Hinweise zum Passwortschutz

Umgang mit Passwörtern

Der Passwortschutz eines IT-Systems soll gewährleisten, dass nur solche Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine entsprechende Berechtigung nachweisen. Unmittelbar nach dem Einschalten des IT-Systems muss der Berechtigungsnachweis erfolgen. Kann der Benutzer die erforderliche Berechtigung nicht nachweisen, so verhindert der Passwortschutz den Zugriff auf das IT-System (BSI IT-Grundschutz  – M 4.1 Passwortschutz für IT-Systeme)

Sicherheitsziele für den besseren Passwortschutz

Nach „M 2.11 Regelung des Passwortgebrauchs BSI IT-Grundschutz“ müssen Vorgaben für die Passwortgestaltung immer einen praktikablen Kompromiss zwischen folgenden Sicherheitszielen darstellen:

  • Die Zeichenzusammensetzung des Passwortes muss so komplex sein, dass es nicht leicht zu erraten ist.
  • Die Anzahl der möglichen Passwörter im vorgegebenen Schema muss so groß sein, dass es nicht in kurzer Zeit durch einfaches Ausprobieren ermittelt werden kann.
  • Das Passwort darf nicht zu kompliziert sein, damit der Besitzer mit vertretbarem Aufwand in der Lage ist, es auswendig zu lernen.

Eine der (noch) geltenden Regeln zu Passwortgestaltung und -gebrauch des BSI lautet:  „Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.“

Diese Empfehlung wird jedoch immer wieder kritisiert.  Der jüngste Vorstoß zur Abkehr von dieser Empfehlung kommt vom LfDI Baden-Württemberg.

Darin wird erläutert, warum eine erzwungene regelmäßige Änderung von Passwörtern als überholt angesehen werden kann. Administratoren wird geraten ihre Nutzer nicht regelmäßig aufzufordern oder zu zwingen die Passwörter zu ändern. Stattdessen sollen die Nutzer für sichere Passwörter sensibilisiert werden.

 

Letztes Update:14.02.19

  • Digitaler Nachlass

    Studie beleuchtet Fragestellungen zum Digitalen Nachlass

    Hinterbliebene stehen vor vielen Herausforderungen, wenn sie an Vertragsinformationen gelangen müssen und Online-Konten von Verstorbenen verwalten sollen. Ohne Passwörter und Zugangsdaten haben Erben oft keinen Zugriff auf die Online-Konten. Sie können sich nicht um laufende Geschäfte wie Internetauktionen, Abos oder Bestellungen kümmern oder Verträge kündigen. Im schlimmsten Fall entstehen hohe laufende Kosten und finanzielle Schäden.

    Mehr erfahren
  • Soziale Netzwerke

    LfDI Baden-Württemberg zieht sich aus Twitter zurück

    Im November 2017 richtete der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brink, einen Twitter-Account für seine Behörde ein und twitterte seit dem mit großem Erfolg zu aktuellen Themen aus der Welt des Datenschutzes und der Informationsfreiheit. Mit dem neuen Angebot wollte der LfDI seine Zielgruppen künftig noch besser mit aktuellen Informationen

    Mehr erfahren
  • Wegweiser

    BayLfD bietet umfangreiche Infos für DSFA

    Auch öffentliche Stellen sind grundsätzlich zur Durchführung von Datenschutz-Folgenabschätzungen verpflichtet, insbesondere wenn sie Verarbeitungen personenbezogener Daten durchführen, die in einer der Blacklist der Aufsichtsbehörde genannt sind. Als Hilfestellung für bayerische öffentliche Stellen bietet der BayLfD auf seinem Internetauftritt umfangreiche Informationen und Tools an, die im Rahmen der Prüfung (soweit die relevante Verarbeitung also nicht ohnehin

    Mehr erfahren