Neuigkeiten aus der Zertifizierwelt
Neuigkeiten aus der Zertifizierwelt
Das Bundesamt für Sicherheit in der Informationstechnik hat seine Empfehlung für den präventiven Passwortwechsel geändert. Wie sollen Unternehmen jetzt mit dem Thema „Passwort“ umgehen? Antworten hat TÜV SÜD-IT-Experte Alexander Häußler.
Das BSI empfiehlt im neuen Grundschutz-Kompendium keinen präventiven regelmäßigen Wechsel des Passworts mehr. Speziell im Rahmen eines Informationssicherheits-Managementsystems (ISMS) lohnen eine Überprüfung und ein Blick auf die eigenen Prozesse.
Zunächst stellt sich die Frage, warum Passwörter eingesetzt werden und was das Schutzziel ist – Vertraulichkeit oder Verfügbarkeit? Ein Beispiel: Im Krankenhaus am PC in der Notaufnahme, wo tatsächlich jede Sekunde zählt, wäre ein hoch komplexes 20-stelliges Passwort übertrieben. Denn die Gefahr des Vergessens oder des Vertippens ist viel zu hoch. Beim Zugriff auf hochkritische Unternehmensdaten hingegen findet ein solches Passwort allerdings schon Akzeptanz. Ein ISMS hilft bei der Einordnung, wie schützenswert die Informationen sind. Steht die Vertraulichkeit ganz oben, bietet sich ein kompliziertes Passwort an, ist die Verfügbarkeit entscheidend, sind Abstriche sinnvoll. Die ISO/IEC 27001 fordert, dass Organisationen den konkreten Anwendungsfall betrachten und dann abwägen, anstatt in den Richtlinien stets eine hohe Komplexitätsstufe bei Passwörtern vorzugeben – auch wenn das in der Mehrzahl der Fälle sicher richtig ist. Im Falle der Notaufnahme wären beispielsweise physische Schutzmaßnahmen sinnvoll, die verhindern, dass der Rechner für die Patientenaufnahme frei zugänglich ist. Zudem sollte dieser PC vom restlichen Netzwerk weitgehend abgekoppelt sein, damit sich im Fall der Fälle darüber keine weiteren Daten abgreifen lassen. Ein ISMS fordert eine ganzheitliche Betrachtung der Situation und gegebenenfalls die Umsetzung kompensierender Maßnahmen.
In zwei Fällen sollten Nutzer das Passwort immer ändern. Erstens, wenn ein Gerät oder Account erstmals in Betrieb genommen wird. Dazu fordert das System den Anwender im besten Fall direkt auf. Der zweite Fall: Sobald der Verdacht besteht, dass Dritte in den Besitz des Passworts gekommen sind. Ein gutes Passwort muss auch nicht so häufig geändert werden. Im Endeffekt ist es immer eine Risikoabwägung – Schutz versus Aufwand. Je komplexer das Passwort, desto stärker der Schutz. Im Privatbereich lieber länger ein starkes Passwort verwenden, als sich mit ständig wechselnden einfachen Passwörter zu behelfen.
Grundsätzlich sollten sich Unternehmen in der heutigen Zeit bei sensibleren Daten nicht auf das Passwort als alleiniges Schutzmerkmal beschränken. Bei wertvollen Daten empfiehlt sich eine Zwei-Faktor-Authentifizierung. Der TISAX-Standard für IT-Sicherheit in der Automobilindustrie zum Beispiel fordert genau das für Daten mit sehr hohem Schutzbedarf. Als zweiter Faktor bieten sich biometrische Merkmale wie Fingerabdruck oder Gesichtsscanner an. Alternativ gibt es auch USB-Lösungen wie FIDO 2, die ähnlich wie eine Smartcard plus PIN funktionieren. Und wenn Unternehmen die Passwortänderungspflicht aufheben, ist es sinnvoll, sich über zusätzliche mitigierende Maßnahmen Gedanken zu machen – und zum Beispiel die Komplexitätsanforderungen an das Passwort zu erhöhen. Aufseiten der IT gilt zudem: Anomalieerkennung und Log-File-Auswertung sind ein Muss, um nach Mustern und merkwürdigem Verhalten Ausschau zu halten. Das fordert auch ein ISMS.
Ein gutes Passwort sollte nicht über eine Wörterbuchsuche erratbar sein, und auch eine 3 für ein E oder ein L durch eine 1 stellt Hacker nicht mehr vor größere Herausforderungen. Ein Tipp: lange Sätze verwenden, so dass sie sich kaum mehr erraten lassen und idealerweise auch gar keinen Sinn ergeben. Oder Anfangsbuchstaben aus den einzelnen Worten eines Satzes verwenden – mit Sonderzeichen, Zahlen und Klein- sowie Großbuchstaben. Umlaute sollte man meiden, diese finden sich oft nicht in ausländischen Tastaturlayouts und außerdem kommen einige Systeme damit überhaupt nicht zurecht. Vorsicht ist allerdings bei komplexen Passwörtern geboten, bei denen man die Zeichen aufwendig auf der Tastatur suchen muss. Denn dabei steigt zum Beispiel im Zug oder im Café die Gefahr, dass jemand die Eingabe beobachtet – das sogenannte „Shoulder surfing“.
Weitere Informationen rund um die ISO/IEC 27001 finden Sie auf unserer ISO 27001-Webseite
Ansprechpartner: Alexander Häußler, Product Compliance Manager, TÜV SÜD Management Service GmbH
Ausgewiesene Informationssicherheit nach ISO/IEC 27001
Erfahren Sie mehr
Unsere ISO/IEC 27001 Case Studies informieren über die Vorteile einer Zertifizierung.
Erfahren Sie mehr