Einmal im Jahr veröffentlicht das BSI eine neue Version seines Grundschutzkompendiums. Anlässlich der Edition 2020 gab es eine kleine Welle von Artikeln in der Fachpresse zum Themenbereich Passwortgebrauch. Es wurde darauf hingewiesen, dass jetzt vom BSI auf bestimmte feste Forderungen bzgl. Passwortgestaltung und Passwortwechsel verzichtet wird.
Wer sich davon verleiten lässt, seine Passwortrichtlinie ersatzlos abzuschaffen, und ohne weitere Begleitaktivitäten Auflagen zur Passwortänderung gleich mit, begeht einen großen Fehler. Das war weder die Intention des BSI noch der Sicherheitsexperten, die den Wert von strengen und dabei sturen Regelungen zum Passwortgebrauch begründet anzweifeln.
Ein schlechtes Passwort bleibt ein schlechtes Passwort
Der Einsatz eines Passworts ist eine Sicherheitsmaßnahme. Ein Passwort, ungeschickt gewählt oder benutzt, wird selbst zum Risiko. Das ist wie der Schlüssel zu einem Sicherheitstürschloss, der im berühmten Versteck unter der Fußmatte liegt.
Fallen feste Vorgaben wie Mischen von Buchstaben, Ziffern und Sonderzeichen weg, heißt das nicht, dass man jetzt wieder beliebig einfache Passwörter verwenden kann oder gar sollte. Experten, die Nachteile solcher Vorgaben benennen, haben etwas ganz anderes vor Augen.
Ein Passwort kann aus praktischen Gründen eine schlechte Wahl sein, nicht nur wegen mangelnder Komplexität oder Länge. Eine Komplexitätsregel festlegen, einhalten und sich dann sicher fühlen, ist riskant. Die Regel irgendwie einhalten heißt noch lange nicht, dass die Wirkung „stark“ ist. Beispiele:
- Geheimnis123! kombiniert Groß- und Kleinschreibung, Ziffern und Sonderzeichen.
Einer systematischen Attacke hält es aber nur sehr bedingt Stand.
- Ein „kryptisches“ Passwort, bei dem man sich leicht vertippt, verführt dazu, Passwortschutz im Alltag zu umgehen.
Wer sperrt z.B. gerne seinen Bildschirm beim Verlassen des Rechners, wenn danach eine schwierige Passworteingabe wartet? Droht gar die Sperrung des Kontos nach wenigen Fehlversuchen …
- Ein komplexes Passwort, das man sich mühsam gemerkt hat, verführt zur Mehrfachverwendung.
Hier passiert dann genau das, wovor immer gewarnt wird: Nutzung desselben Passworts für verschiedene Accounts. Ist es tatsächlich einmal in unbefugte Hände gefallen, kann der Schaden in kurzer Zeit sehr groß werden.
Solche Probleme werden verstärkt, wenn man die Aufgabe der Passwortwahl zwangsweise sehr häufig lösen muss, wegen fester Passwortwechselpflicht.
Was tun?
Erst kamen die Hinweise auf die Änderungen in den Grundschutzveröffentlichungen, dann kam Corona. Unternehmen und Behörden hatten erst einmal Dringenderes zu tun, als über Passwortrichtlinien und technischen Zwang zum häufigen Kennwortschutz nachzudenken.
Aber: Ein Nachdenken lohnt sich offenbar, siehe Beispiele und Expertendiskussionen.
Außerdem: Das BSI selbst erwartet sogar solche Denkprozesse und resultierendes Handeln! Die Grundschutzmethodik fordert kontinuierliche Verbesserung auch auf neue Erkenntnisse zu reagieren.
Forderungen nach Regelung des Passwortgebrauchs und nach Regelungen zur Passwortgüte stehen zudem weiterhin im Grundschutzkompendium. Was ändert sich also tatsächlich? Man kann jetzt bei der Wahl von Regelungen auf neue Erkenntnisse und die Arbeitssituation der Passwortnutzer flexibler eingehen.
Mehr Flexibilität heißt aber immer auch: mehr Eigenverantwortung.
Nimmt man den Passwortnutzern feste Regelungen weg und lässt sie damit alleine, schafft man Unsicherheit.
Lockert man die Pflicht zum regelmäßigen Passwortwechsel, muss man noch stärker auf verdächtige Vorgänge achten. Passwortwechsel aus begründetem Verdacht wird noch wichtiger! Dies gilt umso mehr, je kritischer die per Passwort geschützten Lösungen sind. Neben besonders berechtigten Konten im Büro-Bereich und denen von IT-Administratoren muss man hier immer stärker auch neue „smarte“ Technologien und ihre Management-Zugänge berücksichtigen.
Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.