de en
Nexia Ebner Stolz

Wirtschaftsprüfung

2020 - Das „Independence Year“ der Passworteinstellungen

Passwörter sind essentiell wichtig, um Daten zu schützen. Werden Nutzer häufig aufgefordert, ihre Passwörter zu ändern, kann dies allerdings sogar nachteilig wirken, wenn z. B. nur minimale Änderungen vorgenommen werden. Der Geschäftsbereich IT-Revision (GBIT) von Ebner Stolz gibt dazu einige Empfehlungen.

Ent­ge­gen der all­ge­mei­nen Auf­fas­sung, Kenn­wör­ter mög­lichst oft ändern zu müs­sen, sind sich Exper­ten mitt­ler­weile einig, dass dies kon­tra­pro­duk­tiv ist. Anstatt die Sicher­heit zu erhöhen, ändern Nut­zer ihre beste­hen­den Pass­wör­ter ent­we­der kaum, z. B. nur einen Buch­sta­ben oder zäh­len eine Num­mer wei­ter hoch. Ist dies durch sys­tem­sei­tige oder for­male Vor­ga­ben nicht mög­lich und muss das neue Kenn­wort sich deut­lich vom letz­ten unter­schei­den, führt dies bei Mit­ar­bei­tern regel­mä­ßig dazu, dass diese sich die Kenn­wör­ter auf­sch­rei­ben und diese dadurch leich­ter ein­seh­bar sind. Um die­sem Pro­b­lem ent­ge­gen­zu­wir­ken wäh­len wir als Geschäfts­be­reich IT-Revi­sion (GBIT) auch vor dem Hin­ter­grund ste­ti­ger wach­sen­der Anfor­de­run­gen einen ande­ren Ansatz.

In der Anfang 2020 ver­öf­f­ent­lich­ten aktu­el­len Aus­gabe des BSI-Grund­schutz-Kom­pen­di­ums wurde der, für viele bereits seit Jah­ren als über­holt ange­se­hene Pas­sus der regel­mä­ß­i­gen Ände­rung von Pass­wör­t­ern, ges­tri­chen. Auch bei den Auf­sichts­be­hör­den wird kein regel­mä­ß­i­ger Pass­wort­wech­sel mehr emp­foh­len - siehe bspw. beim Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­si­cher­heit von­Ba­den-Würt­tem­berg.

Pass­wortein­stel­lun­gen sind eine Risi­ko­be­trach­tung

Die Mei­nung über vor­zu­neh­mende Ein­stel­lun­gen in der Pass­wort­po­licy dif­fe­ren­zie­ren der­zeit noch sehr von­ein­an­der - dabei ist das Ziel für alle iden­tisch: Ein mög­lichst opti­ma­ler Schutz der Daten. Die Sicher­heit­s­an­for­de­run­gen an Pass­wör­ter stam­men dabei aus den unter­schied­lichs­ten Berei­chen eines Unter­neh­mens. Aspekte wie Daten­schutz, IT Ein­satz, Bedeu­tung der jewei­li­gen Infor­ma­tion, Geschäfts­ge­heim­nisse, die Vor­ga­ben der Geschäfts­füh­rung, der inter­nen sowie exter­nen Sta­ke­hol­der spie­len eine wich­tige Rolle. Grund­sätz­lich ist die Ein­stel­lung zur Pass­wort­po­licy eng mit der Risi­ko­o­ri­en­tie­rung ver­bun­den und im Rah­men des­sen vom Risiko der zu schüt­zen­den Daten in den jewei­li­gen Ver­ar­bei­tung­s­pro­zes­sen abhän­gig und selb­stän­dig ein­zu­schät­zen. Je nach Bran­che, Größe oder Rechts­form wird das Risiko auch durch externe Vor­ga­ben und recht­li­che Nor­men reg­le­men­tiert. Ban­ken und Ver­si­che­run­gen bspw. sind an beson­ders strenge Aufla­gen gebun­den. Aber auch Gesetze wie das IT Sicher­heits­ge­setz oder das Geschäfts­ge­heim­nis­ge­setz stel­len For­de­rung an die Absi­che­rung der Sys­teme.

