Das Standardwerk für IT-Sicherheit im deutschsprachigen Raum, das Grundschutz-Kompendium des deutschen Bundesamtes für Sicherheit in der Informationstechnologie BSI, liegt bereits in der Edition 2020 vor. Eine der Neuerungen beschäftigt sich mit dem Passwortwechsel. Reines zeitgesteuertes – also nach einem definierten Zeitraum automatisch erzwungenes – Wechseln von Passwörtern soll laut BSI vermieden werden.
Konkret geht das Grundschutz-Kompendium im Abschnitt Identitäts- und Berechtigungsmanagement in Anforderung 23 (ORP.4.A23) auf die Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme ein:
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.
Diese Sichtweise des deutschen BSI wiegt durchaus schwer. Denn es ist folglich davon auszugehen, dass ein reines zeitgesteuertes Wechseln von Passwörtern nicht mehr dem Stand der Technik entspricht. Genau dazu sind Unternehmen aber per Gesetz verpflichtet. Juristen sehen in diesem Zusammenhang ein nicht unbedeutendes Haftungsrisiko, wenn es zu einem Sicherheitsvorfall kommt.
Gleichzeitig müssen laut BSI Maßnahmen ergriffen werden, um die
Kompromittierung von Passwörtern zu erkennen. Nur wenn dies nicht möglich ist, sollte geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können. Grundsätzlich ist es aber jedem möglich, eine Kompromittierung über öffentlich zugängliche Datenbanken zu prüfen. Beispielsweise mit dem HPI Identity Leak Checker des Hasso-Plattner-Instituts oder die „have i been pwned?“-Datenbank.
Neues österreichisches Informationssicherheitshandbuch
Ähnlich wie das deutsche BSI sieht das Österreichische Informationssicherheitshandbuch das Thema zeitgesteuerter Passwortwechsel. In der seit 19. Dezember 2019 in der aktualisierten Version 4.1.1 vorliegenden Ausgabe besagt es in Kapitel 9 (Zugriffskontrolle, Berechtigungssysteme, Schlüssel- und Passwortverwaltung) unter Punkt 9.3.1 bezüglich Regelungen des Passwortgebrauches:
Sofern es nicht möglich ist eine Kompromittierung von Passwörtern zu erkennen, können auch zeitgesteuerte Passwortwechsel angewendet werden. Dabei sollten jedoch die dadurch möglicherweise auftretenden Nachteile (z.B. Verwendung von weniger komplexen Passwörtern, Passwörter werden eher notiert, Passwörter werden eher vergessen wodurch auf Konten oder Ressourcen nicht mehr zugegriffen werden kann) bedacht werden.
In der Vorgängerversion aus dem Jänner 2016 stand noch: Der Passwortwechsel sollte vom System regelmäßig initiiert werden. Reine zeitgesteuerte Passwortwechsel neuerdings nur mehr dann denkbar, wenn das Erkennen von Kompromittierungen nicht möglich ist. Mit den frei zugänglichen Datenbanken ist dies aber grundsätzlich jedem möglich. Wobei es zu bedenken gibt, dass keine der erwähnten Datenbanken auch nur näherungsweise Anspruch auf Vollständigkeit und Unfehlbarkeit erhebt. Wird trotzdem auf zeitgesteuerte Passwortwechsel gesetzt, sollten die damit verbundenen Risiken (siehe Zitat aus dem Österr. Handbuch) jedenfalls bedacht und abgewogen werden.
Nur ein Klick zur Newsletter-Anmeldung!
Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzinformation.
Weitere interessante Beiträge: