Zum Inhalt springen
Home » Datenschutz-News » BSI ändert Richtlinien zur Passwortvergabe in aktuellem IT-Grundschutz Katalog

BSI ändert Richtlinien zur Passwortvergabe in aktuellem IT-Grundschutz Katalog

ein Beitrag von Christoph Stauffer IT-Beratung

Das Bundesamt für Sicherheit in der Informationstechnik („BSI“) hatte bis dato in seinem IT-Grundschutz-Kompendium das vorsorgliche, regelmäßige Ändern von Passwörtern fest verankert. In der neuen 2020er-Ausgabe enthält das Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) nun diese Empfehlung nicht mehr. Allerdings muss man ein Passwort spätestens bei einem Verdacht auf Missbrauch gemäß BSI-Richtlinien ändern.

Damit schlägt das BSI endlich den Weg ein, den ich mir schon seit Jahren wünsche und meinem „IT-Umfeld“ vermittle. Keine einheitlichen, sondern unterschiedliche und sichere Passwörter bei verschiedenen Anmeldungen verwenden und diese eben nur ändern, wenn der Verdacht auf eine Kompromittierung des entsprechenden Accounts bzw. Passworts besteht. Zudem sollte man, wo möglich, eine Zwei-Faktor-Authentifizierung für eine erhöhte Sicherheit verwenden und seine Passwörter in einem Passwort-Manager sicher unter Verschluss halten.

Was müssen Unternehmen beachten?

Nachfolgend zudem noch der Original-Auszug aus dem BSI IT-Grundschutz-Kompendium:

ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, IT-Betrieb] (B)

Die Institution MUSS den Passwortgebrauch verbindlich regeln (siehe auch ORP.4.A22 Regelung zur Passwortqualität und ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme). Dabei MUSS geprüft werden, ob Passwörter als alleiniges Authentisierungsverfahren eingesetzt werden sollen, oder ob andere Authentisierungsmerkmale bzw. -verfahren zusätzlich zu oder anstelle von Passwörtern verwendet werden können.

Passwörter DÜRFEN NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden. Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden. Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR dem Benutzer persönlich bekannt sein. Passwörter DÜRFEN NUR unbeobachtet eingegeben werden. Passwörter DÜRFEN NICHT auf programmierbaren Funktionstasten von Tastaturen oder Mäusen gespeichert werden. Ein Passwort DARF NUR für eine Hinterlegung für einen Notfall schriftlich fixiert werden. Es MUSS dann sicher aufbewahrt werden. Die Nutzung eines Passwort-Managers SOLLTE geprüft werden. Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.

Weitere Informationen zu dem Thema

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang.html

Gefälschte Mails, in denen von einem IT-Administrator oder Online-Dienst die Aufforderung zur zeitnahen Passwort-Änderung auf Grund eines vermeintlichen Hackerangriffs enthalten ist, sind leider keine Seltenheit mehr. Mit diesem so genannten Social- Engineering wird versucht an Passwörter von Benutzern zu gelangen. Es gilt also: bei solchen E-Mails zunächst deren Echtheit sicherstellen bzw. prüfen und nicht aus Panik womöglich sein Passwort durch die vermeintliche Passwort-Änderung preisgeben.

Bildnachweis für diesen Beitrag: © hkama – stock. adobe. com