Aus­ge­hend von der Risi­ko­be­trach­tung und unter Berück­sich­ti­gung der jüngs­ten Ent­wick­lun­gen, emp­feh­len wir fol­gende Ein­stu­fun­gen vor­zu­neh­men:

  • Min­de­st­an­for­de­run­gen = gerin­ges Risiko, d. h keine unter­neh­mens­kri­ti­schen Daten sowie keine sen­si­b­len per­so­nen­be­zo­ge­nen Daten
  • Nor­mal­an­for­de­run­gen = mitt­le­res Risiko, d. h. “nor­ma­le“ Unter­neh­mens­da­ten (Ver­lust würde keine wesent­li­che Schä­d­i­gung des Unter­neh­mens mit sich füh­ren) sowie keine per­so­nen­be­zo­ge­nen Daten
  • Erhöhte Anfor­de­run­gen = erhöh­tes Risiko, d. h. Ver­lust der Daten wäre kri­tisch für das Unter­neh­men sowie beson­ders schüt­zens­werte per­so­nen­be­zo­gene Daten.
  • Hohe Anfor­de­run­gen = hohes Risiko, z. B. wesent­li­che Geschäfts­ge­heim­nisse, beson­ders schüt­zens­werte per­so­nen­be­zo­gene Daten sowie hohe externe / bran­chen- bzw. berufs­stän­di­sche Com­p­li­ance-Anfor­de­run­gen

Emp­feh­lun­gen des GBIT

Nach der Ein­schät­zung des GBIT sollte - soweit es die Anwen­dun­gen zulas­sen - auf eine Mehr­fak­tor­au­then­ti­fi­zie­rung (MFA) umge­s­tellt wer­den, bei denen die Zugriffs- und Zugangs­be­rech­ti­gung mit­tels meh­re­rer unab­hän­gi­ger Fak­to­ren über­prüft wird. Wich­tig ist die Über­tra­gung in Form einer Kom­bi­na­tion unter­schied­li­cher und unab­hän­gi­ger Kom­po­nen­ten. Eine Form der MFA stellt die Zwei-Fak­tor-Authen­ti­fi­zie­rung dar, bei dem ein zwei­tes Gerät zur Authen­ti­fi­zie­rung benö­t­igt wird - bspw. das Smart­phone (SMS, Anruf), wie es beim Online-Ban­king (vgl. PSD 2) bereits üblich ist.

Auch wir sind der Mei­nung, dass die bekann­ten Kri­te­rien - dies bedeu­tet u.a. Wech­sel alle 90 Tage und 8 Zei­chen sowie der Weg zu kei­nem Pass­wort­wech­sel - nicht zeit­ge­mäß sind.

Daher haben wir aus unse­rer Pra­xis­sicht Min­de­st­an­for­de­run­gen defi­niert, wel­che nach unse­rer Ein­schät­zung grund­le­gend ein­zu­s­tel­len sind. Dies bedeu­tet:

  • Pass­wort­wech­sel: Ände­rung alle 180 Tage, sofern kom­plexe Pass­wör­ter ver­wen­det wer­den (bei Ver­wen­dung eines MFA kann der Pass­wort­wech­sel auch auf 360 Tage erhöht wer­den, voll­stän­dig wür­den wir nicht auf einen Pass­wort­wech­sel ver­zich­ten).
  • Pass­wort­kom­ple­xi­täts­kri­te­rien: 
    • Min­dest­länge: 10 Zei­chen beste­hend aus
      • mind. 1 Zahl
      • mind. 1 Son­der­zei­chen
      • mind. 1 Großbuch­stabe
      • mind. 1 Klein­buch­stabe
    • Keine Wie­der­ver­wend­bar­keit der letz­ten 10 Pass­wör­ter
    • Früh­es­tens nach einer Woche kann das Kenn­wort erneut geän­dert wer­den
    • Falls ein Nut­zer fünf­mal in Folge ein fal­sches Pass­wort ein­gibt, muss das Sys­tem das betref­fende Benut­zer­konto sper­ren
    • Kein auto­ma­ti­sches Ent­sper­ren des Acco­unts

Admi­ni­s­t­ra­to­ren-Acco­unts sowie Acco­unts mit einem Bezug zu kri­ti­schen Daten soll­ten auf min­des­tens 12 bis 14 Zei­chen sowie eine MFA ein­ge­s­tellt wer­den. Ein Groß­teil der Unter­neh­men nutzt bspw. Win­dows von Micro­soft. Die­ses unter­stützt bereits seit Ers­taus­lie­fe­rung als Sicher­heits­funk­tion eine Zwei-Fak­tor-Authen­ti­fi­zie­rung.

Sofern Sys­teme / Anwen­dun­gen die Kom­ple­xi­täts­kri­te­rien nicht vor­aus­set­zen, muss sei­tens des Unter­neh­mens mit einem ande­ren Risi­ko­maß her­an­ge­gan­gen wer­den.

