Viele Beschäftigte kennen sie: Hinweise mit dem Inhalt „Ihr Passwort ist älter als 90 Tage. Bitte ändern Sie es umgehend.“ Im Arbeitsalltag werden sie vielfach als Behinderung bei der eigentlichen Arbeit wahrgenommen.
Passwortänderungen, die über Jahre hinweg nur aus der Addierung bzw. Fortschreibung eines Passwortbestandteils bestehen, suggerieren eine Scheinsicherheit. Beispiel: Das bestehende Passwort „BleibZuhaus20!“ wird auf „BleibZuhaus21?“ verändert. Angreifer können solche Passwörter oftmals schnell erraten und knacken.
Wie sinnvoll ist es, sein Passwort regelmäßig zu wechseln? Erhöht dies die Sicherheit meines Accounts oder ist es sogar eine Gefahr?
Sogar das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat sich klar positioniert und rückte Anfang des Jahres von seiner bisherigen Empfehlung ab, Passwörter häufig zu wechseln. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Demnach könnte ein Passwort auch jahrelang genutzt werden, wenn es die richtigen Kriterien erfüllt.
Passwortänderungen sind aus BSI-Sicht nur noch für folgende Fälle empfohlen:
- Wenn es einen Hinweis gibt, dass es tatsächlich in die Hände von unbefugten Dritten gelangt ist
- Wenn festgestellt wird, dass das eigene Gerät mit einem Schadprogramm infiziert ist.
- Wenn Cyber-Kriminelle bei Anbietern oder direkt bei Nutzerinnen und Nutzern vertrauliche personenbezogene Daten (inklusive Passwörtern) abgegriffen haben.
Auch die bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden. Von Teilen der Fachwelt wurde dieser Kurswechsel begrüßt.
Doch wie sieht es in der Praxis aus?
Viele Beschäftigte verfügen (beruflich und privat) heute bereits über mehrere Dutzend Zugangskennungen mit Passworte. Die Mehrfachverwendung von Passworten bei verschiedenen Diensten ist daher weit verbreitet. Gelangt ein Angreifer etwa an das Passwort zum Mail-Account, kann er sich damit auch gleich bei anderen verbreiteten Diensten einloggen und sich über die Passwort-Rücksetzfunktion ein eigenes Passwort generieren.
Daher sollte jeder Dienst mit einem unterschiedlichen Kennwort geschützt werden. Der Einsatz von Passwort-Managern kann die Verwaltung individueller und sicherer Passwörter vereinfachen.
Gefahr der Ausspähung
Zum anderen kann durch den stetigen Passwortwechsel ein Dritter, der die Zugangsdaten entwendet hat, wieder aus einen Benutzerkonto ausgesperrt werden. Dabei ist auch Ausspähung durch Social Engineering zu bedenken: Kaum jemand kann verlässlich ausschließen, nicht schon einmal beim Eintippen eines Passworts beobachtet worden zu sein – da hantiert z.B. der Hintermann oder Nachbar im Zug unverfänglich mit dem Smartphone und filmt in Wirklichkeit die Passworteingabe mit.
Fazit
Die Offenlegung eines Passwortes bleibt häufig unbemerkt. Die Forderung nach einer Aufgabe des Passwortwechselzwangs ist unter dem Gesichtspunkt der Informationssicherheit durchaus fragwürdig.
Ein entstehender Schaden aus einem Missbrauch einer Zugangskennung kann deutlich größere Aufwände bedeuten, als den Beschäftigten zuzumuten, sich alle 90 oder 180 Tage ein neues Passwort zu merken. Gerade bei kritischen und hochsensiblen Systemen sollte daher weiterhin ein regelmäßiger und echter Passwortwechsel vorgenommen werden, jedoch könnte eine Ausdehnung des Gültigkeitszeitraums in unkritischen Bereichen in Betracht gezogen werden (z.B. auf eine jährliche Änderungsverpflichtung).
Bei Fragen zur Gestaltung einer auf Ihre Bedürfnisse zugeschnittenen Passwortrichtlinie und deren Umsetzung beraten wir Sie gerne.
