Ändere-dein-Passwort-Tag? Besser nicht!

Heute ist Ändere-dein-Passwort-Tag! Das heißt aber noch lange nicht, dass regelmäßiger Passwortwechsel eine gute Idee ist: Wer sich regelmäßig neue Passworte merken muss, wird einfachere, leichter zu erratende wählen. Der GAU dabei ist der vierteljährlich erzwungene Windows-Passwort-Wechsel, mit dem IT-Abteilungen IT-Sicherheit vorgaukeln. Ergebnis: An das Passwort wird alle drei Monate eine neue Zahl angehängt. Sicherheitsgewinn: keiner.

Ein stilisiertes Passwort-Eingabe-Feld
Bildquelle: Christiaan Colen (Flickr), „Computer login“, CC BY-SA 2.0.

Gegen akute Angriffe nützt ein regelmäßiger Passwortwechsel auch nichts: Wenn ein Passwort kompromittiert ist, dann wird das sofort genutzt – und nicht erst nach dem jährlichen Passwortwechsel. Dennoch ist der jährliche Passwort-Tag eine gute Gelegenheit, sich Gedanken über den eigenen Umgang mit Passworten zu machen.

Was ist besser als ein regelmäßiger Passwortwechsel?

  • Ein Passwort sollte immer ausschließlich für einen einzigen Dienst genutzt werden: Wenn ein Anbieter gehackt wird, reicht es, dort neue Zugangsdaten zu vergeben – wird überall das gleiche Passwort genutzt, können Leaks von Passworten eines Dienstes erfolgreich bei anderen, besser geschützten ausprobiert werden.
  • Einen Passwort-Manager verwenden – wer einmalige Passworte verwendet, wird sie sich nicht merken können. Ein Passwortmanager nimmt diese Arbeit ab, kümmert sich um die sichere Speicherung und kann Passworte sowohl in sicherer Form generieren und Zugangsdaten automatisch ausfüllen.
  • Zwei-Faktor-Authentifizierung aktivieren – mittlerweile können bei vielen Diensten (auch den großen Social-Media-Diensten) über das Passwort hinaus Zugangskontrollen eingebaut werden. Zwei-Faktor-Authentifizierung ergänzt das Passwort (etwas, das man weiß) mit einem weiteren Authentifizierungsmechanismus (etwas, das man hat, wie einen Fingerabdruck oder einen Code-Generator). Meistens werden dafür entweder SMS (unsicher, da unverschlüsselt und angriffsanfällig, aber besser als nichts) oder Code-Generator-Apps verwendet. Klingt kompliziert – die großen Dienste wie Facebook, Instagram, Google oder Twitter führen aber recht komfortabel durch die Einrichtung.
  • Sichere Passworte, die man sich merken kann – klar kann man komplizierte Zufallspassworte zufällig generieren lassen. Aber wer soll sich sowas merken? (Und trotz Passwortmanager braucht man ein paar dann doch auswendig – etwa das für den Passwortmanager oder das für die Anmeldung am Rechner.) Besser als ein kurzes, kompliziertes ist ein langes, aber merkbares Passwort, das aus mehreren zufällig (!) ausgewählten Wörtern besteht. Die Mathematik dahinter erklärt XKCD, einen Zufallsgenerator hat Sven Büchler.

Wann sollte man ein Passwort ändern?

Wenn die Gefahr besteht, dass es kompromittiert wurde – wenn Listen mit Passworten in falsche Hände gekommen sind, wenn Geräte abhanden gekommen sind, auf denen Passworte gespeichert waren, wenn bei gemeinsam genutzten Passworten Menschen keinen Zugriff mehr haben sollen (etwa bei Personalwechsel). Außerdem sollte man einen letzten Ändere-dein-Passwort-Tag veranstalten, um einheitliche Passworte in jeweils verschiedene zu ändern und allzu einfache durch bessere ersetzen.

Passwortwechsel im kirchlichen Datenschutz

Dass Passwortwechsel keine gute Idee sind, ist unter IT-Sicherheitsexpert*innen schon lange Konsens – bis sich das in Richtlinien herumgesprochen hat, hat es leider länger gedauert. Das US-amerikanische National Institute of Standards and Technology (NIST) hat den Verzicht auf Passwortwechsel erst 2017 in seine Richtlinien aufgenommen, sein deutsches Pendant, das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogar erst 2020. Deshalb taten und tun sich deutsche IT-Abteilungen (auch die der Kirchen) sehr schwer damit, den Passwortwechsel abzuschalten: Das BSI-Grundschutz-Kompendium ist so etwas wie der Katechismus der IT-Sicherheit, und die Reform aus dem vergangenen Jahr hat sich noch nicht überall herumgesprochen. Wer gegenüber einer IT-Abteilung gegen Passwortwechsel argumentieren will, hat mit der aktuellen Fassung der Passwortrichtlinien wohl die besten Argumente in der Hand.

Im kirchlichen Datenschutz ist leider Passwortwechsel für manche Anwendungen vorgeschrieben: Die Durchführungsverordnung zum katholischen KDG sieht eine »Erneuerung in regelmäßigen Abständen möglichst systemseitig« für personenbezogene Daten der Datenschutzklasse II vor. (§ 12 Abs. 2 lit. a) KDG-DVO) Beispiele für Schutzklasse II sind Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten – das ist schnell erreicht. Allerdings dürfen auch alternativ zum Wechsel andere »dem aktuellen Stand der Technik und dem jeweiligen Sicherheitsbedarf entsprechende[] Authentifizierungsverfahren[]« verwendet werden – also beispielsweise Zwei-Faktor-Authentifizierung.

Im evangelischen Recht wird nur in der Begründung zur IT-Sicherheitsverordnung auf Schutzbedarfskategorien hingewiesen. In der dort angeführten Kategorie »Hoch« wird ein Passwortwechsel vorgeschlagen – allerdings mit Verweis auf Schutzbedarfskategorien des BSI und nur beispielhaft; hier lässt sich also deutlich einfacher argumentieren, dass nicht die veraltete Begründung, sondern das aktuelle BSI-Grundschutz-Kompendium herangezogen werden sollte. Im Recht der Landeskirchen findet sich kaum etwas Einschlägiges. Ausführlich scheint sich dazu nur die Evangelische Kirche von Westfalen in einem Rundschreiben mit Hinweisen zum Umgang mit Passwörtern von 2015 geäußert zu haben – damals noch mit Wechselgebot.

Fazit

»Ändere dein Passwort« ist in dieser Pauschalität nicht sinnvoll. Den Passwort-Tag kann man aber trotzdem für einfache Schritte in der eigenen IT-Sicherheit nutzen: Zum Beispiel wichtige Accounts mit Zwei-Faktor-Authentifizierung schützen, einen Passwort-Manager installieren und mehrfach verwendete Passworte auszutauschen.

Dieser Beitrag wurde am von in Praxis veröffentlicht. Schlagworte: , .

Über Felix Neumann

Felix Neumann ist Journalist und berichtet hauptsächlich über kirchliche Themen. Der Politikwissenschaftler hat die Qualifizierung zum Betrieblichen Datenschutzbeauftragten (IHK) absolviert und berät freiberuflich kirchliche Verbände und Institutionen zu praktischen Fragen des Datenschutzes und durch Datenschutzschulungen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.