Bye, bye Passwortwechsel-Zwang (Update Oktober 2019)

Update, 20.10.2019: Auch das Bundesamt für die Sicherheit in der Informationstechnik passt sich an. Dazu eine Ergänzung am Ende des Textes.

Viele Praktiker können meine Erfahrungen bei Mandanten vor Ort sicher bestätigen:
Der in Unternehmen vorgegebene Zwang zum Wechseln von Passwörtern (i.d.R. alle 90 Tage) kann zu bunten Zetteln am Bildschirm oder unter der Tastatur führen. Nur leider stehen auf diesen Zetteln dann eben die Passwörter. Und das wiederum macht IT-Systeme eben nicht unbedingt sicherer. Im Gegenteil.

Wir Menschen sind eben gerne ein wenig „faul“. Und das ist auch gut so. Ein ehemaliger VWL-Professor, der an der rechtswissenschaftlichen Fakultät der Uni Göttingen lehrte, erzählte uns in dem Kontext immer vom „Homo Oeconomicus“ und warum das dazu führe, dass z.B. auf Freiflächen immer Trampelpfade neben dem eigentlich vorgesehenen Weg entstehen, wenn der eigentlich vorgegebene Weg keinen Sinn macht oder eben einfach einen Umweg darstellt.

Und so ähnlich ist das auch mit den Passwörtern und den Zetteln. Wenn uns das Unternehmen vorgibt, dass wir alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln und diese dann aber auch noch komplex sein sollen, dann führt das ohne Passwort-Manager-Lösungen gerne dazu, dass „Trampelpfade“ entstehen. Nur, dass es dann eben kleine gelbe Klebezettel sind – mit Passwortinformationen.

Seit einer der ersten Befürworter dieser Passwortwechsel-Zwänge dies öffentlich bereute und als Fehler einräumte, ist Bewegung in die Sache gekommen. Denn mittlerweile rät z.B. auch die britische Communications Electronics Security Group (CESG) von Passwortwechseln ab.

Und in Deutschland folgte dann als erstes der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) mit seinen neuen Hinweisen zum Umgang mit Passwörtern .

Einen förmlichen Luftsprung vor Begeisterung habe ich wegen dieser Passage hier gemacht:

2) Keine regelmäßige Änderung erzwingen
Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt. Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden.

Endlich äußerte sich eine deutsche Behörde dazu. Leider, leider scheint das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch etwas vorsichtiger zu sein. Das BSI schreibt in seinem 2019 überarbeiten IT-Grundschutz-Kompendium immer noch wörtlich (Hervorhebung durch Fettdruck von mir):

Die Institution MUSS den Passwortgebrauch verbindlich regeln. Dabei MUSS festgelegt werden, dass nur Passwörter mit ausreichender Länge und Komplexität verwendet werden. Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden. Die Passwörter MÜSSEN sofort gewechselt, sobald sie unautorisierten Personen bekannt geworden sind oder der Verdacht darauf besteht. Passwörter MÜSSEN geheim gehalten werden.

Eines möchte ich jedoch deutlich sagen. Ich bin kein IT-ler, sondern Jurist. Und da immer noch umstritten, ob ein Passwortwechsel-Zwang sinnvoll sein kann oder nicht, kann ich nicht zweifelsfrei sagen, was nun die beste Lösung ist. Aus meiner Erfahrung mit Klebezetteln an Monitoren bei der Mandantschaft neige ich jedoch sehr stark dazu, dass Passwortwechsel-Zwänge in der Regel nicht sinnvoll sind.

Und jetzt gibt es auch etwas Neues und weitere Unterstützer der neuen „Lehre“. Denn nunmehr hat sich – wie ich heute erfahren habe – auch die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder, zu dem Thema geäußert. Genau genommen gibt es jetzt dieses Dokument, dass „Arbeitskreis Technische und organisatorische Datenschutzfragen“ der DSK erstellt hat.

Und dort können wir unter Ziff. 2.2 wörtlich lesen:

2.2 Passwortwechsel nur in Sonderfällen erzwingen
Sofern starke Passwörter (nach 2.1) verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich. Der Wechsel von Passwörtern soll insbesondere dann erzwungen werden, wenn der Dienstanbieter ein Initialpasswort in einer Weise zugeteilt hat, dass eine Kenntnisnahme durch Dritte nicht ausgeschlossen werden kann (z. B. durch postalischen Versand), oder wenn Hinweise auf eine Kompromittierung des Kontos oder sicherheitsrelevante Schwachstellen eingesetzter Softwarekomponenten vorliegen.

Ich persönlich begrüße diese Entwicklung sehr und bin gespannt, ob sich auch das BSI in dieser Angelegenheit auch noch einmal deutlicher zu Wort melden wird. Denn – wie gesagt – es gibt durchaus immer noch Befürworterinnen von Passwortwechsel-Zwängen.

Update, 20.10.2019:

In seinen im Oktober 2019 vorgestellten neuen „Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement“ (PDF) hat das BSI nun die Vorgaben zum Passwortwechsel geändert.

Wörtlich heißt es dort nun in „ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B):

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Insbesondere die Formulierung „Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“ macht deutlich, dass sich nun auch das BSI von dem Passwortwechsel-Zwang abkehrt. Eine – wie ich finde – gute Entwicklung.