Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
BSI-Passwortrichtlinien: Wie sich die Anforderungen aus dem IT-Grundschutz-Kompendium umsetzen lassen
„Der Zugang zu schützenswerten Ressourcen einer Institution ist auf berechtigte Benutzende und berechtigte IT-Komponenten einzuschränken. Benutzende und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden.“ Das schreibt das Bundesamt für die Sicherheit in der Informationstechnik (BSI) in der Einleitung zum Baustein „Identitäts- und Berechtigungsmanagement“ (ORP.4) des aktuellen IT-Grundschutz-Kompendiums.
Wenn es darum geht, Benutzer zu identifizieren und authentisieren, ist die Kombination von Benutzernamen beziehungsweise E-Mail-Adresse und Passwort nach wie vor die verbreitetste Methode in Unternehmen – auch wenn es in Windows Active Directory (AD) inzwischen Möglichkeiten zur passwortlosen Authentifizierung gibt. Damit kommt der Sicherheit der verwendeten Passwörter eine zentrale Funktion in der IT-Sicherheit des gesamten Unternehmensnetzes zu. Das BSI fordert daher, dass zum Schutz des Unternehmensnetzwerks Passwörter in geeigneter Qualität gewählt werden müssen, und zwar je nach Einsatzzweck und Schutzbedarf. Dieser Beitrag gibt einen Überblick über die Anforderungen des IT-Grundschutz-Kompendiums und erörtert, was Unternehmen tun können, um diese in ihren Passwortrichtlinien umzusetzen.
Hohe Passwortqualität – aber nicht zu kompliziert
Laut der jährlichen Passwortauswertung des VPN-Dienstleisters und Passwort-Manager-Anbieters Nord Security sind 2023 die beiden beliebtesten Passwörter in Deutschland immer noch „admin“ und „12345“. In ihrer Schlichtheit sind unsere Gold- und Silbermedaillengewinner allerdings denkbar weit von den Anforderungen des BSI entfernt. In der Anforderung ORP.4 A22 fordert das Bundesamt: „Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist.“ Viel konkreter wird das Grundschutz-Kompendium leider nicht; Hinweise, wie ein hinreichend komplexes Passwort aussieht, gibt es nicht.
Etwas deutlicher wird das BSI aber in seinen Empfehlungen „Sichere Passwörter erstellen“ für Verbraucher. Neben der Komplexität eines Passworts – also dem Umfang des Zeichenpools, aus dem es gebildet wurde – wird hier auch die Passwortlänge als ein entscheidendes Merkmal für die Passwortqualität genannt. Kurz zusammengefasst plädiert das BSI hier dafür, entweder lange und weniger komplexe oder aber kurze, komplexere Passwörter zu wählen, wenn möglich ergänzt durch einen hardwaregestützten zweiten Faktor.
Daraus resultieren Empfehlungen zu verschiedenen Kombinationen aus Zeichenlänge und Komplexität, die Unternehmen in den Passwortrichtlinien des AD umsetzen können. Zwar richten sich die BSI-Empfehlungen an Verbraucher – aber letztlich geht es bei der Passwortnutzung ja immer um die Benutzer, um Menschen mit ihren Stärken, Schwächen und Vorlieben. Mehr zu diesem Thema lesen Sie im Beitrag Benutzerfreundliche Passwortrichtlinien – eine Gratwanderung zwischen Akzeptanz und Sicherheit?
Aber Passwortlänge und -komplexität sind nicht die einzigen Indikatoren für die Qualität von Kennwörtern. Passwörter, die etwa auf Unternehmens- oder Produktnamen basieren, sind für Angreifer leicht zu erraten und dürfen daher laut IT-Grundschutzkompendium (ORP.4.A8) nicht verwendet werden. Tools wie Specops Password Policy helfen hier, entsprechende Richtlinien in Active Directory umzusetzen und bei Bedarf mithilfe von Wörterbüchern, leicht zu erratende Kennwörter mit Bezug auf Ihre Organisation dauerhaft zu blockieren.
