de en
Nexia Ebner Stolz

Wirtschaftsprüfung

2020 - Das „Independence Year“ der Passworteinstellungen

Passwörter sind es­sen­ti­ell wich­tig, um Da­ten zu schützen. Wer­den Nut­zer häufig auf­ge­for­dert, ihre Passwörter zu ändern, kann dies al­ler­dings so­gar nach­tei­lig wir­ken, wenn z. B. nur mi­ni­male Ände­run­gen vor­ge­nom­men wer­den. Der Ge­schäfts­be­reich IT-Re­vi­sion (GBIT) von Eb­ner Stolz gibt dazu ei­nige Emp­feh­lun­gen.

Ent­ge­gen der all­ge­mei­nen Auf­fas­sung, Kennwörter möglichst oft ändern zu müssen, sind sich Ex­per­ten mitt­ler­weile ei­nig, dass dies kon­tra­pro­duk­tiv ist. An­statt die Si­cher­heit zu erhöhen, ändern Nut­zer ihre be­ste­hen­den Passwörter ent­we­der kaum, z. B. nur einen Buch­sta­ben oder zählen eine Num­mer wei­ter hoch. Ist dies durch sys­tem­sei­tige oder for­male Vor­ga­ben nicht möglich und muss das neue Kenn­wort sich deut­lich vom letz­ten un­ter­schei­den, führt dies bei Mit­ar­bei­tern re­gelmäßig dazu, dass diese sich die Kennwörter auf­schrei­ben und diese da­durch leich­ter ein­seh­bar sind. Um die­sem Pro­blem ent­ge­gen­zu­wir­ken wählen wir als Ge­schäfts­be­reich IT-Re­vi­sion (GBIT) auch vor dem Hin­ter­grund ste­ti­ger wach­sen­der An­for­de­run­gen einen an­de­ren An­satz.

In der An­fang 2020 veröff­ent­lich­ten ak­tu­el­len Aus­gabe des BSI-Grund­schutz-Kom­pen­di­ums wurde der, für viele be­reits seit Jah­ren als über­holt an­ge­se­hene Pas­sus der re­gelmäßigen Ände­rung von Passwörtern, ge­stri­chen. Auch bei den Auf­sichts­behörden wird kein re­gelmäßiger Pass­wort­wech­sel mehr emp­foh­len - siehe bspw. beim Lan­des­be­auf­trag­ten für Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit von­Ba­den-Würt­tem­berg.

Passworteinstellungen sind eine Risikobetrachtung

Die Mei­nung über vor­zu­neh­mende Ein­stel­lun­gen in der Pass­wort­po­licy dif­fe­ren­zie­ren der­zeit noch sehr von­ein­an­der - da­bei ist das Ziel für alle iden­ti­sch: Ein möglichst op­ti­ma­ler Schutz der Da­ten. Die Si­cher­heits­an­for­de­run­gen an Passwörter stam­men da­bei aus den un­ter­schied­lichs­ten Be­rei­chen ei­nes Un­ter­neh­mens. As­pekte wie Da­ten­schutz, IT Ein­satz, Be­deu­tung der je­wei­li­gen In­for­ma­tion, Ge­schäfts­ge­heim­nisse, die Vor­ga­ben der Ge­schäftsführung, der in­ter­nen so­wie ex­ter­nen Sta­ke­hol­der spie­len eine wich­tige Rolle. Grundsätz­lich ist die Ein­stel­lung zur Pass­wort­po­licy eng mit der Ri­si­ko­ori­en­tie­rung ver­bun­den und im Rah­men des­sen vom Ri­siko der zu schützen­den Da­ten in den je­wei­li­gen Ver­ar­bei­tungs­pro­zes­sen abhängig und selbständig ein­zu­schätzen. Je nach Bran­che, Größe oder Rechts­form wird das Ri­siko auch durch ex­terne Vor­ga­ben und recht­li­che Nor­men re­gle­men­tiert. Ban­ken und Ver­si­che­run­gen bspw. sind an be­son­ders strenge Auf­la­gen ge­bun­den. Aber auch Ge­setze wie das IT Si­cher­heits­ge­setz oder das Ge­schäfts­ge­heim­nis­ge­setz stel­len For­de­rung an die Ab­si­che­rung der Sys­teme.

