Entgegen der allgemeinen Auffassung, Kennwörter möglichst oft ändern zu müssen, sind sich Experten mittlerweile einig, dass dies kontraproduktiv ist. Anstatt die Sicherheit zu erhöhen, ändern Nutzer ihre bestehenden Passwörter entweder kaum, z. B. nur einen Buchstaben oder zählen eine Nummer weiter hoch. Ist dies durch systemseitige oder formale Vorgaben nicht möglich und muss das neue Kennwort sich deutlich vom letzten unterscheiden, führt dies bei Mitarbeitern regelmäßig dazu, dass diese sich die Kennwörter aufschreiben und diese dadurch leichter einsehbar sind. Um diesem Problem entgegenzuwirken wählen wir als Geschäftsbereich IT-Revision (GBIT) auch vor dem Hintergrund stetiger wachsender Anforderungen einen anderen Ansatz.
In der Anfang 2020 veröffentlichten aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde der, für viele bereits seit Jahren als überholt angesehene Passus der regelmäßigen Änderung von Passwörtern, gestrichen. Auch bei den Aufsichtsbehörden wird kein regelmäßiger Passwortwechsel mehr empfohlen - siehe bspw. beim Landesbeauftragten für Datenschutz und Informationssicherheit vonBaden-Württemberg.
Passworteinstellungen sind eine Risikobetrachtung
Die Meinung über vorzunehmende Einstellungen in der Passwortpolicy differenzieren derzeit noch sehr voneinander - dabei ist das Ziel für alle identisch: Ein möglichst optimaler Schutz der Daten. Die Sicherheitsanforderungen an Passwörter stammen dabei aus den unterschiedlichsten Bereichen eines Unternehmens. Aspekte wie Datenschutz, IT Einsatz, Bedeutung der jeweiligen Information, Geschäftsgeheimnisse, die Vorgaben der Geschäftsführung, der internen sowie externen Stakeholder spielen eine wichtige Rolle. Grundsätzlich ist die Einstellung zur Passwortpolicy eng mit der Risikoorientierung verbunden und im Rahmen dessen vom Risiko der zu schützenden Daten in den jeweiligen Verarbeitungsprozessen abhängig und selbständig einzuschätzen. Je nach Branche, Größe oder Rechtsform wird das Risiko auch durch externe Vorgaben und rechtliche Normen reglementiert. Banken und Versicherungen bspw. sind an besonders strenge Auflagen gebunden. Aber auch Gesetze wie das IT Sicherheitsgesetz oder das Geschäftsgeheimnisgesetz stellen Forderung an die Absicherung der Systeme.
Ausgehend von der Risikobetrachtung und unter Berücksichtigung der jüngsten Entwicklungen, empfehlen wir folgende Einstufungen vorzunehmen:
- Mindestanforderungen = geringes Risiko, d. h keine unternehmenskritischen Daten sowie keine sensiblen personenbezogenen Daten
- Normalanforderungen = mittleres Risiko, d. h. “normale“ Unternehmensdaten (Verlust würde keine wesentliche Schädigung des Unternehmens mit sich führen) sowie keine personenbezogenen Daten
- Erhöhte Anforderungen = erhöhtes Risiko, d. h. Verlust der Daten wäre kritisch für das Unternehmen sowie besonders schützenswerte personenbezogene Daten.
- Hohe Anforderungen = hohes Risiko, z. B. wesentliche Geschäftsgeheimnisse, besonders schützenswerte personenbezogene Daten sowie hohe externe / branchen- bzw. berufsständische Compliance-Anforderungen
Empfehlungen des GBIT
Nach der Einschätzung des GBIT sollte - soweit es die Anwendungen zulassen - auf eine Mehrfaktorauthentifizierung (MFA) umgestellt werden, bei denen die Zugriffs- und Zugangsberechtigung mittels mehrerer unabhängiger Faktoren überprüft wird. Wichtig ist die Übertragung in Form einer Kombination unterschiedlicher und unabhängiger Komponenten. Eine Form der MFA stellt die Zwei-Faktor-Authentifizierung dar, bei dem ein zweites Gerät zur Authentifizierung benötigt wird - bspw. das Smartphone (SMS, Anruf), wie es beim Online-Banking (vgl. PSD 2) bereits üblich ist.
Auch wir sind der Meinung, dass die bekannten Kriterien - dies bedeutet u.a. Wechsel alle 90 Tage und 8 Zeichen sowie der Weg zu keinem Passwortwechsel - nicht zeitgemäß sind.
