BSI: Ein zeitgesteuerter Passwortwechsel sollte vermieden werden

Seit das NIST seine ursprüngliche Empfehlung zum regelmäßigen Wechsel eines Passworts (zeitgesteuerter Passwortwechsel) zurückgezogen hat, ist in der IT-Security Landschaft einiges in Bewegung gekommen. Denn in seinem neuen Regelwerk gibt es nun vor, das Passwörter nur noch bei einem konkreten Sicherheitsvorfall geändert werden sollen.

Im Februar 2019 hatte sich daraufhin der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) als einer der Ersten zum Thema Passwortsicherheit geäußert und seine „Hinweise zum Umgang mit Passwörtern“ veröffentlicht.

Der „Arbeitskreis Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz (DSK) zog im März 2019 nach. In seiner Orientierungshilfe: Anforderungen an Anbieter von OnlineDiensten zur Zugangssicherung gab er an, das ein regelmäßiger Passwortwechsel nicht zwingend erforderlich ist.

Microsoft hatte sich im Mai 2019 von seine Kennwortablaufrichtlinie aus der „Security Baseline“ verabschiedet (Wir berichteten: Microsoft: Das regelmäßige Ändern von Passwörtern macht sie nicht sicherer.).

Lediglich das Bundesamt für Sicherheit in der Informationstechnik (BSI) hielt bislang an den Vorgaben seines IT-Grundschutz-Kompendium fest. Es empfahl weiterhin, dass Passwörter in angemessenen Zeitabständen geändert werden sollen.

Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme

Im Oktober 2019 scheint sich das BSI nun der allgemeinen Meinung anzuschließen. Schließlich ändert es seine Vorgabe zum Wechsel des Passworts im Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement. Folglich soll ein rein zeitgesteuerter Passwortwechsel nun vermieden werden.

ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [ITBetrieb] (B)

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.
Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Eine Entwicklung, die sehr begrüßenswert ist – orientiert sie sich doch am gelebten Alltag und berücksichtigt die „Schwachstelle Mensch“.

Der Anwender neigt nun mal nicht dazu, sich alle 90 Tage ein komplexes Passwort in vorgegebener Länge neu auszudenken und dann auch noch zu merken. Vielmehr wird er immer den Weg des geringsten Widerstands gehen wollen und einfach nur Abwandlungen seines bestehenden Passwortes wählen.

Von den Passwort Notizen auf dem Monitor oder unter der Tastatur mal ganz abgesehen.

Es gilt nach wie vor:

• Wichtig für die Qualität eines Passworts ist die Länge des Passwort!
• Die Nutzung eines Passwortmanager scheint obligatorischer den je.
• Mit der Höhe des Risikos sollte die Qualität des Passwort steigen.
• Ein sicheres Passwort zwangsweise ändern zu müssen ist kontraproduktiv