Aus­ge­hend von der Ri­si­ko­be­trach­tung und un­ter Berück­sich­ti­gung der jüngs­ten Ent­wick­lun­gen, emp­feh­len wir fol­gende Ein­stu­fun­gen vor­zu­neh­men:

  • Min­dest­an­for­de­run­gen = ge­rin­ges Ri­siko, d. h keine un­ter­neh­mens­kri­ti­schen Da­ten so­wie keine sen­si­blen per­so­nen­be­zo­ge­nen Da­ten
  • Nor­mal­an­for­de­run­gen = mitt­le­res Ri­siko, d. h. “nor­male“ Un­ter­neh­mens­da­ten (Ver­lust würde keine we­sent­li­che Schädi­gung des Un­ter­neh­mens mit sich führen) so­wie keine per­so­nen­be­zo­ge­nen Da­ten
  • Erhöhte An­for­de­run­gen = erhöhtes Ri­siko, d. h. Ver­lust der Da­ten wäre kri­ti­sch für das Un­ter­neh­men so­wie be­son­ders schützens­werte per­so­nen­be­zo­gene Da­ten.
  • Hohe An­for­de­run­gen = ho­hes Ri­siko, z. B. we­sent­li­che Ge­schäfts­ge­heim­nisse, be­son­ders schützens­werte per­so­nen­be­zo­gene Da­ten so­wie hohe ex­terne / bran­chen- bzw. be­rufsständi­sche Com­pli­ance-An­for­de­run­gen

Empfehlungen des GBIT

Nach der Ein­schätzung des GBIT sollte - so­weit es die An­wen­dun­gen zu­las­sen - auf eine Mehr­fak­tor­authen­ti­fi­zie­rung (MFA) um­ge­stellt wer­den, bei de­nen die Zu­griffs- und Zu­gangs­be­rech­ti­gung mit­tels meh­re­rer un­abhängi­ger Fak­to­ren überprüft wird. Wich­tig ist die Über­tra­gung in Form ei­ner Kom­bi­na­tion un­ter­schied­li­cher und un­abhängi­ger Kom­po­nen­ten. Eine Form der MFA stellt die Zwei-Fak­tor-Au­then­ti­fi­zie­rung dar, bei dem ein zwei­tes Gerät zur Au­then­ti­fi­zie­rung benötigt wird - bspw. das Smart­phone (SMS, An­ruf), wie es beim On­line-Ban­king (vgl. PSD 2) be­reits üblich ist.

Auch wir sind der Mei­nung, dass die be­kann­ten Kri­te­rien - dies be­deu­tet u.a. Wech­sel alle 90 Tage und 8 Zei­chen so­wie der Weg zu kei­nem Pass­wort­wech­sel - nicht zeit­gemäß sind.

Da­her ha­ben wir aus un­se­rer Pra­xis­sicht Min­dest­an­for­de­run­gen de­fi­niert, wel­che nach un­se­rer Ein­schätzung grund­le­gend ein­zu­stel­len sind. Dies be­deu­tet:

  • Pass­wort­wech­sel: Ände­rung alle 180 Tage, so­fern kom­plexe Passwörter ver­wen­det wer­den (bei Ver­wen­dung ei­nes MFA kann der Pass­wort­wech­sel auch auf 360 Tage erhöht wer­den, vollständig würden wir nicht auf einen Pass­wort­wech­sel ver­zich­ten).
  • Pass­wort­kom­ple­xitäts­kri­te­rien: 
    • Min­destlänge: 10 Zei­chen be­ste­hend aus
      • mind. 1 Zahl
      • mind. 1 Son­der­zei­chen
      • mind. 1 Großbuch­stabe
      • mind. 1 Klein­buch­stabe
    • Keine Wie­der­ver­wend­bar­keit der letz­ten 10 Passwörter
    • Frühes­tens nach ei­ner Wo­che kann das Kenn­wort er­neut geändert wer­den
    • Falls ein Nut­zer fünf­mal in Folge ein fal­sches Pass­wort ein­gibt, muss das Sys­tem das be­tref­fende Be­nut­zer­konto sper­ren
    • Kein au­to­ma­ti­sches Ent­sper­ren des Ac­counts

Ad­mi­nis­tra­to­ren-Ac­counts so­wie Ac­counts mit einem Be­zug zu kri­ti­schen Da­ten soll­ten auf min­des­tens 12 bis 14 Zei­chen so­wie eine MFA ein­ge­stellt wer­den. Ein Großteil der Un­ter­neh­men nutzt bspw. Win­dows von Mi­cro­soft. Die­ses un­terstützt be­reits seit Erstaus­lie­fe­rung als Si­cher­heits­funk­tion eine Zwei-Fak­tor-Au­then­ti­fi­zie­rung.