Allerdings fordert das BSI auch, Passwörter nicht so kompliziert zu gestalten, dass sie nicht mehr „mit vertretbarem Aufwand“ regelmäßig verwendet werden können (ORP.4.A22). Hintergrund ist, dass Menschen, wenn es darum geht, dem Gedächtnis auf die Sprünge zu helfen, zu Strategien neigen, die sich ungünstig auf die Sicherheit des „gemerkten“ Passworts auswirken: Man hinterlegt dann beispielsweise das Passwort schriftlich irgendwo am Arbeitsplatz oder nutzt einfach das gleiche „sichere“ Passwort für die verschiedensten Accounts.
Tabus beim Passwortgebrauch
Ein Aufschreiben von Passwörtern erlaubt das Grundschutz-Kompendium nur für den Notfall und nur, wenn das schriftlich fixierte Kennwort sicher aufbewahrt wird (ORP.4.A8). Auch das Speichern von Passwörtern auf programmierbaren Funktionstasten ist tabu. Als Merkhilfe werden Passwortmanager dagegen ausdrücklich empfohlen. Allerdings ist bei deren Verwendung darauf zu achten, dass „Funktionen oder Plug-ins, mit denen Passwörter über Onlinedienste Dritter synchronisiert oder anderweitig an Dritte übertragen werden (…) deaktiviert werden.“ Apropos „Dritte“: Auch die Weitergabe von Passwörtern, beispielsweise an eine Urlaubsvertretung, ist laut Grundschutz in keinem Fall erlaubt. So klar, so knifflig. Denn all diese Tabus lassen sich nicht einfach technisch in Active Directory umsetzen. Was den praktischen Umgang der Nutzer mit Passwörtern betrifft, führt kaum ein Weg an Sensibilisierung und regelmäßiger Schulung vorbei. In der Einleitung zum dritten Prozess-Baustein „Sensibilisierung und Schulung zur Informationssicherheit“ (ORP.3) fordert das IT-Grundschutz-Kompendium daher: „Mitarbeitende müssen für relevante Gefährdungen sensibilisiert werden und wissen, wie sich diese auf ihre Institution auswirken können. Ihnen muss bekannt sein, was von ihnen im Hinblick auf Informationssicherheit erwartet wird.“ Gleichzeitig weist das BSI darauf hin, dass Unternehmen sich dabei nicht auf reine Anordnungen verlassen sollten, sondern den Nutzern auch Bedeutung und Zweck der Maßnahmen vermitteln müssen (ORP.3 2.2).
Passwörter nicht mehrfach verwenden
Eine weitere Praxis gefährdet die Passwortsicherheit in hohem Maße: Immer wieder werden Passwörter recycelt, d. h. ein und dasselbe Passwort wird für verschiedene Accounts verwendet. Aus Nutzersicht gibt es unterschiedliche Gründe für diese Praxis, etwa „Rationalitätsgründe“, weil Nutzer immer mehr Passwörter für immer mehr Accounts benötigen, oder die Angst, all die verschiedenen Kennwörter irgendwann zu vergessen und dann vor verschlossenen Türen zu stehen. Bei einer Umfrage anlässlich des World Password Days (Bitwarden: 2022 World Password Day Results) unter weltweit 2.000 Internetnutzern gaben 84 Prozent an, ihre Passwörter für mehr als eine Seite zu nutzen. In Deutschland sind es laut Statista aktuell etwa die Hälfte der Internetnutzer.
Vielen Anwendern scheint nicht klar zu sein, dass ein mehrfach genutztes Passwort, wenn es erst einmal kompromittiert ist, den Zugang zu allen anderen damit gesicherten Accounts öffnet (Stichwort „Credential Stuffing“). Das BSI betont daher: „Passwörter DÜRFEN NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden“ (ORP.4.A8).
Auch hier lautet die Präventivmaßnahme der Wahl: Sensibilisierung und Schulung. Allerdings scheint genau dies angesichts der gefühlten Vorteile einer Wiederverwendung von Kennwörtern bisher ein zahnloser Tiger zu sein. So gab nur knapp ein Drittel (31 %) der Befragten der LastPass-Studie „Psychology of Passwords“ an, die Mehrfachnutzung von Passwörtern nach Besuch einer Cybersecurity-Schulung eingestellt zu haben.
