Passwortrichtlinien: Sichere Kennwörter im Unternehmen bereitstellen

123456

Weltweit wurde dieses einfallslose Passwort bereits 23,2 millionenfach geknackt.

Diese Zahlenkombination ist ungefähr so sicher, wie den Hausschlüssel unter die Fußmatte vor der Tür zu legen.

Da es sich bei Passwörtern um eine Verschlüsselung handelt, muss diese zumindest so sicher sein, dass die zu beschützenden Daten nur mit einem unvertretbar großen Aufwand entschlüsselt werden könnten.

Um das sicherzustellen, gibt es Richtlinien.

Bisher galt die Annahme: Je länger, komplexer und regelmäßig erneuert ein Passwort ist, desto sicherer sind die Daten.

Gilt dieser Leitfaden der letzten 25 Jahre auch heute noch? Wie lassen sich Passwörter sinnvoll und sicher im Unternehmensumfeld managen?

Diese beiden Fragen wollen wir in diesem Artikel beleuchten und beantworten.

Was sind moderne Passwortrichtlinien?

Es gibt nicht DIE Richtlinie, sondern eine ganze Reihe davon.

Das können gesetzliche Vorgaben sein (z.B. die Europäische Datenschutzgrundverordnung, siehe unten) oder Standards, die von nationalen und internationalen Sicherheitsbehörden herausgegeben werden.

Stellvertretend sind hier vier anerkannte Standards kurz erklärt.

Europäische Datenschutzgrundverordnung (EU-DSGVO)

Diese Verordnung des Europäischen Parlaments regelt sowohl die Nutzung und Verarbeitung, als auch die Rechte und Pflichten für den Umgang mit sensiblen personenbezogenen Daten.

Eine empfohlene Methode des Datenschutzes ist die Verschlüsselung, zu der die Passwortvergabe gehört. (S. Art 32 DS-GVO ) Eine sichere Authentifizierung der Nutzer ist ein Baustein, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste auf Dauer sicherzustellen.

Die Maßgaben aus dieser Verordnung fließen als rechtliche Rahmenbedingungen in die Passwortrichtlinien mit ein. Werden unzureichende technische oder organisatorische Maßnahmen umgesetzt, können Bußgelder verhängt werden (s. Art. 83 Abs. 4 DS-GVO).

Bundesamt für Sicherheit in der Informationstechnik (BSI)

In der deutschen Behörde gab es 2020 einen Perspektivwechsel, der in anderen Institutionen und Ländern schon vor Jahren vollzogen wurde (siehe NIST und NCIS weiter unten).

Noch immer plädiert das BSI für längere Passwörter (mindestens 8 Zeichen für mobile und 20 Zeichen für PC-Anwendungen). Neu ist jetzt, dass die Komplexität nicht mehr so hoch sein muss (z.B. keine Sonderzeichen mehr). Dadurch merken sich die Nutzer ihre Kennwörter deutlich besser und verwenden weniger kurze, ausrechenbare Kombinationen.

Eine 180%-Wendung hat das BSI mit dem zeitgesteuerten Passwortwechsel vorgenommen.

Nach der Empfehlung von 2020 sollen starke Passwörter nur dann ausgetauscht werden, wenn diese kompromittiert sind (oder der Verdacht darauf besteht). (s. ORP.4 A8)

Weiterführende Informationen zu den BSI-Empfehlungen gibt es im Specops-Blog vom Mai 2021

US National Institute of Standards and Technology (NIST)

SP 800-63 hieß die Sonderpublikation 2016, mit der das renommierte Institut die Fachwelt überraschte.

Die darin postulierten Passwortrichtlinien bedeuteten eine teilweise Abkehr von den bestehenden Maßnahmen.

Nach Meinung der NIST ist eine lange, einzigartige, zusammenhanglose, aber dennoch leicht zu merkende Passphrase sicherer, als eine komplizierte Anhäufung von Sonderzeichen.

Also, lieber “glattFokusaufSahnex2” als “8lATt&oK$S/(fS@HnE”.

Auch sollte ein derartiges Kennwort erst dann geändert werden, wenn es nicht mehr sicher erscheint.

UK National Cyber Security Centre (NCSC)

Auch die britische Autorität in Sachen Cybersicherheit veröffentlicht regelmäßig Passwortrichtlinien, die in die Specops Software aufgenommen werden.

Die NCSC war einer der ersten Verfechter gegen eine forcierte, regelmäßige Änderung von starken Passwörtern.

Warum brauchen Unternehmen feste Passwortrichtlinien?

Ohne bindende Richtlinien gibt es keine übergreifende Datensicherheit.

