Die technikaffinen Menschen haben es schon immer gepredigt, dass häufige Passwortwechsel der Sicherheit nicht zwingend zuträglich sind.
In Deutschland hielten die Hüter des Stands der Technik dagegen, sprich das Bundesamt für Sicherheit für Informationstechnik (BSI) und propagierten den Zwang zum Wechseln von Passwörtern.
Nachdem das US-Pendant zum BSI bereits letztes Jahr von dieser Vorgabe abgerückt ist und auch einzelne Datenschutzaufsichtsbehörden in Deutschland einen Passwortwechsel-Zwang nicht mehr empfehlen, ist im Februar 2020 auch das BSI dieser Empfehlung gefolgt.
In der Neuauflage des IT-Grundschutzkompendiums wird von einem Passwortwechsel-Zwang abgeraten. Wörtlich heißt es dort im betreffenden Baustein „ORP.4.A23“:
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.
Da diese Standards auch mit hoher Wahrscheinlichkeit bei Gericht von bestellten Sachverständigen zugrunde gelegt werden, rate ich eine Umstellung der Systeme oder Applikationen vorzunehmen, bei denen bislang ein zeitgesteuerter Passwortwechsel vorgesehen ist.
Häufig sieht eine Sicherheitsrichtlinie auf Server-Betriebssystem-Ebene wie z. B. im Active Directory eine Pflicht für Benutzer vor, ihre Passwörter nach einem bestimmten Zeitraum zu wechseln.
Da dieses Vorgehen nun grundsätzlich nicht mehr dem Stand der Technik entspricht, sollte dieses umgehend geändert und der Wechselzwang abgeschafft werden.
Auch für die Wahl von Passwörtern sind die Vorgaben im Baustein ORP.4.A22 angepasst worden:
In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.
Wichtig: Das BSI sieht es als ein MUSS an, dass Maßnahmen getroffen werden, die ein Erkennen einer Kompromittierung von Passwörtern erkennen:
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.
Dies kann z.B. dadurch realisiert werden, dass ein Abgleich mit dem „Identity Leak Checker“ des Hasso Plattner Instituts oder einer vergleichbaren Datenbank erfolgt.
Nur wenn eine Maßnahme der Erkennung von Kompromittierung nicht möglich sein sollte (was schwerlich zutreffen dürfte), darf ein Passwortwechsel-Zwang erwogen werden.
Wir empfehlen gerade allen Kunden, diese Maßnahmen zügig anzupassen, um keine Haftungsrisiken entstehen zu lassen.
Was ist zu tun?
Prüfen Sie, ob es eine Richtlinie gibt, in der ein Passwortwechsel-Zwang geregelt ist. Falls ja, prüfen Sie bitte, ob dieses technisch umgesetzt ist.
Anschließend sollten die Richtlinie und die technische Umsetzung den Vorgaben angepasst werden.
Sofern dies eine Maßnahme ist, die auch in den TOM beschrieben ist, wären hier auch die Verantwortlichen (Auftraggeber) darauf hinzuweisen.
Neben der o. g. Plattform des HPI gibt es noch eine andere Plattform auf der man Passwörter prüfen kann, ohne Angabe eines Namens und einer Mail-Adresse. Im Ergebnis erhält man einen ersten Hinweis auf die Sicherheit des Passworts: https://haveibeenpwned.com/Passwords
Im negativen Fall heißt das natürlich noch nicht, dass sein eigenes Passwort tatsächlich kompromittiert wurde.
Es gibt Benutzern lediglich den Hinweis, dass das übermittelte Passwort auf Passwortlisten auftaucht, die für Brute-Force-Angriffe (Wörterbuchattacken) verwendet werden. Aber der zum überprüften Kennwort zugehörige Account ist zumindest als „potenziell gefährdet“ einzustufen und das eventuell kompromittierte Passwort sollte dann unverzüglich geändert werden.
Sofern das Passwort nicht in der Datenbank der Web-Anwendung gefunden wurde, kann man davon ausgehen, dass es sicher ist.
Der Dienst wird übrigens auch vom BSI empfohlen.
Unternehmen, die Microsoft Office 365 einsetzen können in einigen Lizenzplänen viele dieser (und weiterer) Maßnahmen mit „Phishing Attack Simulator“ testen.
Hier lässt sich zum Beispiel innerhalb des Azure Active Directory eine Brute-Force- oder Spray-Attacke gegen die verwendeten Passwörter der Benutzer fahren. Hierbei wird gegen eine Anzahl von Benutzerkonten eine Attacke mit bis zu 30.000 Passwörtern simuliert. Im Ergebnis erhalten Sie eine Übersicht wie viele Benutzer ein kritisches Passwort verwenden.
Vor allem lassen sich mit diesem Tool auch Phishing-Attacken simulieren, die im Ergebnis den Schulungs- / Informationsbedarf im Unternehmen ausweisen.
Des Weiteren sollte weiterhin eine der ersten Maßnahmen zur Erhöhung der IT-Sicherheit die Umsetzung einer Multifaktor-Authentifizierung sein. Hierdurch lässt sich die Sicherheit von Cloud-Identitäten um bis zu 99 % erhöhen.