Mit Tools wie dem kostenlosen Specops Password Auditor können Sie diese Anforderung innerhalb Ihres Unternehmensnetzwerkes umsetzen, indem dieser Benutzerkonten in AD auf mehrfach genutzte Passwörter scannt. Allerdings können Passwörter, die außerhalb des Unternehmensnetzwerks zweit- oder drittverwendet werden, durch einen solchen internen Scan natürlich nicht gefunden werden. Um das Risiko durch solche eine Wiederverwendung zu mindern, überprüft Specops Password Policy kontinuierlich Ihr Active Directory auf über 4 Milliarden kompromittierte Kennwörter. Zu dieser Liste kommen täglich neue Einträge hinzu sobald weitere kompromittierte Passwörter von unseren Experten aufgedeckt werden.
Kompromittierte Passwörter
Aber man kann es ja auch positiv sehen: Immerhin scheinen Schulungen nicht vollkommen spurlos zu verpuffen. Zudem können Unternehmen effektive Maßnahmen ergreifen und die Schulungen auf technischer Ebene ergänzen. So ermöglichen es Online-Verzeichnisse wie haveibeenpwned, Passwörter gezielt daraufhin zu überprüfen, ob sie bereits geknackt wurden. Dabei sollten sich Unternehmen aber nicht auf die aktive Mitarbeit ihrer Nutzer verlassen. Ein automatischer Scan aller Passwörter umgeht dieses Problem – Nur so können Unternehmen auch der BSI-Forderung entsprechen, nach der Maßnahmen ergriffen werden müssen, um die Kompromittierung von Passwörtern zu erkennen (ORP.4.A23). Um unsichere Kandidaten schnellstmöglich identifizieren und gegen neue, sichere austauschen zu können, empfiehlt sich eine tägliche Scan-Routine. Hierbei hilft Specops Password Policy mit Breached Password Protection. Mit dieser Funktion scannt das Tool regelmäßig die Active-Directory-Passwörter und gleicht sie mit einer umfangreichen, täglich aktualisierten Datenbank vulnerabler Passwörter ab. Diese Datenbank enthält derzeit neben mehr als 4 Milliarden bekannten kompromittierten Passwörtern auch Kennwörter, die in echten Passwort-Spray-Angriffen verwendet werden.
IT-Grundschutz-Anforderungen zum Passwortwechsel
Wurden kompromittierte Passwörter gefunden, müssen sie natürlich umgehend geändert werden – ebenso wie Passwörter, von denen unautorisierte Personen Kenntnis erlangt haben. Dies gilt nach ORP.4.A8 sogar dann, wenn nur der Verdacht besteht, dass ein Passwort bekannt geworden sein könnte.
Dagegen rückt das BSI von der alten Forderung nach einem regelmäßig erzwungenen Passwortwechsel klar ab: „IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden“ (ORP.4.A23). Nur falls Maßnahmen zur Erkennung kompromittierter Kennwörter nicht möglich sind, rät das IT-Grundschutz-Kompendium zu prüfen, ob „die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können.“ Unsere Empfehlungen dazu sind ein weniger Strenger: Ein guter Mittelweg wäre hier, einen zeitlich nicht zu eng gestalteten Wechselturnus an die Länge der Passwörter zu koppeln, beispielsweise bei Wortlängen von 15 und mehr Zeichen einen halbjährlichen Passwortwechsel zu erzwingen. Bei kürzeren Passwörtern würde dann ein entsprechend kürzerer Zeitraum vorgegeben. So bietet man Angreifern nicht unbegrenzt viel Zeit, um die Passwörter zu erraten.
Fazit
Das IT-Grundschutz-Kompendium enthält eine Reihe von Vorgaben, die sich auf unterschiedliche Weise in Passwortrichtlinien und einer Unternehmens-Sicherheitskultur umsetzen lassen. Dabei ist der Interpretationsspielraum recht groß, sodass die Maßnahmen an die Gegebenheiten und den jeweils konkreten Schutzbedarf der mit den Passwörtern abzusichernden Konten angepasst werden können.
Autor
Torsten Krüger
Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.
(Zuletzt aktualisiert am 30/11/2023)