Flexible Security for Your Peace of Mind

Welche Anforderungen stellen Standards, Zertifizierungen und Regularien an die Passwortsicherheit?

In vielen internationalen Standards und Regularien finden sich Vorgaben zur Passwortsicherheit und zum Umgang mit Passwörtern, die darauf zielen, Nutzerkonten, Daten und Unternehmensnetzwerke abzusichern. Unternehmen sollten sie im Blick behalten, wenn es darum geht, sich gegen Cyberangriffe zu schützen, aber auch wenn Zertifizierungen oder Audits von Kunden oder Stakeholdern anstehen.

Wir geben einen Überblick über die gängigsten branchenübergreifenden Standards und Regularien, betrachten einige branchenspezifische Normen und beleuchten, was sie in Hinblick auf Passwortsicherheit fordern.

ISO/IEC 27001 – die Grundnorm für Informationssicherheits-Managementsysteme

ISO/IEC 27001 ist ein internationaler, branchenübergreifender Standard für Unternehmen jeder Art und Größe. Die Norm gibt einen Rahmen für die Einrichtung, den Einsatz und die fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS) vor. Als Grundnorm für die Informationssicherheit von IT-Systemen bildet sie die Basis für zahlreiche weitere, auch branchenbezogene Richtlinien und Standards.

Auch die Anforderungen der Norm zur Passwortsicherheit und zum sicheren Umgang mit Passwörtern sind daher von übergeordneter Bedeutung, zumal eine Zertifizierung nach ISO/IEC 27001 für viele Unternehmen aus den verschiedensten Branchen wie etwa der Industrie, Energie, IT und Telekommunikation, dem Finanzwesen, dem öffentlichen Sektor oder dem Gesundheitswesen von Bedeutung ist.

Die Vorgaben zur Passwortsicherheit finden sich in Anhang A9 „Zugangssteuerung“ der ISO/IEC 27001. Hier gibt es u. a. Empfehlungen zu Passwortlänge und -komplexität und zum Passwortmanagement.

ISO/IEC 27001-Zertifizierung: Die wichtigsten Anforderungen der Informationssicherheits-Grundnorm in Bezug auf Passwortsicherheit

Passwortrichtlinien

  • Erstellung und Änderung sollten nach festgelegten Richtlinien erfolgen.
  • Es sind starke, komplexe Passwörter mit einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu verwenden. Die Mindestlänge sollte 8-16 Zeichen betragen.
  • Passwörter sind jeweils exklusiv für nur ein einziges Nutzerkonto zu verwenden.
  • Die letzten drei genutzten Passwörter dürfen (nach einem Reset) nicht wiederverwendet werden.

Passwortmanagement

  • Häufig verwendete Passwörter müssen identifiziert und gesperrt werden, ebenso kompromittierte Log-in-Daten.
  • Einen regelmäßigen Wechsel von Passwörtern fordert die aktuelle Fassung der Norm (DIN EN ISO/IEC 27001:2024-01) nicht mehr. Die Anforderung, einen Passwortwechsel nach einem Sicherheitsvorfall zu erzwingen, bleibt jedoch bestehen.

Speicherung und Übertragung

  • Passwörter dürfen nicht im Klartext, sondern nur verschlüsselt (unter Verwendung sicherer Hashing-Algorithmen und Salting-Werte) gespeichert werden.
  • Die Übertragung von Authentifizierungsinformationen muss verschlüsselt erfolgen.

Zugriffskontrolle

  • Der Zugriff auf Authentifizierungsinformationen ist auf autorisierte Benutzer zu beschränken.
  • Die Zahl von Anmeldeversuchen ist zu beschränken, um Brute-Force-Attacken zu verhindern.
  • Die Verfahren zur Zugriffskontrolle sollen regelmäßig überprüft und aktualisiert werden.

Schulung und Sensibilisierung

  • Benutzer sollten regelmäßig sensibilisiert und zur Passwortsicherheit geschult werden.

ISO/IEC 27002 – Leitfaden für die Umsetzung der ISO/IEC 27001

Die ISO/IEC 27002 (Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitsmaßnahmen) ist ein Leitfaden, der auf den Anforderungen der ISO/IEC 27001 basiert und Hinweise zu deren Umsetzung gibt. Die Anwendung des Leitfadens ist jedoch nicht verpflichtend für eine Zertifizierung nach ISO/IEC 27001.

In Bezug auf Passwortsicherheit wird ISO/IEC 27002 in einigen Aspekten konkreter als die Grundnorm. Etwa wird gefordert, dass Passwörter (weder automatisch generierte noch vom Nutzer erstellte) nicht leicht zu erraten sein dürfen. Zudem sollten die Passwörter keine Wörter aus Wörterbüchern und auch keine Kombinationen aus solchen Wörtern enthalten. Neue Benutzer sollen den Empfang ihres Initialpassworts verpflichtend bestätigen. Darüber hinaus gibt es die Empfehlung an Unternehmen und Organisationen, die Anforderungen für die Erstellung und Verwendung von Passwörtern in die Arbeitsverträge mit ihren Mitarbeitern aufzunehmen.

