UIMC: Pflicht zum Passwortwechsel nicht voreilig streichen

Die Mails oder Hinweise mit dem Inhalt „Ihr Passwort ist älter als 90 Tage. Bitte ändern Sie es.“ sind bekannt, aber ist das wirklich hilfreich? Rund um den „Ändere-Dein-Passwort-Tag“, der in jedem Jahr am 1. Februar stattfindet, entbrannte eine intensive Diskussion. Schwerpunkt: Wie sinnvoll ist es, sein Passwort regelmäßig zu wechseln? Erhöht dies die Sicherheit meines Accounts oder ist es sogar eine Gefahr? Sogar das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat sich klar positioniert: Die Experten des Bundesamtes rudern von ihrer bisherigen Empfehlung zurück, Passwörter häufig zu wechseln. Demnach könnte ein Passwort auch jahrelang genutzt werden, wenn es die richtigen Kriterien erfüllt. „Die Diskussion als solches sorgt für Aufmerksamkeit und steigert die Sensibilität für das Thema Cybersicherheit“, freut sich der erfahrene Datenschutzfachmann Dr. Jörn Voßbein über die Debatte. Eine Zusammenfassung der Diskussion, was macht ein starkes Passwort aus und die fachliche Einschätzung von UIMC erfahren sie hier:

Fahrt nahm die Passwörter-Diskussion Anfang Februar auf: Das BSI rückte von seiner bisherigen Position ab, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Passwortänderungen sind aus BSI-Sicht nur noch für folgende Fälle angeraten: 1. Ein Passwort sollte auf jeden Fall geändert werden, wenn es einen Hinweis gibt, dass es tatsächlich in die Hände von unbefugten Dritten gelangt ist. 2. Wenn festgestellt wird, dass das eigene Gerät mit einem Schadprogramm infiziert ist. 3. Wenn Cyber-Kriminelle bei Anbietern oder direkt bei Nutzerinnen und Nutzern vertrauliche personenbezogene Daten (inklusive Passwörtern) abgegriffen haben.

Die BSI-Experten raten im Kapitel zur Regelung des Passwortgebrauchs nur für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden. Von Teilen der Fachwelt wurde dieser Kurswechsel begrüßt, aber erhöht er tatsächlich die Sicherheit? Hier muss aus Sicht der Experten von UIMC ein dickes Fragezeichen gemacht werden. Klar ist, dass Passwortänderungen, die über Jahre hinweg nur aus der Addierung der Zahl bestehen, eine Scheinsicherheit suggerieren. Beispiel: Das bestehende Passwort KleineMaus15% wird auf KleineMaus16% verändert. Angreifer können solche Passwörter oftmals schnell erraten und knacken. „Gerade bei kritischen und hochsensiblen Systemen sollte aber weiterhin ein regelmäßiger aber echter Passwortwechsel vorgenommen werden“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein am bewährten Passwortwechsel festzuhalten. Alles andere ist aus seiner Sicht leichtsinnig, zumal ein entstehender Schaden deutlich größere Probleme hervorrufen kann, als die Mühen sich alle 90 oder 180 Tage ein neues Passwort zu merken. „Der Aufwand für ein neues und sicheres Passwort ist deutlich kleiner, als der Schaden, den Cyberkriminelle anrichten können“, betont Dr. Voßbein.

„Ein großer Knackpunkt der im Rahmen der Debatte um die Abschaffung des Passwortswechselzwangs immer wieder vergessen wird ist das Social Engineering“ so Dr. Voßbein. „Zum einen könnten umstehende Personen einen immer mal wieder beim Eintippen eines Passworts beobachten und so mit der Zeit das entsprechende Passwort erraten, ohne dass man selbst es merkt. Zum anderen kann durch den stetigen Passwortwechsel ein Dritter, der die Zugangsdaten entwendet hat, wieder aus einen Benutzerkonto ausgesperrt werden“.

Wie geht man mit Passwörtern richtig um und erleichtert seinen Alltag? Zum einen kann der Einsatz von Passwort-Managern auf dem Rechner die Kennwörter speichern und deren Einsatz vereinfachen. Zum anderen sollten unterschiedliche Passwörter verwandt werden. Konkret: Für das Online-Banking sollte ein völlig anderes Passwort verwandt werden als für den AmazonPrime-Account. Oftmals setzen viele Nutzer dasselbe Passwort bei mehreren Diensten ein. Die Gefahr: Gelangt ein Angreifer etwa an das AmazonPrime-Passwort, könnte er sich damit auch gleich in das Bankkonto einloggen. Daher sollte jeder Dienst mit einem unterschiedlichen Kennwort geschützt werden. „Jeder sollte bei seinen Passwörtern vorsichtig und aufmerksam vorgehen, um sich vor kriminellen Machenschaften zu schützen. Die Abschaffung des regelmäßigen Passwortwechsels kann dabei nicht das richtige Mittel sein“, hebt Dr. Voßbein hervor.

„So ist summarisch betrachtet das Abrücken von der Forderung nach einem Passwortwechselzwang vor allem unter dem Gesichtspunkt der Informationssicherheit nicht zu empfehlen, da davon ausgegangen werden muss, dass die Offenlegung eines Passwortes häufig unbemerkt bleibt. Jedoch könnte aber eine Ausdehnung des Gültigkeitszeitraums in unkritischen Bereichen eines Unternehmens in Betracht gezogen werden“ resümiert Dr. Voßbein.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel