“Die all­mo­nat­li­che Auf­for­de­rung der Ein­ga­be eines neu­en Pass­wor­tes, die dann einen Wech­sel des Log­ins von »paul123« auf »paul456« aus­lös­te, dürf­te bald der Ver­gan­gen­heit ange­hö­ren.” – Mat­thi­as Herkert

Das IT-Grundschutz-Kompendium zum Stand der Technik

Das IT-Grundschutz-Kompendium, eines der wich­tigs­ten »Werk­zeu­ge für Infor­ma­ti­ons­si­cher­heit« des BSI, erläu­tert nicht nur mög­li­che Gefähr­dun­gen der IT-Sicherheit und emp­fiehlt geeig­ne­te Sicher­heits­an­for­de­run­gen, für vie­le Unter­neh­men ist das Kom­pen­di­um auch von hoher Zer­ti­fi­zie­rungs­re­le­vanz. Daher über­rascht es kaum, dass IT-Sicherheitsexperten regel­mä­ßig gespannt auf die Aktua­li­sie­run­gen des Wer­kes war­ten. Seit dem 01.02.2020 ist nun das IT-Grundschutz-Kompendium Edi­ti­on 2020 ver­füg­bar (über die­sen LINK kom­men Sie zur Unter­sei­te des BSI) und löst das IT-Grundschutz-Kompendium Edi­ti­on 2019 ab, das seit dem 04.02.2019 Zer­ti­fi­zie­rungs­re­le­vanz hat­te (HIER geht es zum Kom­pen­di­um 2019 auf der Unter­sei­te des BSI).

Der zeitgesteuerte Wechsel von Passwörtern soll vermieden werden

Eine der für die IT-Anwender in den Betrie­ben und Ein­rich­tun­gen sicher­lich rasch spür­ba­re Ände­rung betrifft den Umgang mit Passworten.

Wäh­rend das IT-Grundschutz-Kompendium 2019 in Teil ORP.4.A8 noch regel­te »Pass­wör­ter soll­ten in ange­mes­se­nen Zeit­ab­stän­den geän­dert wer­den«, wur­de die­se Emp­feh­lung nun ersatz­los aus den Rege­lun­gen des Pass­wort­ge­brauchs gestri­chen. Im Wei­te­ren belässt der BSI es nicht nur bei einem Weg­fall der Vor­ga­be son­dern regelt in Teil ORP.4.A23 »zeit­ge­steu­er­te Wech­sel [der Pass­wör­ter] soll­ten ver­mie­den werden«.

Empfehlung entspricht der Auffassung der Aufsichtsbehörden

Mit die­ser Emp­feh­lung schließt der BSI nun an die Grund­li­ni­en an, die auch im Bereich Daten­schutz immer kla­rer wur­den. So hat der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit in Baden-Württemberg (LfDI BW) bereits Mit­te Febru­ar 2019 in sei­nen »Hin­wei­se zum Umgang mit Pass­wör­tern« (HIER geht es zur Emp­feh­lung des LfDI BW) fest­ge­stellt, dass eine erzwun­ge­ne regel­mä­ßi­ge Ände­rung von Pass­wör­tern über­holt sei und Admi­nis­tra­to­ren die Nut­zer statt­des­sen für siche­re Pass­wör­ter sen­si­bi­li­sie­ren soll­ten (wir haben in unse­rem Bei­trag vom 3. Mai 2019 »Pass­wort­si­cher­heit rückt in den Bera­tungs­fo­kus der Auf­sichts­be­hör­de« hier­zu berichtet).

Wie kommt es zu dem Wechsel 

Wie kommt es nun zu der geän­der­ten Emp­feh­lung? Wäh­rend frü­her deut­lich gerin­ge­re Anfor­de­run­gen an die Kom­ple­xi­tät von Pass­wör­tern gestellt wur­den, haben die Anfor­de­run­gen an die Gestal­tung der Authen­ti­fi­zie­rung in den ver­gan­ge­nen Jah­ren deut­lich an Bedeu­tung gewonnen.

Ver­trat der Bun­des­be­auf­trag­te für den Daten­schutz in sei­nem Tätig­keits­be­richt 1991 – 1992 (S. 193) noch die Emp­feh­lung, Pass­wör­ter soll­ten nicht nur aus dem Vor- und Fami­li­en­nah­men des Benut­zers bestehen son­dern viel­mehr aus einer Kom­bi­na­ti­on von Buch­sta­ben und Zah­len gebil­det wer­den  (HIER geht’s zum 14. TB des Bun­des­be­auf­trag­ten), gehen die aktu­el­len Pass­wort­emp­feh­lun­gen sehr viel weiter.

Die rasch wach­sen­den Anfor­de­run­gen an die Pass­wort­kom­ple­xi­tät grün­den hier­bei ins­be­son­de­re in den tech­ni­schen Mög­lich­kei­ten, die Hackern heu­te zur Ver­fü­gung ste­hen. Waren noch vor weni­gen Jah­ren das »abhö­ren« von Pass­wor­ten in IT-Netzwerken (snif­fing) und das Aus­spä­hen des Pass­wor­tes wäh­rend der Ein­ga­be wahr­schein­li­che Risi­ko­sze­na­ri­en, sind Phis­hings und Social Engi­nee­rings, der Dieb­stahl von Hash-Dateien unter ande­rem im Rah­men von Data Brea­ches, der Ein­satz von Key Log­gern sowie Word­lists und Rain­bow Tables in Kom­bi­na­ti­on mit Brute-Force-Attacks  Angriffs­vek­to­ren, denen mit »klas­si­schen« Pass­wör­tern nicht mehr begeg­net wer­den kann.

Fazit

Das BSI rät in sei­nem aktu­el­len IT-Grundschutz-Kompendium 2020 zu einer Abkehr von der bis­he­ri­gen Emp­feh­lung zur regel­mä­ßi­gen Ände­rung von IT-Passwörtern. Die all­mo­nat­li­che Auf­for­de­rung der Ein­ga­be eines neu­en Pass­wor­tes, die dann einen Wech­sel des Log­ins von »paul123« auf »paul456« aus­lös­te, dürf­te damit bald der Ver­gan­gen­heit ange­hö­ren. Es bleibt hier­bei zu hof­fen, dass die neu­en Pass­wort­vor­ga­ben in der Pra­xis zukünf­tig noch deut­lich akti­ver ver­mit­telt und geschult werden.

Und auch wei­te­re mah­nen­de Wor­te des IT-Grundschutz-Kompendiums soll­ten von den ver­ant­wort­li­chen IT-Sicherheitsbeauftragten nicht leicht­fer­tig über­le­sen wer­den: »Das Pass­wort darf nicht zu kom­pli­ziert sein, damit der Benut­zer in der Lage ist, das Pass­wort mit ver­tret­ba­rem Auf­wand regel­mä­ßig zu ver­wen­den« (ORP.4.A2). Das klas­si­sche Pass­wort dürf­te in die­sem Kon­flikt aus Sicher­heits­an­spruch und Merk­fä­hig­keit zukünf­tig kein leich­tes Leben haben. Wie lan­ge das »lebens­lan­ge Pass­wort« über­le­ben wird, bleibt also auch zukünf­tig eine span­nen­de Frage