Das BSI kassiert seine eigene Empfehlung zum regelmäßigen Tausch von Passwörtern. Dies sollte jedoch nicht zu einem entspannteren Umgang mit IT-Sicherheit führen.
Wir haben gelernt: sichere Passwörter sind lang, beinhalten Sonderzeichen und werden regelmäßig geändert. IT-Nutzer, die sich mit dem Thema beschäftigt haben und diesen Grundsätzen gefolgt sind, waren im Allgemeinen schon recht weit vorn und haben zumindest nichts falsch gemacht. Jetzt ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) jedoch zu der Einschätzung gelangt, dass der regelmäßige Wechsel des Passworts nicht mehr notwendig ist. Was steckt dahinter? Gibt es Entwarnung für die Cybersicherheit?
Regelmäßiger Wechsel provoziert schwache Passwörter
Das BSI propagierte bis vor kurzem, dass Einwahldaten für E-Mail Accounts, Online-Bankkonten und auch andere Passwörter für IT-Systeme regelmäßig gewechselt werden sollten. In der neuen Version des BSI-Grundschutz-Kompendiums sind die Passagen mit diesen Empfehlungen nicht mehr vorhanden. Die Experten der Behörde treffen jetzt in demjenigen Abschnitt, der sich mit dem Passwortgebrauch beschäftigt, die Aussage, die Zugangsdaten nur noch zu verändern, wenn sie bereits in die Hände Dritter geraten sind oder auch nur geraten sein könnten. Darüber hinaus sind auch die in der Vergangenheit gepflegten Regeln für die Länge und Gestaltung der Passwörter gelöscht worden. Bereits seit Jahren existieren in der Szene der Sicherheitsexperten Diskussionen, die einen dogmatischen Umgang mit diesen Parametern eher kritisch sehen. Solche vorgefertigten Regeln sollen eher schaden als nützen. Wenn ein Passwort einmal gut aufgesetzt ist - durchaus auch unter Einbeziehung der Hinweise auf Länge und Komplexität - dann kann man es durchaus mehrere Jahre nutzen. Bei den Nutzern führt der kontinuierliche Austausch der Zugangsdaten eher dazu, dass schwache Passwörter ausgesucht oder diese immer nach dem gleichen Schema F erstellt werden.
Phrasen nutzen statt Schema F anwenden
Wie man sich denken kann, waren die Deutschen auch im Jahr 2019 nicht sehr kreativ bei der Wahl ihrer Passwörter. Dies besagt zumindest eine aktuelle Studie des Hasso-Plattner-Instituts. Wie schon im Vorjahr zählten die Zahlenfolgen 123456, 123456789 sowie 1234567 zu den beliebtesten Kennwörtern. Sie sind eine Einladung für jeden Hacker in die Systeme einzudringen und Kontodaten sowie weitere relevante Informationen zu stehlen. Es hilft also wenig, wenn man die ohnehin wenig zielführenden Passwörter regelmäßig tauscht. Auf die Qualität kommt es an, nicht auf die Häufigkeit. Das BSI ist mit seiner Neuausrichtung in diesem Zusammenhang recht spät dran. Schon 2016 empfahl beispielsweise das National Cyber Security Centre in Großbritannien, seine Passwörter nicht in festen Zyklen auszutauschen. 2017 folgte das National Institute of Standards and Technologie (NIST) in den USA. Die Organisation empfahl den Bürgern zu jener Zeit, Phrasen zu nutzen, um Passwörter zu erstellen. Diese wiederum sollte der Anwender dann jeweils nach einem Muster abändern, das nur er kennt.
Passwortschutz ist ein brandaktuelles Thema und Unternehmen sollten die neue Empfehlung des BSI bitte nicht falsch interpretieren. Es geht auf keinen Fall darum, dass sich die Sicherheitslage in irgendeiner Form entspannt hat. Es gibt keine Entwarnung.