Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können,
verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung
von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

News

Wer kennt sie nicht, diese lästige Aufforderung des Systemadministrators zu einem erzwungenem Passwortwechsel nach Ablauf eines fixen, zeitlichen – meist recht kurzen – Intervalls. Wenn uns das Unternehmen vorgibt, dass wir z.B. alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln müssen und diese dann aber auch noch eine gewisse Komplexität aufweisen sollen, dann führt dies, aufgrund der üblicherweise getroffenen Einstellungen hinsichtlich des Passwortalters und der Passworthistorie, nicht selten zu einer gut kultivierten und unternehmensweit verbreiteten „gelben Zettelwirtschaft mit Passwortinformationen“ und somit - aufgrund der damit verbundenen Risiken - im Ergebnis zu weniger Datenschutz und weniger Informationssicherheit. Nachdem verschiedene Datenschutzbehörden der Länder und auch die Datenschutzkommission dies erkannt und bereits mehrfach vorgelegt haben, zieht nun endlich auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) nach und ändert endlich die Vorgaben für einen Passwortwechsel-Zwang.

In seinen im Oktober 2019 präsentierten neuen Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement spricht sich das BSI nun für folgende Regelung bei Passwort-verarbeitenden-Anwendungen und IT-Systemen aus: „IT-Systeme oder Anwendungen sollten nur mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel sollten vermieden werden. Es müssen Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so sollte geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“

Zu beachten ist in diesem Zusammenhang, dass auch, wenn sich das BSI hiermit eindeutig gegen einen reinen zeitgesteuerten Passwortwechselzwang ausspricht, die Anforderungen an die Komplexität und die Länge der Passwörter sowie die Einstellungen für die automatische Bildschirmsperre verschärft werden sollten, um einen ausreichenden Schutz zu gewährleisten.