“Sie legt Regeln fest, die Mitarbeiter bei der Erstellung, Verwendung, Speicherung und Freigabe von Kennwörtern beachten müssen.”

Es geht aber nicht nur um die Verwendung von Passwörtern, sondern auch um die Bereitstellung einer technischen und organisatorischen Infrastruktur, um die Richtlinie effektiv durchsetzen zu können.

Was steht in einer Passwortrichtlinie?

Sie regelt erst einmal den Geltungsbereich und die Laufzeit aller Maßnahmen.

Des Weiteren werden die Pflichten der Systemverwaltung detailliert dargelegt. Dabei geht es vor allem um die technischen und datenrechtlichen Rahmenbedingungen.

Auch die Pflichten der Nutzer müssen festgelegt werden.

Für sie muss klar sein, was bei der Passworterstellung und -bearbeitung erlaubt ist und was nicht. Z.B. die Länge, Komplexität und Ausschlusskriterien (Geburtstage, Namen, Hobbys, Wiederholungen, alle persönlichen Bezüge, usw.).

Die Richtlinie regelt zudem die Funktionsweise der automatischen Passwortrücksetzung und welche organisatorischen und technischen Maßnahmen zur Einhaltung der Passwortpolitik getroffen wurden.

Dazu gehören beispielsweise auch der Einsatz von Softwarelösungen, die effektiv bei der Umsetzung und Handhabung der Richtlinie helfen.

Wie manage ich Passwortrichtlinien im gesamten Unternehmen?

Jedes große Unternehmen oder jede Organisation setzt bei der Einhaltung der Passwortsicherheit auf Softwarelösungen.

Wie ist es dann aber möglich, dass das eingangs erwähnte Passwort 123456 trotzdem vom Passwortfilter erlaubt wurde?

Hier kann das Problem ein fehlender Erkennungs- und Blockademechanismus sein.

Schwache Kennwörter wie Passwort123 oder nachvollziehbare Tastenkombinationen wie qwertz sollten bei der Erstellung automatisch blockiert werden.

Um solche unsicheren Kennwörter in Ihrem Active Directory zu entdecken, gibt es den kostenlosen read-only Specops Password Auditor.

Das kostenlose Programm vergleicht Ihre bestehende Passwortrichtlinie mit anerkannten Industriestandards wie NIST, NCSC, PCI, Microsoft u.a. und zeigt, wo Schwächen und Nachholbedarf besteht. Zusätzlich prüft der Specops Password Auditor auch, ob sich bereits kompromittierte Passwörter in Ihrem Active Directory befinden oder ob es weitere potentielle Sicherheitsrisiken wie leere oder doppelte Passwörter gibt.

Die durch den Auditor aufgezeigten Defizite lassen sich komfortabel und effektiv mit Specops Password Policy abdecken.

Die damit mögliche Breached Password Protection, die sowohl Passwörter aus bekannten Listen kompromittierter Passwörter als auch Passwörter enthält, die in aktuellen Angriffen verwendet werden, erkennt und verhindert deren Nutzung.

Außerdem lassen sich mit dem Programm mangelhafte Passwortrichtlinien schnell und gesetzeskonform anpassen und sogar übertreffen.

Organisationen schützen damit ihre Daten und rüsten sich bestens gegen Nutzerbequemlichkeit, Datenklau und Imageschäden aufgrund fehlender Passwortsicherheit.

Fazit: Passwortrichtlinien mit Specopssoft Password Policy festlegen & durchsetzen

Die eingangs gestellte Frage war, ob die jahrelangen Passwortrichtlinien auch heute noch in dieser Form gelten.

Die Antwort darauf ist Nein.

Der Fokus in der Richtlinienpolitik hat sich in den letzten 5-6 Jahren geändert.

Weg von einer abstrakten Komplexität, hin zu langen, aber nachvollziehbaren Passwörtern, die nicht ständig erneuert werden müssen. Damit wird der (Unsicherheits-) Faktor Mensch weit besser berücksichtigt und eine effektivere Datensicherheit gewährleistet.

Entsprechend mitgewirkt und angepasst an die überarbeiteten Richtlinien haben sich neben Passwortmanagern, auch Passwort-Filter, allen voran Specops Password Policy.

Damit bekommen Systemadministratoren und Datenschutzbeauftragte ein leistungsfähiges Hilfsmittel, um sensible persönliche und betriebliche Informationen vor unerlaubten Zugriffen zu schützen.

Außerdem können Organisationen mit dem Programm die geltenden Passwortrichtlinien einfach und gesetzeskonform in die betriebliche IT-Struktur integrieren.