwörtern bieten sich außerdem Passwortverwaltungssysteme an. Hier lässt sich eine Passwortrichtlinie so umsetzen, dass ein Verstoß technisch unterbunden wird. Außerdem sind Passwortverwaltungssysteme inzwischen seitens der entsprechenden ISO-Normen und Richtlinien anerkannt und akzeptiert. Bei dem Masterpasswort für diese Programme ist allerdings höchste Vorsicht walten zu lassen, da ein Verlust oder eine Weitergabe an unbefugte Dritte die Unternehmensinteressen stark gefährden kann. Unternehmen sollten darüber hinaus abwägen, wo und in welchem Umfang eine Zwei-Faktor-Authentifizierung (2FA) sinnvoll erscheint. Insbesondere für Vorgänge mit erhöhtem Risiko wird die Einführung eines zweiten Authentifizierungsmechanismus empfohlen.
All der technologische Fortschritt von Firewall- und Anti-Viren-Programmen, all die hierfür getätigten Investitionen verpuffen, wenn ein Unternehmen nicht höchste Vorsicht bei den Passwörtern walten lässt. Eine Studie aus dem Jahr 2017 zeigte, dass 80 Prozent aller IT-Sicherheitsvorfälle, die zur Offenlegung von Account-Informationen führten, schwache und gestohlene Passwörter als Kernursache hatten. Zwar lässt sich hinsichtlich der Anwendung der hier vorgestellten Maßnahmen keine allgemeine Empfehlung für Unternehmen formulieren, sämtliche Optionen sollten aber gemeinsam mit der IT-Abteilung und den für Datenschutz und Informationssicherheit zuständigen Abteilungen geprüft werden. Regelmäßige Schulungen, Hinweise und auch gegebenenfalls Prüfungen der Passwortstärke sind wichtig für die Sicherheit eines Unternehmens.
Links:
IT-Grundschutzkompendium des BSI
Digital Identity Guidelines des NIST
Passwort-Empfehlungen des National Cyber Security Centre (NCSC)