So­fern Sys­teme / An­wen­dun­gen die Kom­ple­xitäts­kri­te­rien nicht vor­aus­set­zen, muss sei­tens des Un­ter­neh­mens mit einem an­de­ren Ri­si­komaß her­an­ge­gan­gen wer­den.

Kompromittiertes Passwort

Sei­tens der Un­ter­neh­men müssen heut­zu­tage auch Maßnah­men er­grif­fen wer­den, um die Kom­pro­mit­tie­rung von Passwörtern zu er­ken­nen. Dazu gehört bspw. die De­fi­ni­tion, wie häufig das Pass­wort in­ner­halb ei­nes de­fi­nier­ten Zeit­rau­mes falsch ein­ge­ge­ben wer­den darf, be­vor sys­tem­sei­tig eine Re­ak­tion er­folgt.

Ist dies nicht möglich, so sollte zu­min­dest geprüft wer­den, ob die Nach­teile ei­nes zeit­ge­steu­er­ten Pass­wort­wech­sels in Kauf ge­nom­men wer­den können und Passwörter in ge­wis­sen Abständen ge­wech­selt wer­den.

Eine Maßnahme zur Er­ken­nung von kom­pro­mit­tier­ten Ac­counts ist bspw. die au­to­ma­ti­sierte sys­tem­sei­tige Über­wa­chung auf un­gewöhn­li­che Zu­griffe. Dies sind Möglich­kei­ten, wel­che durch An­wen­dun­gen teil­weise be­reits im Stan­dard mit­ge­bracht wer­den und nur noch zu ak­ti­vie­ren bzw. ein­zu­stel­len sind.

Ergänzende Hinweise

Als Ergänzung zu o. g. Emp­feh­lun­gen zu den Pass­wor­tein­stel­lun­gen gel­ten ins­be­son­dere fol­gende all­ge­meine Hin­weise:

  • Das Pass­wort darf nicht in einem Wörter­buch ent­hal­ten sein, ein Wort im Dia­lekt oder in der Um­gangs­spra­che ir­gend­ei­ner Sprache oder ir­gend­ein sol­ches Wort rückwärts ge­schrie­ben sein.
  • Passwörter dürfen keine persönli­chen Da­ten ent­hal­ten (z. B. Ge­burts­da­tum, Adresse, Name von Fa­mi­li­en­mit­glie­dern, etc.).
  • Falls ein Nut­zer ein neues Pass­wort für einen hoch­sen­si­blen Be­reich an­for­dert, muss der Nut­zer seine Iden­tität bestäti­gen (bei­spiels­weise durch persönli­ches Er­schei­nen bei der Pass­wortüberg­abe oder ggf. Au­then­ti­fi­zie­rung durch ein Code­wort, das nur der IT be­kannt ist).
  • Werks­sei­tige Stan­dard-Passwörter von Soft­ware- oder Hard­ware-Her­stel­lern so­wie In­iti­al­passwörter von Be­nut­zern müssen bei der erst­ma­li­gen Ein­rich­tung bzw. Nut­zung geändert wer­den.
  • Passwörter dürfen ge­genüber an­de­ren Per­so­nen nicht of­fen­ge­legt wer­den; dies gilt auch für Ge­schäftsführung oder Sys­te­madmi­nis­tra­to­ren.
  • Passwörter dürfen nicht auf­ge­schrie­ben wer­den.
  • Vom An­wen­der er­stellte Passwörter dürfen auf kei­nem Weg ver­brei­tet wer­den (münd­lich, schrift­lich oder in elek­tro­ni­scher Form, etc.).
  • Passwörter müssen geändert wer­den, falls es An­zei­chen dafür gibt, dass die Passwörter oder das Sys­tem kom­pro­mit­tiert sein könn­ten – in die­sem Fall muss ein Si­cher­heits­vor­fall ge­mel­det wer­den.
  • Passwörter dürfen nicht in einem Sys­tem zur au­to­ma­ti­schen An­mel­dung ge­spei­chert wer­den (z.B. Ma­kro oder Brow­ser).
  • Passwörter, die für pri­vate Zwecke ge­nutzt wer­den, dürfen nicht für Ge­schäfts­zwe­cke be­nutzt wer­den.
  • Falls ein Pass­wort-Safe zur Ver­wal­tung meh­re­rer Passwörter ge­nutzt wird, ist die­ses über eine MFA ab­zu­si­chern, die eben­falls einem re­gelmäßigen Wech­sel un­ter­liegt.
nach oben