Kom­pro­mit­tier­tes Pass­wort

Sei­tens der Unter­neh­men müs­sen heut­zu­tage auch Maß­nah­men ergrif­fen wer­den, um die Kom­pro­mit­tie­rung von Pass­wör­t­ern zu erken­nen. Dazu gehört bspw. die Defini­tion, wie häu­fig das Pass­wort inn­er­halb eines defi­nier­ten Zei­trau­mes falsch ein­ge­ge­ben wer­den darf, bevor sys­tem­sei­tig eine Reak­tion erfolgt.

Ist dies nicht mög­lich, so sollte zumin­dest geprüft wer­den, ob die Nach­teile eines zeit­ge­steu­er­ten Pass­wort­wech­sels in Kauf genom­men wer­den kön­nen und Pass­wör­ter in gewis­sen Abstän­den gewech­selt wer­den.

Eine Maß­nahme zur Erken­nung von kom­pro­mit­tier­ten Acco­unts ist bspw. die auto­ma­ti­sierte sys­tem­sei­tige Über­wa­chung auf unge­wöhn­li­che Zugriffe. Dies sind Mög­lich­kei­ten, wel­che durch Anwen­dun­gen teil­weise bereits im Stan­dard mit­ge­bracht wer­den und nur noch zu akti­vie­ren bzw. ein­zu­s­tel­len sind.

Ergän­zende Hin­weise

Als Ergän­zung zu o. g. Emp­feh­lun­gen zu den Pass­wortein­stel­lun­gen gel­ten ins­be­son­dere fol­gende all­ge­meine Hin­weise:

  • Das Pass­wort darf nicht in einem Wör­ter­buch ent­hal­ten sein, ein Wort im Dia­lekt oder in der Umgangs­spra­che irgend­ei­ner Spra­che oder irgend­ein sol­ches Wort rück­wärts geschrie­ben sein.
  • Pass­wör­ter dür­fen keine per­sön­li­chen Daten ent­hal­ten (z. B. Geburts­da­tum, Adresse, Name von Fami­li­en­mit­g­lie­dern, etc.).
  • Falls ein Nut­zer ein neues Pass­wort für einen hoch­sen­si­b­len Bereich anfor­dert, muss der Nut­zer seine Iden­ti­tät bestä­ti­gen (bei­spiels­weise durch per­sön­li­ches Erschei­nen bei der Pass­wort­über­gabe oder ggf. Authen­ti­fi­zie­rung durch ein Code­wort, das nur der IT bekannt ist).
  • Werks­sei­tige Stan­dard-Pass­wör­ter von Soft­ware- oder Hard­ware-Her­s­tel­lern sowie Ini­tial­pass­wör­ter von Benut­zern müs­sen bei der erst­ma­li­gen Ein­rich­tung bzw. Nut­zung geän­dert wer­den.
  • Pass­wör­ter dür­fen gegen­über ande­ren Per­so­nen nicht offen­ge­legt wer­den; dies gilt auch für Geschäfts­füh­rung oder Sys­te­mad­mi­ni­s­t­ra­to­ren.
  • Pass­wör­ter dür­fen nicht auf­ge­schrie­ben wer­den.
  • Vom Anwen­der ers­tellte Pass­wör­ter dür­fen auf kei­nem Weg ver­b­rei­tet wer­den (münd­lich, schrift­lich oder in elek­tro­ni­scher Form, etc.).
  • Pass­wör­ter müs­sen geän­dert wer­den, falls es Anzei­chen dafür gibt, dass die Pass­wör­ter oder das Sys­tem kom­pro­mit­tiert sein könn­ten – in die­sem Fall muss ein Sicher­heits­vor­fall gemel­det wer­den.
  • Pass­wör­ter dür­fen nicht in einem Sys­tem zur auto­ma­ti­schen Anmel­dung gespei­chert wer­den (z.B. Makro oder Brow­ser).
  • Pass­wör­ter, die für pri­vate Zwe­cke genutzt wer­den, dür­fen nicht für Geschäfts­zwe­cke benutzt wer­den.
  • Falls ein Pass­wort-Safe zur Ver­wal­tung meh­re­rer Pass­wör­ter genutzt wird, ist die­ses über eine MFA abzu­si­chern, die eben­falls einem regel­mä­ß­i­gen Wech­sel unter­liegt.
nach oben