Specops Password Auditor Reports
Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

BSI IT-Grundschutz

Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) beschreibt Maßnahmen zum Aufbau und zur Pflege eines ISMS. Zwar sind die branchenübergreifenden Empfehlungen und Best Practices des BSI nicht verbindlich, ein nach dem Grundschutz aufgebautes ISMS erfüllt aber weitgehend die Anforderungen für eine Zertifizierung nach ISO/IEC 27001.

Zum Thema Passwortsicherheit findet sich im BSI IT-Grundschutz nur wenig Konkretes, abgesehen von der Forderung „das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist.“ Allerdings mahnt der BSI-Grundschutz auch, es nicht so kompliziert zu gestalten, dass es nicht mehr „mit vertretbarem Aufwand“ regelmäßig verwendet werden kann.

Im Hinblick auf einen sicheren Umgang mit Passwörtern bekräftigt der BSI IT-Grundschutz die Forderung der ISO/IEC 27001, für jedes System ein eigenständiges Passwort zu verwenden (also Passwörter nicht mehrfach für verschiedene Nutzerkonten einzusetzen). In einigen Aspekten geht das BSI auch über die Norm hinaus, beispielsweise mit dem Verbot, Kennwörter auf programmierbaren Funktionstasten zu speichern. Mehr zum Thema BSI-IT-Grundschutz lesen Sie in unserem Blogbeitrag „BSI-Passwortrichtlinien: Wie sich die Anforderungen aus dem IT-Grundschutz-Kompendium umsetzen lassen“.

DSGVO / GDPR

Zentrales Anliegen der Datenschutz-Grundverordnung (DSGVO bzw. GDPR – General Protection Data Regulation) der EU ist der Schutz personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen. Dazu gehört auch die Verwendung sicherer Passwörter. Allerdings finden sich in dem EU-Gesetz keine spezifischen Anforderungen an sichere Passwörter, ebenso wenig wie Empfehlungen zum Umgang mit Passwörtern. Hier liegt es im Falle eines Falles im Ermessen des Richters, ob die Maßnahmen geeignet waren, um die Datenschutzverletzung zu verhindern.

Spezifische Standards und Regularien

Für nahezu jede Branche gibt es spezifische Normen und Regularien, aus denen sich explizite oder implizite Vorschriften für Passwortsicherheit und Passwortmanagement ergeben. Wir betrachten im Folgenden exemplarisch drei in Hinblick auf Cyber- und Passwortsicherheit besonders sensible Branchen und Bereiche: das Gesundheitswesen, den Finanzsektor und kritische Infrastrukturen (zu denen auch viele Unternehmen der ersten beiden Branchen zählen).

Passwortsicherheit im Gesundheitswesen

Die Anforderungen an ein ISMS im Gesundheitswesen finden sich in der ISO/IEC 27799. Die Norm ergänzt die Vorgaben und Empfehlungen der ISO/IEC 27001 und ISO/IEC 27002 um spezifische Maßnahmen für den Medizinbereich. Im Fokus steht dabei vor allem der Schutz von Gesundheitsdaten. In Bezug auf Passwortsicherheit fordert ISO/IEC 27799 insbesondere:

  • die Verwendung starker Authentifizierungsmethoden (ggf. einer Zwei-Faktor-Authentifizierung), für jede Person mit Zugriff auf sensible Patientendaten oder kritische Systeme;
  • die genaue Validierung der Benutzeridentität vor Vergabe oder Zurücksetzung von Passwörtern.

Passwortsicherheit im Finanzsektor

Der EU Digital Operational Resilience Act (DORA) beinhaltet EU-weit einheitliche Vorschriften für IT-Sicherheit im Finanzsektor (mehr Infos: DORA explained). Explizite Vorgaben zu Passwörtern macht DORA nicht. Aus der Vorschrift zur Implementierung von Zugriffskontrollen und starken Authentifizierungsmechanismen lässt sich aber die Notwendigkeit ableiten, starke Passwortrichtlinien und ein strukturiertes Passwortmanagement einzuführen. Dabei können sich Unternehmen an den Empfehlungen der ISO/IEC 27001 und ISO/IEC 27002 orientieren.

Der PCI DSS (Payment Card Industry Data Security Standard) legt Sicherheitsanforderungen für Organisationen fest, die Zahlungskartendaten verarbeiten, speichern oder übertragen. Der Standard enthält auch verschiedene Anforderungen hinsichtlich Passwortsicherheit und Passwortmanagement, die wichtigsten sind:

  • Passwörter sollten komplex sein (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten) und eine Länge von mindesten sieben Zeichen haben.
  • Die Anzahl der Anmeldeversuche sollte auf drei bis sechs beschränkt werden.
  • Passwörter müssen verschlüsselt übertragen und gespeichert werden.

