Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Der Gedenktag wurde 2013 durch den Chip-Hersteller Intel ins Leben gerufen. Anders als der Ändere-dein-Passwort-Tag am 1. Februar mit seiner unsinnigen und gefährlichen Botschaft geht es heute erst einmal nur neutral um Passwort-Sicherheit.

Datensicherheit ist auch im kirchlichen Datenschutz wichtig. Das kirchliche Datenschutzrecht überlässt die konkrete Ausgestaltung von technischen und organisatorischen Maßnahmen aber weitgehend den jeweiligen Verantwortlichen. Nur wenige Normen beziehen sich explizit auf Passwörter – und die sind leider nicht immer gelungen.

Passwörter im katholischen Datenschutzrecht

Die Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutzgesetz ist seit ihrem Beschluss im November 2018 unverändert. Sie regelt verhältnismäßig detailliert technische und organisatorische Maßnahmen, darunter auch die Gestaltung von verschiedenen Schutzniveaus.

Kennwörter werden dabei bei allen Datenschutzklassen erwähnt: Bei Datenschutzklasse I wird als Mindestvoraussetzung ein »geeignetes benutzerdefiniertes Kennwort« zur Anmeldung an IT-Systemen gefordert, andere dem aktuellen Stand der Technik und dem jeweiligen Sicherheitsbedarf entsprechende Authentifizierungsverfahrens sind zulässig (§ 11 Abs. 2 lit. b) KDG-DVO). Ab Datenschutzklasse II kommt eine weitere Anforderung dazu. Die regelmäßige Erneuerung des Passworts muss »in regelmäßigen Abständen möglichst systemseitig vorgesehen werden« (§ 12 Abs. 2 lit. b) KDG-DVO). Auch hier sind alternative Authentifizierungsverfahren nach Stand der Technik zulässig.

Durch die KDG-DVO wird leider ein veralteter Stand im Recht konserviert: Die Anordnung eines regelmäßigen Passwortwechsels sorgt nicht für mehr Sicherheit, sondern dafür, dass einfachere Passwörter gewählt werden (indem zum Beispiel bei einfachen Passwörtern Zähler hochgezählt werden) oder Passwörter ungeschützt notiert werden. Leider hat sich auch das BSI erst 2020 dazu durchgerungen, im Grundschutz-Kompendium im Abschnitt ORP.4 Identitäts- und Berechtigungsmanagement auf die Empfehlung eines regelmäßigen Wechsels zu verzichten. Stattdessen sollen Passwörter nur geändert werden, wenn tatsächlich etwas dafür spricht, dass sie kompromittiert wurden.

Die katholische Rechtslage ist ärgerlich: Die Durchführungsverordnung schlägt als Regelmaßnahme für höheren Schutzbedarf eine Maßnahme vor, die das Schutzniveau tatsächlich senkt. Immerhin: Eine Lösung nach Stand der Technik ist zulässig. Das sollte immer Priorität haben. Sicher ist, dass Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung oder Passkeys diese rechtliche Anforderung erfüllen. Fraglich ist, ob der bloße Verzicht auf angeordnete Wechsel unter Verweis auf den im BSI-Grundschutz-Kompendium niedergelegten Stand der Technik KDG-DVO-konform ist.

Passwörter im evangelischen Datenschutzrecht

Zum DSG-EKD gibt es keine einheitliche Ausführungsverordnung. Einschlägig ist die IT-Sicherheitsverordnung, die zwar älter als die KDG-DVO ist, dennoch aber ein zeitgemäßeres Passwort-Management befördert. Ausdrücklich geht es in der ITSVO-EKD nicht um Passwörter. Stattdessen wird geregelt, dass sich der Sicherheitsstandard »an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Informationssicherheit und zum IT-Grundschutz« oder vergleichbaren Sicherheitsstandards orientieren muss (§ 1 Abs. 3 ITSVO-EKD).

Der dynamische Verweis auf den BSI-Grundschutz bezieht damit die aktualisierte Empfehlung zum Identitäts- und Berechtigungsmanagement automatisch mit ein. Die in der nichtamtlichen Begründung zur ITSVO-EKD ausgesprochene Empfehlung zum Passwortwechsel kann man also getrost als veraltet ignorieren.

Fazit

Wer Passwort-Konzepte im kirchlichen Bereich entwirft, tut gut daran, die Maßgaben des BSI-Grundschutzes umzusetzen. Eine Empfehlung daraus dürfte wohl in den meisten kirchlichen Einrichtungen noch nicht umgesetzt sein: »Die Nutzung eines Passwort-Managers SOLLTE geprüft werden.« Bisher kommt wohl bestenfalls der Passwort-Speicher im Browser zur Anwendung.

Für Anwender*innen hat das BSI auch niederschwellige Empfehlungen zum Schutz von Online-Accounts.