BERLINCOUNSEL Consulting GmbH - Nicht nur die Datenschutzbehörden auch das BSI kehrt endlich vom Passwortwechsel-Zwang ab

Wer kennt sie nicht, diese lästige Aufforderung des Systemadministrators zu einem erzwungenem Passwortwechsel nach Ablauf eines fixen, zeitlichen – meist recht kurzen – Intervalls. Wenn uns das Unternehmen vorgibt, dass wir z.B. alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln müssen und diese dann aber auch noch eine gewisse Komplexität aufweisen sollen, dann führt dies, aufgrund der üblicherweise getroffenen Einstellungen hinsichtlich des Passwortalters und der Passworthistorie, nicht selten zu einer gut kultivierten und unternehmensweit verbreiteten „gelben Zettelwirtschaft mit Passwortinformationen“ und somit - aufgrund der damit verbundenen Risiken - im Ergebnis zu weniger Datenschutz und weniger Informationssicherheit. Nachdem verschiedene Datenschutzbehörden der Länder und auch die Datenschutzkommission dies erkannt und bereits mehrfach vorgelegt haben, zieht nun endlich auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) nach und ändert endlich die Vorgaben für einen Passwortwechsel-Zwang.

In seinen im Oktober 2019 präsentierten neuen „Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement“ spricht sich das BSI nun für folgende Regelung bei Passwort-verarbeitenden-Anwendungen und IT-Systemen aus: „IT-Systeme oder Anwendungen sollten nur mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel sollten vermieden werden. Es müssen Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so sollte geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“

Zu beachten ist in diesem Zusammenhang, dass auch, wenn sich das BSI hiermit eindeutig gegen einen reinen zeitgesteuerten Passwortwechselzwang ausspricht, die Anforderungen an die Komplexität und die Länge der Passwörter sowie die Einstellungen für die automatische Bildschirmsperre verschärft werden sollten, um einen ausreichenden Schutz zu gewährleisten.

Main Menu

News

Nicht nur die Datenschutzbehörden auch das BSI kehrt endlich vom Passwortwechsel-Zwang ab

Cybersicherheit und Unternehmenskomplexität

Cyberangriffe beim Mittelstand

Projektbegleitende Prüfung – mehr Sicherheit und Transparenz im Projekt

DSGV-Bußgeld in Höhe von 900.000,00 Euro gegenüber 1&1 Telecom GmbH bestätigt

BfDI kritisiert Pläne zur Vorratsdatenspeicherung

Über die Notwendigkeit einer unternehmensinternen IT-Audit Checkliste

KMU und Informationssicherheit

Durch wirksame Kontrollen die Integrität von Technologien sicherstellen

DSK fordert verfassungskonforme Registermodernisierung

Das `Modell der drei Verteidigungslinien´ für das Risikomanagement wurde umfassend aktualisiert

Der 2020 Global Threat Report von CrowdStrike – frisch im Juli erschienen

Auflösung des Betriebsrates durch Verstoß gegen den Datenschutz

Neues Datenschutzgesetz geplant? - TTDSG Entwurf aufgetaucht!

Europa-rechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des Patientendaten-Schutz-Gesetzes (PDSG)

Privacy Shield ungültig

Datenschutz ist immer noch ein wichtiges Thema

BSI-IT-Grundschutz, die Neuerungen 2020

Sicherheit durch Gesetze, ein kleiner Überblick

Schon ein Dokumentenmanagement-System ausgesucht? Welches DMS könnte Ihre Wunderwaffe sein?

30 Jahre Mauerfall – Unternehmerparty 2019

Weiteres