Passwortsicherheit und kritische Infrastrukturen

Die Absicherung kritischer Infrastrukturen gegenüber Cyberangriffen ist Ziel der europäischen NIS-2-Richtlinie (ausführlich vorgestellt in unseren Blogartikeln Was bedeutet NIS-2 für deutsche Unternehmen? und NIS-2-Update: Wie ist der aktuelle Stand?). Spezifische Vorgaben zur Passwortsicherheit enthält die Richtlinie nicht. Allerdings lassen sich Anforderungen an Passwörter aus einigen der geforderten Maßnahmen zur Cybersicherheit und Cyberhygiene übertragen bzw. ableiten. Dementsprechend sollten Betreiber kritischer Infrastrukturen strenge Passwortrichtlinien für komplexe, nicht zu erratende Passwörter etablieren, ihre Nutzer regelmäßig zum Umgang mit Passwörtern schulen, regelmäßige Sicherheitsaudits auch in Bezug auf Passwörter durchführen (bzw. ihre Passwort-Policy in Sicherheitsaudits einbeziehen) und ggf. eine Multi-Faktor-Authentifizierung einführen. Zudem sollte ein Reaktionsplan für den Fall von passwortbezogenen Sicherheitsvorfällen entwickelt werden, der auch Verfahren für sichere Passwort-Resets kompromittierter Zugangsdaten umfasst. Mehr dazu erfahren Sie in unserem Blogbeitrag „NIS2, Passwortsicherheit und MFA: Das gilt es zu beachten!

Ein kurzer Blick in weitere Standards und Zertifizierungen

Telekommunikation:

ETSI EN 303 645 ist der europäische Standard für die Cybersicherheit von vernetzten Consumer-Geräten. Für die EN-303-645-Zertifizierung eines Geräts müssen auch Vorgaben für Passwortsicherheit umgesetzt werden, insbesondere eine „angemessene“ Passwortlänge und Komplexität, die Möglichkeit, dass die Gerätenutzer Passwörter für jedes Gerät individuell festlegen und ändern können sowie eine sichere Speicherung der Passwörter (unter Verwendung anerkannter Hashing- und Salting-Verfahren).

Energiesektor:

Wichtigster Standard für die Informationssicherheit in der Energieversorgung ist die ISO/IEC 27019. Die Norm macht keine detaillierten Vorgaben zur Passwortsicherheit. Um Netze und Zugänge abzusichern, empfiehlt sich eine Orientierung an den Passwortanforderungen der ISO/IEC 27001.

Automotive:

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für die Informationssicherheit in der Automobilindustrie und zielt auf den Schutz von Daten während der Herstellung und des Betriebs von Fahrzeugen. Er basiert auf der ISO/IEC 27001 und übernimmt weitestgehend deren Anforderungen in Hinblick auf Passwortsicherheit.

Industrie und Produktion:

Die IEC 62443 ist eine Grundnorm für die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme. Die Anforderungen zur Passwortsicherheit entsprechen im Wesentlichen denen der ISO/IEC 27001 und des BSI-Grundschutzkompendiums. Diese sollten für eine Zertifizierung beachtet werden.

Fazit

Die meisten Normen und Regularien zur Cyber- und Informationssicherheit fordern – wenn nicht explizit, so implizit – die Verwendung sicherer Passwörter. Da auch viele branchenspezifische Normen auf der ISMS-Grundnorm ISO/IEC 27001 basieren, sind Unternehmen in der Regel gut gewappnet, wenn sie die Anforderungen an die Passwortsicherheit dieser Norm erfüllen. Für branchenspezifische Zertifizierungen sind ggf. einige zusätzliche spezifische Vorgaben der entsprechenden Normen zu beachten. Unser Tipp: Tools wie Specops Password Policy helfen, Passwortrichtlinien in Active Directory (AD) umzusetzen, die den normativen Vorgaben entsprechen. So können beispielsweise schwache, leicht zu erratende Kennwörter automatisch blockiert werden. Die Funktion Breached Password Protection ermöglicht es zudem, die AD-Passwörter mit einer umfangreichen, täglich aktualisierten Datenbank kompromittierter Passwörter abzugleichen. Ein automatischer Scan aller AD-Benutzerkonten mit dem kostenlosen Specops Password Auditor spürt alle mehrfach genutzten Passwörter innerhalb ihres ADs auf und hilft so bei der Umsetzung der Forderung, Passwörter nur einmal und exklusiv für ein Nutzerkonto einzusetzen. Und wird infolge eines Sicherheitsvorfalls ein sicherer Passwort-Reset nötig, ist das mit wenig Aufwand über unsere Self-Service-Passwort-Reset-Lösung Specops uReset möglich.

Wollen Sie mehr darüber erfahren, wie die Tools von Specops Sie bei der Stärkung Ihrer Passwortsicherheit unterstützen kann? Wir beraten Sie gerne!

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenlose Analyse vereinbaren!

(Zuletzt aktualisiert am 22/10/2024)

Zurück zum Blog