Der Passwort-Wechsel ist überholt
Jahrelang hieß es, man solle seine Computer-Zugangscodes regelmäßig ändern. Das gilt aus Sicht der Bundesbehörde nicht mehr. Etwas anderes funktioniert viel besser
Viele Arbeitnehmer kennen das: Alle paar Monate forderte sie die IT-Abteilung auf, ihr Passwort zu ändern, mal per Rundschreiben, mal zwangsweise direkt während des Hochfahrens des Firmenrechners. Die Unternehmen handelten auf Grundlage einer Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Doch jetzt rückt das Amt von dieser Vorgabe ab: An entscheidender Stelle – in der aktuellen Ausgabe des BSIGrundschutz-Kompendiums – wurde die entsprechende Textpassage gestrichen. Geändert werden soll ein Passwort nur noch dann, wenn die Gefahr besteht, dass es in fremde Hände geraten sein könnte. „Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt“, sagt auch der Landesdatenschutzbeauftragte Stefan Brink in Baden-Württemberg. Was Arbeitnehmer und Verbraucher jetzt wissen müssen.
Warum sollen Passwörter nicht mehr regelmäßig geändert werden? Viele Sicherheitsexperten vertreten seit einiger Zeit die Ansicht, dass Regeln zur regelmäßigen PasswortÄnderung eher schaden als nützen. Das regelmäßige Ändern führe nur dazu, dass schwache Passwörter benutzt oder diese nach einem bestimmten Schema wie „sicher1“, „sicher2“erzeugt würden, heißt es etwa bei Heise Security. In Unternehmen hat die Vorgabe auch dazu geführt, dass sich die Mitarbeiter Zettel mit ihrem aktuellen Passwort an den Bildschirm kleben. Und das ist natürlich das Gegenteil von ITSicherheit. Wichtig sei es, ein gutes, sicheres Passwort zu nutzen. Dieses könne auch bedenkenlos über Jahre hinweg verwendet werden, so die Heise-Sicherheitsexperten.
Wie findet man ein sicheres Passwort?
Die Rangliste der beliebtesten Passwörter, die das Hasso-Plattner-Institut in Potsdam jährlich veröffentlicht, ist erschreckend: Seit Jahren wird sie von der Zahlenfolge „123456“angeführt. Da kann man sich den Passwortschutz gleich sparen. Auch das eigene Geburtsdatum als Passwort zu verwenden, ist keine gute Idee. Die Verbraucherzentrale Baden-Württemberg rät zu willkürlichen Kombinationen aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen, wobei auf die Umlaute ä, ö und ü lieber verzichtet werden sollte – sonst kann man von einem ausländischen Computer nicht mehr auf seine Mails zugreifen, weil es die Buchstaben auf den dortigen Tastaturen nicht gibt. Zudem sollte ein gutes Passwort mindestens zehn Zeichen umfassen. Bei der Suche nach sicheren Passwörtern kann man sich zum Beispiel einen individuellen Merksatz als Eselsbrücke überlegen und die klein und groß geschriebenen Anfangsbuchstaben der Wörter aneinanderreihen, so der Rat der Verbraucherzentrale. Ein Beispiel: Der Satz „Ein blaues, kleines Pferd liest Kaffeesatz auf dem Ausflugsdampfer.“wird auf diese Weise zum Passwort: „Eb,kPlKadA.“. Das kann keiner so leicht erraten.
Welche technischen Hilfsmittel gibt es für die Passwortverwaltung? Willkürliche Zeichenkombinationen sind zwar sehr sicher, ohne Eselsbrücke kann man sie sich aber sehr schwer merken. Abhilfe versprechen Passwortmanager. Das sind Computerprogramme, die per Zufallsgenerator sichere Log-in-Daten erzeugen und diese anschließend verschlüsselt abspeichern. Diese sind vor allem dann sinnvoll, wenn man bei vielen verschiedenen OnlineDiensten angemeldet ist und dort unterschiedliche Passwörter verwendet. Die Stiftung Warentest hat jüngst Passwortmanager getestet und drei davon mit der Note „gut“ausgezeichnet: Keeper Security, 1Password und die kostenlos erhältliche Software KeePass.
Was muss man beachten, wenn das Passwort in fremde Hände geraten ist?
Besteht der Verdacht, dass das Passwort in falsche Hände geraten sein könnte – etwa weil ein Virus auf dem Computer entdeckt wurde oder Amazon plötzlich nie bestellte Produkte verschickt –, sollte man sein Passwort unbedingt ändern. Hilfreich kann es auch sein, regelmäßig zu prüfen, ob gestohlene Daten im
Netz verfügbar sind. Dies ist bei verschiedenen Datenbanken möglich, etwa mit dem Identity Leak Checker des Hasso-Plattner-Instituts oder auf Haveibeenpwned.com. Findet man dort seine Mailadresse, sollte man alle Zugänge ändern, die diese E-Mail-Adresse nutzen, also auch die Log-in-Daten für soziale Netzwerke wie Facebook oder Xing sowie den Amazon-Account.
Wie soll man sich in Unternehmen verhalten?
Unternehmen sind in der Pflicht, ihre Mitarbeiter durch Schulungen und regelmäßige Informationen vor den Gefahren in der digitalen Sphäre zu schützen. Denn eine Kette ist immer nur so stark wie ihr schwächstes Glied und menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Probleme bei der IT-Sicherheit. Schon ganz einfache Verhaltensregeln können dazu beitragen, das Risiko zu minimieren, Opfer eines Hackerangriffs oder Datendiebstahls zu werden. Beim Entsperren mobiler Geräte müsse zum Beispiel klar sein, dass das Eingeben von Passwörtern in nicht gesicherten Bereichen mitgefilmt werden kann, sagt Friedrich Wimmer vom RisikomanagementUnternehmen Corporate Trust. „Dem Risiko kann einfach begegnet werden, indem beim Eingeben von Passwörtern der Laptopdeckel etwas nach unten geklappt wird.“Auch technische Lösungen wie Fingerabdrucksensoren könnten helfen.