Passwortrichtlinie

 

Worum geht es?

Werden personenbezogene Daten mit Hilfe von Computern verarbeitet, so ist sicherzustellen, dass nur berechtigte Personen darauf zugreifen können und dies auch nur im erlaubten Umfang. Notwendig ist daher, dass sich derjenige, der auf personenbezogene Daten zugreifen will, zunächst gegenüber dem Computersystem identifiziert und seine Zugriffsberechtigung nachweist.

Die Regelungen einer Passwortrichtlinie befassen sich daher mit einem Schlüsselthema bei der Umsetzung von technischen und organisatorischen Maßnahmen, die eine sichere Zugangskontrolle gewährleisten und dadurch verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Die gesetzliche Notwendigkeit der Verwendung sicherer Passwörter findet sich in Art. 32 Abs. 2 der Datenschutz-Grundverordnung (DS-GVO) als eine zentrale Maßnahme der Sicherheit der Verarbeitung. Die Vorkehrungen durch ein starkes Passwort und eine Passwortrichtlinie dienen gleichermaßen dem Datenschutz und der Datensicherheit!

Anwendungsbereich und typische Probleme in der Praxis

Eine Zugangsauthentifizierung kann auf unterschiedliche Art und Weise eingerichtet werden. Kartengestützte (SmartCard, myDentity-Sticks etc.) und biometrische Anmeldeverfahren (Fingerprint) gewinnen zwar an Bedeutung, jedoch ist die gängige Form der Anmeldung an ein Datenverarbeitungssystem die Eingabe einer Benutzerkennung und eines Passworts.

Daher hat die Vergabe und Verwendung von Passwörtern nach wie vor große Bedeutung. Insbesondere für den Fall des Verlustes oder Diebstahls des Passwortes ist „das Einfallstor“ in ein Unternehmen oder eine soziale Einrichtung „sperrangelweit“ offen und einem Datenmissbrauch im wahrsten Sinne des Wortes Tür und Tor geöffnet.

Daher benötigt eine verantwortliche Stelle Regeln, wie Beschäftigte mit der Verwendung von Passwörtern umzugehen haben. Dabei ist dringend eine Unterscheidung zwischen Usern und Administratoren für die einzelnen Vorgaben vorzunehmen, da Admins in der Regel weit umfangreichere Zugriffsrechte haben.

Angemessene Maßnahmen zur Sicherheit der Verarbeitung werden in technische und organisatorische Maßnahmen unterteilt. Sind Unternehmen und soziale Einrichtungen in technischer Hinsicht noch gut aufgestellt, mangelt es aber oftmals an der 2. Perspektive, nämlich durch organisatorische Vorgaben (Richtlinien, Arbeitsanweisungen) verbindliches Handeln zu bewirken. Genau dieses erreicht eine Passwortrichtlinie, durch die der Verantwortliche übrigens auch nachweislich seiner Organisationsverpflichtung nachkommt.

Hier einige Aspekte für eine sichere Passwortverwendung:

  • Es sind individuelle Kennungen und Passwörter zu verwenden. Jeder Benutzer erhält ein eigenes Passwort, das nur von ihm benutzt werden darf. Passwörter, die von mehreren Personen benutzt werden (Gruppenpasswörter), sind zu vermeiden.
  • Ein Passwort ist geheim zu halten. Es darf nirgendwo aufgeschrieben und keiner anderen Person mitgeteilt werden. Hilfreich dazu ist die Verwendung von Passwort-Tresoren.
  • Triviale Passwörter sind zu vermeiden.
  • Ein Passwort muss aus mindestens zehn Zeichen bestehen.
  • Innerhalb des Passworts sollte mindestens ein Sonderzeichen enthalten sein. Es sollten sowohl Groß- als auch Kleinbuchstaben sowie Ziffern verwendet werden (4 aus 4 Kriterien-Regel).
  • Ein Passwort darf bei der Eingabe nicht am Bildschirm angezeigt werden.
  • Die Passwörter sind im Computer verschlüsselt zu speichern.
  • Die Passwortdatei ist gegen unberechtigtes Kopieren zu sichern.
  • Hat ein Systemverwalter einem Benutzer ein neues Passwort eingerichtet, so muss der Benutzer dieses auf einem sicheren Weg erhalten und das Start-Passwort bei seiner ersten Anmeldung ändern.
  • Ein Passwort ist regelmäßig zu ändern und das neue Passwort sollte sich von den früher verwendeten unterscheiden (Wiederverwendung vermeiden durch Ausschluss von (z.B. 5) Passwortgenerationen).
  • Ein Passwort muss umgehend geändert werden, wenn der Verdacht besteht, dass es einer anderen Person bekannt wurde.
  • Passwort-Änderungen müssen von den jeweiligen Benutzern selbst durchgeführt werden können.
  • Nach mehreren fehlerhaften Anmeldeversuchen unter derselben Benutzerkennung muss die Kennung für die weitere Benutzung gesperrt werden.
  • Anmeldefehlversuche sind zu protokollieren.
  • Alle Passwörter von System- oder Anwendungssoftware, die vom Hersteller voreingestellt wurden, sind nach der Installation des Systems umgehend zu ändern.

Für die Erstellung und die Erinnerung an ein Passwort empfehlen offizielle Stellen das Verwenden eines Merksatzes, aus dem sich das Passwort ergibt, oder die Nutzung eines Passwort-Generators, der mit der Anzahl gewünschter Stellen ein Passwort „willkürlich“ erstellt.

Beispiel des BSI (Bundesamt für Sicherheit und Informationstechnik) für einen Merksatz und das dazugehörige Passwort:

Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!“ ergibt das Passwort

AleiPm4Z+eK!

Obige Hinweise stellen nur einen Teil einer Passwortrichtlinie dar und sind im Detail noch weiter auszugestalten.

Gerne helfen wir Ihnen dabei, die unterschiedlichen Aspekte der Erstellung und Verwendung sicherer Passwörter in einer Richtlinie zu berücksichtigen. Sprechen Sie uns gerne an!

Hilfreiche Links:

  • Hinweise“ des LfDI BW (Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg)
  • Empfehlungen des BSI (Bundesamt für Sicherheit und Informationstechnik)
  • Link zum Video „Passwörter“

Verfasser: Thorsten Jordan, 24.09.2020