Passwortsicherheit ist ein eines der zentralen Themen der technischen und organisatorischen Ma\u00dfnahmen. Die Anmeldung mit Nutzernamen und Passwort ist dabei das g\u00e4ngigste Verfahren zur Authentifizierung. <\/p>\n\n\n\n
Um das Risiko, dass Passw\u00f6rter von Dritten auf irgendeine Weise ermittelt werden k\u00f6nnten zu reduzieren, sind die Nutzer verpflichtet starke Passw\u00f6rter zu w\u00e4hlen und Hersteller & Administratoren sichere Vorgaben zu machen. Ungen\u00fcgend sicher gespeicherte Passw\u00f6rter sind ein Versto\u00df gegen Artikel 32 DSGVO und k\u00f6nnen mit Bu\u00dfgeldern geahndet werden.<\/p>\n\n\n\n
Ein aktuell wichtiges Thema: Es wird NICHT mehr empfohlen die Passw\u00f6rter in regelm\u00e4\u00dfigen Abst\u00e4nden zu \u00e4ndern. Passwort\u00e4nderungen sind nur dann sinnvoll, wenn tats\u00e4chlich eine Kompromittierung stattgefunden hat. Dies sollte dann umgehend und nicht erst nach Ablauf einer bestimmten Frist erfolgen.<\/p>\n\n\n\n
Hier fassen wir einige wichtige Empfehlungen zur Passwortwahl zusammen:<\/strong><\/p>\n\n\n\n 1) starke Passw\u00f6rter w\u00e4hlen<\/p>\n\n\n\n 2) Passw\u00f6rter niemals doppelt verwenden Die Empfehlung Passw\u00f6rter in regelm\u00e4\u00dfigen Abst\u00e4nden zu \u00e4ndern, gilt als \u00fcberholt. Diese Ma\u00dfnahme f\u00fchrt nicht zu mehr Sicherheit, sondern in Regel zur Vereinfachung der vergebenen Passw\u00f6rter durch den Nutzer. Daher soll die Passwortrichtlinie nicht mehr den Nutzer auffordern Passw\u00f6rter in regelm\u00e4\u00dfigen Abst\u00e4nden zu \u00e4ndern. Nur bei Anzeichen einer Kompromittierung sollten Nutzer Passw\u00f6rter \u00e4ndern bzw. zu einer \u00c4nderung aufgefordert werden.<\/p>\n\n\n\n Demnach sollten in die Passwortrichtlinie folgende Hinweise eingebunden sein:<\/strong><\/p>\n\n\n\n 1) Keine regelm\u00e4\u00dfige \u00c4nderung der Passw\u00f6rter erzwingen. Weitere Informationen zum Thema Passwortvergabe finden Sie z.B. hier:<\/strong><\/p>\n\n\n\n 1) Datenschutzkonferenz<\/a><\/p>\n\n\n\n 2) LfDI Baden-W\u00fcrttemberg <\/a><\/p>\n\n\n\n 3) aktuelle BSI Richtlinie 2019:<\/p>\n\n\n\n ORP.4: 3.1 Basis Anforderungen<\/p>\n\n\n\n ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, Leiter IT]:<\/p>\n\n\n\n
3) Passwort-Safe zur Speicherung der Passw\u00f6rter verwenden
4) Passwort nicht weitergeben und unverschl\u00fcsselt versenden
5) Standard-Passw\u00f6rter bei Inbetriebnahme von Ger\u00e4ten sofort \u00e4ndern
7) Zwei-Faktor-Authentifizierung nutzen
Dabei wird ein zweiter Faktor (z.B. 2. Passwort) auf einem anderen Kommunikationsweg \u00fcbertragen, so dass ein besserer Schutz vor Angriffen gegeben ist.
8) Passw\u00f6rter NICHT in regelm\u00e4\u00dfigen Abst\u00e4nden \u00e4ndern<\/p>\n\n\n\n
2) ggf. Account-Sperrung nach mehreren fehlgeschlagenen Anmeldeversuchen je nach Umgebung.
3) Passw\u00f6rter auf keinen Fall im Klartext speichern, sondern mit modernen Verfahren wie z.B. Argon2. In der Regel sollten daf\u00fcr existierende Software-Bibliotheken und etablierte Verfahren zur Speicherung verwendet werden.
4) Besonders gesicherte Speicherung von Passwort-Datenbanken mit m\u00f6glichst eingeschr\u00e4nkten Zugriffsrechten f\u00fcr nur ausgew\u00e4hlte Mitarbeiter ist zwingend erforderlich.
5) Implementation einer Zwei-Faktor-Authentifizierung soweit m\u00f6glich. Zur Zwei-Faktor-Authentifizierung sollten etablierte Standards wie RFC 6238 oder Time-based One-time Password Algorithmus<\/em> (TOTP) genutzt werden.
6) \u00c4nderung vorangestellter Passw\u00f6rter erzwingen.
7) Fehlgeschlagene Anmeldeversuche sollten protokolliert und regelm\u00e4\u00dfig analysiert werden, da sie ein Zeichen f\u00fcr ein Eindringversuch sein k\u00f6nnten.
8) Keine fremden Passw\u00f6rter sammeln. Online-Dienst-Anbieter d\u00fcrfen grunds\u00e4tzlich keine fremden Passw\u00f6rter verarbeiten. Ger\u00e4te, die sich z.B. in lokalen WLAN-Netzen anmelden, d\u00fcrfen die Zugangsdaten zu diesen auf keinen Fall an den Hersteller oder Dritte \u00fcbertragen, weder im Klartext noch in sonstiger Form.<\/p>\n\n\n\n