Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Value Newsletter

Neuigkeiten aus der Zertifizierwelt

Wie oft Passwörter ändern?

Das Bundesamt für Sicherheit in der Informationstechnik hat seine Empfehlung für den präventiven Passwortwechsel geändert. Wie sollen Unternehmen jetzt mit dem Thema „Passwort“ umgehen? Antworten hat TÜV SÜD-IT-Experte Alexander Häußler.

Das BSI empfiehlt im neuen Grundschutz-Kompendium keinen präventiven regelmäßigen Wechsel des Passworts mehr. Speziell im Rahmen eines Informationssicherheits-Managementsystems (ISMS) lohnen eine Überprüfung und ein Blick auf die eigenen Prozesse.

Sollten Unternehmen jetzt Ihre Passwort-Richtlinien ändern?

Zunächst stellt sich die Frage, warum Passwörter eingesetzt werden und was das Schutzziel ist – Vertraulichkeit oder Verfügbarkeit? Ein Beispiel: Im Krankenhaus am PC in der Notaufnahme, wo tatsächlich jede Sekunde zählt, wäre ein hoch komplexes 20-stelliges Passwort übertrieben. Denn die Gefahr des Vergessens oder des Vertippens ist viel zu hoch. Beim Zugriff auf hochkritische Unternehmensdaten hingegen findet ein solches Passwort allerdings schon Akzeptanz. Ein ISMS hilft bei der Einordnung, wie schützenswert die Informationen sind. Steht die Vertraulichkeit ganz oben, bietet sich ein kompliziertes Passwort an, ist die Verfügbarkeit entscheidend, sind Abstriche sinnvoll. Die ISO/IEC 27001 fordert, dass Organisationen den konkreten Anwendungsfall betrachten und dann abwägen, anstatt in den Richtlinien stets eine hohe Komplexitätsstufe bei Passwörtern vorzugeben – auch wenn das in der Mehrzahl der Fälle sicher richtig ist. Im Falle der Notaufnahme wären beispielsweise physische Schutzmaßnahmen sinnvoll, die verhindern, dass der Rechner für die Patientenaufnahme frei zugänglich ist. Zudem sollte dieser PC vom restlichen Netzwerk weitgehend abgekoppelt sein, damit sich im Fall der Fälle darüber keine weiteren Daten abgreifen lassen. Ein ISMS fordert eine ganzheitliche Betrachtung der Situation und gegebenenfalls die Umsetzung kompensierender Maßnahmen.

Wann sollten Passwörter geändert werden?

In zwei Fällen sollten Nutzer das Passwort immer ändern. Erstens, wenn ein Gerät oder Account erstmals in Betrieb genommen wird. Dazu fordert das System den Anwender im besten Fall direkt auf. Der zweite Fall: Sobald der Verdacht besteht, dass Dritte in den Besitz des Passworts gekommen sind. Ein gutes Passwort muss auch nicht so häufig geändert werden. Im Endeffekt ist es immer eine Risikoabwägung – Schutz versus Aufwand. Je komplexer das Passwort, desto stärker der Schutz. Im Privatbereich lieber länger ein starkes Passwort verwenden, als sich mit ständig wechselnden einfachen Passwörter zu behelfen.

Wie lässt sich eine höheres Schutzniveau erreichen?

Grundsätzlich sollten sich Unternehmen in der heutigen Zeit bei sensibleren Daten nicht auf das Passwort als alleiniges Schutzmerkmal beschränken. Bei wertvollen Daten empfiehlt sich eine Zwei-Faktor-Authentifizierung. Der TISAX-Standard für IT-Sicherheit in der Automobilindustrie zum Beispiel fordert genau das für Daten mit sehr hohem Schutzbedarf. Als zweiter Faktor bieten sich biometrische Merkmale wie Fingerabdruck oder Gesichtsscanner an. Alternativ gibt es auch USB-Lösungen wie FIDO 2, die ähnlich wie eine Smartcard plus PIN funktionieren. Und wenn Unternehmen die Passwortänderungspflicht aufheben, ist es sinnvoll, sich über zusätzliche mitigierende Maßnahmen Gedanken zu machen – und zum Beispiel die Komplexitätsanforderungen an das Passwort zu erhöhen. Aufseiten der IT gilt zudem: Anomalieerkennung und Log-File-Auswertung sind ein Muss, um nach Mustern und merkwürdigem Verhalten Ausschau zu halten. Das fordert auch ein ISMS.

Wie sieht ein gutes Passwort aus?

Ein gutes Passwort sollte nicht über eine Wörterbuchsuche erratbar sein, und auch eine 3 für ein E oder ein L durch eine 1 stellt Hacker nicht mehr vor größere Herausforderungen. Ein Tipp: lange Sätze verwenden, so dass sie sich kaum mehr erraten lassen und idealerweise auch gar keinen Sinn ergeben. Oder Anfangsbuchstaben aus den einzelnen Worten eines Satzes verwenden – mit Sonderzeichen, Zahlen und Klein- sowie Großbuchstaben. Umlaute sollte man meiden, diese finden sich oft nicht in ausländischen Tastaturlayouts und außerdem kommen einige Systeme damit überhaupt nicht zurecht. Vorsicht ist allerdings bei komplexen Passwörtern geboten, bei denen man die Zeichen aufwendig auf der Tastatur suchen muss. Denn dabei steigt zum Beispiel im Zug oder im Café die Gefahr, dass jemand die Eingabe beobachtet – das sogenannte „Shoulder surfing“.

Weitere Informationen rund um die ISO/IEC 27001 finden Sie auf unserer ISO 27001-Webseite

Ansprechpartner: Alexander Häußler, Product Compliance Manager, TÜV SÜD Management Service GmbH

Das könnte Sie auch interessieren

IT Management

ISO/IEC 27001 ISMS-Zertifizierung

Ausgewiesene Informationssicherheit nach ISO/IEC 27001

Erfahren Sie mehr

Factsheet ISO 27001
Flyer

Factsheet ISO/IEC 27001

Erfahren Sie, wieso die Norm ISO/IEC 27001 wichtig für Ihr Unternehmen ist.

Download

TISAX Informationssicherheit für die Automobilbranche beim TÜV SÜD
Flyer

Factsheet TISAX

In unserem Factsheet finden Sie die wichtigsten Informationen zu TISAX.

Download

Voith ISO 27001
Case Study

Voith Digital Solutions

Die ISO/IEC 27001 Norm ist für das internationale Geschäft ein Muss.

Download

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German

Global

Americas

Asia

Europe

Middle East and Africa