Daher haben wir aus unserer Praxissicht Mindestanforderungen definiert, welche nach unserer Einschätzung grundlegend einzustellen sind. Dies bedeutet:
- Passwortwechsel: Änderung alle 180 Tage, sofern komplexe Passwörter verwendet werden (bei Verwendung eines MFA kann der Passwortwechsel auch auf 360 Tage erhöht werden, vollständig würden wir nicht auf einen Passwortwechsel verzichten).
- Passwortkomplexitätskriterien:
- Mindestlänge: 10 Zeichen bestehend aus
- mind. 1 Zahl
- mind. 1 Sonderzeichen
- mind. 1 Großbuchstabe
- mind. 1 Kleinbuchstabe
- Keine Wiederverwendbarkeit der letzten 10 Passwörter
- Frühestens nach einer Woche kann das Kennwort erneut geändert werden
- Falls ein Nutzer fünfmal in Folge ein falsches Passwort eingibt, muss das System das betreffende Benutzerkonto sperren
- Kein automatisches Entsperren des Accounts
- Mindestlänge: 10 Zeichen bestehend aus
Administratoren-Accounts sowie Accounts mit einem Bezug zu kritischen Daten sollten auf mindestens 12 bis 14 Zeichen sowie eine MFA eingestellt werden. Ein Großteil der Unternehmen nutzt bspw. Windows von Microsoft. Dieses unterstützt bereits seit Erstauslieferung als Sicherheitsfunktion eine Zwei-Faktor-Authentifizierung.
Sofern Systeme / Anwendungen die Komplexitätskriterien nicht voraussetzen, muss seitens des Unternehmens mit einem anderen Risikomaß herangegangen werden.
Kompromittiertes Passwort
Seitens der Unternehmen müssen heutzutage auch Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Dazu gehört bspw. die Definition, wie häufig das Passwort innerhalb eines definierten Zeitraumes falsch eingegeben werden darf, bevor systemseitig eine Reaktion erfolgt.
Ist dies nicht möglich, so sollte zumindest geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.
Eine Maßnahme zur Erkennung von kompromittierten Accounts ist bspw. die automatisierte systemseitige Überwachung auf ungewöhnliche Zugriffe. Dies sind Möglichkeiten, welche durch Anwendungen teilweise bereits im Standard mitgebracht werden und nur noch zu aktivieren bzw. einzustellen sind.
Ergänzende Hinweise
Als Ergänzung zu o. g. Empfehlungen zu den Passworteinstellungen gelten insbesondere folgende allgemeine Hinweise:
- Das Passwort darf nicht in einem Wörterbuch enthalten sein, ein Wort im Dialekt oder in der Umgangssprache irgendeiner Sprache oder irgendein solches Wort rückwärts geschrieben sein.
- Passwörter dürfen keine persönlichen Daten enthalten (z. B. Geburtsdatum, Adresse, Name von Familienmitgliedern, etc.).
- Falls ein Nutzer ein neues Passwort für einen hochsensiblen Bereich anfordert, muss der Nutzer seine Identität bestätigen (beispielsweise durch persönliches Erscheinen bei der Passwortübergabe oder ggf. Authentifizierung durch ein Codewort, das nur der IT bekannt ist).
- Werksseitige Standard-Passwörter von Software- oder Hardware-Herstellern sowie Initialpasswörter von Benutzern müssen bei der erstmaligen Einrichtung bzw. Nutzung geändert werden.
- Passwörter dürfen gegenüber anderen Personen nicht offengelegt werden; dies gilt auch für Geschäftsführung oder Systemadministratoren.
- Passwörter dürfen nicht aufgeschrieben werden.
- Vom Anwender erstellte Passwörter dürfen auf keinem Weg verbreitet werden (mündlich, schriftlich oder in elektronischer Form, etc.).
- Passwörter müssen geändert werden, falls es Anzeichen dafür gibt, dass die Passwörter oder das System kompromittiert sein könnten – in diesem Fall muss ein Sicherheitsvorfall gemeldet werden.
- Passwörter dürfen nicht in einem System zur automatischen Anmeldung gespeichert werden (z.B. Makro oder Browser).
- Passwörter, die für private Zwecke genutzt werden, dürfen nicht für Geschäftszwecke benutzt werden.
- Falls ein Passwort-Safe zur Verwaltung mehrerer Passwörter genutzt wird, ist dieses über eine MFA abzusichern, die ebenfalls einem regelmäßigen Wechsel unterliegt.
