Zehn Tipps für die Erstellung einer Passwortrichtlinie

 

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) hat Mitte Februar „Hinweise zum sicheren Umgang mit Passwörtern“ veröffentlicht.
Dieses Hinweispapier enthält sowohl Tipps für die Auswahl eines Passworts als auch Hinweise für Administratoren und Entwickler, wie mit Passwörtern sicher zu verfahren ist. Die Tipps für die Auswahl eines sicheren Passworts können dabei von Unternehmen als Grundlage für eine Passwortrichtlinie genutzt werden, nach der die Mitarbeiter ihre Passwörter zu wählen haben. Die Vorgaben können auch in eine Datenschutzrichtlinie oder ein Informations-Sicherheits-Management-System (ISMS) integriert werden.

 

Zehn Tipps für sichere Passwörter

1. Starke Passwörter wählen

Hier werden mit der „Ersten-Buchstaben-Methode“, „Ganzen-Satz-Methode“, generierten Passwörtern oder Passwort-Schablonen Methoden vorgeschlagen, die zu Passwörtern führen, die aus Klein- und Großbuchstaben, Sonderzeichen und Zahlen bestehen.


2. Passwörter niemals doppelt verwenden


3. Passwort-Safe verwenden

Passwort-Safes sorgen dafür, dass man sich die vielen unterschiedlichen Passwörter nicht merken muss, sondern diese mit einer Software speichern und verwalten kann.


4. Keine Wörter aus Wörterbüchern verwenden


5. Passwörter nicht weitergeben


6. Nur bei Kompromittierung ändern

Abweichend von früheren Empfehlungen, Passwörter regelmäßig zu ändern, empfiehlt das LfDI BW, das Passwort nur dann zu ändern, wenn es bekannt geworden ist. Eine regelmäßige Änderung des Passworts führe laut LfDI BW eher dazu, dass Passwörter notiert würden. Zudem würden die Passwörter häufig nicht sicherer, weil oft einfach eine Zahl ergänzt würde, die hochgezählt wird, oder Ähnliches. Dies kann aber selbstverständlich nur gelten, wenn ein starkes Passwort gewählt wurde. Ein schwaches Passwort ist umgehend zu ändern.


7. Sichere Passwörter auch auf Smartphones

Auch wenn die Eingabe auf dem Smartphone „lästig“ erscheint, sollen hier sichere Passwörter verwendet werden. Laut LfDI BW bieten die biometrischen Sicherungsmethoden bei Tablets und Smartphones bei allen Herstellern ein hohes Sicherheitsniveau.


8. Standard-Passwörter immer ändern

Bei Hard- und Software, die bei Auslieferung mit einem Standard-Passwort gesichert sind, sollten diese Passwörter bei Inbetriebnahme sofort geändert werden.


9. Lügen bei Sicherheitsabfragen

Das LfDI BW empfiehlt, Sicherheitsabfragen nicht wahrheitsgemäß zu beantworten und die eingetragenen Antworten ebenfalls im „Passwort-Safe“ abzuspeichern. Viele Informationen seien heutzutage (insbesondere bei Personen des öffentlichen Lebens) im Internet zu finden.


10. Zwei-Faktor-Authentifizierung aktivieren

Viele Online-Dienstleister bieten eine sogenannte Zwei-Faktor-Authentifizierung (2FA) an. Ist diese aktiviert, muss der Nutzer beim Login noch einen zweiten Faktor eingeben, wie beim Online-Banking. Dieser zweite Faktor wird auf einem anderen Kommunikationsweg übertragen. Somit reicht die Kenntnis des Passworts alleine für einen erfolgreichen Angriff nicht aus. 

 

 

Fazit

Neben den üblichen Tipps überrascht das LfDI BW insbesondere mit Tipp 6, dass Passwörter nur bei Kompromittierung geändert werden sollten.

Unternehmen sollten ihre Mitarbeiter nicht nur auffordern, sichere Passwörter einzurichten, sondern durch eine entsprechende Regelung Anforderungen an die Passwörter setzen und die Mitarbeiter mit den Tipps des LfDI BW bei der Wahl ihres Passworts unterstützen.

Dadurch wird eine wichtige technische und organisatorische Maßnahme (TOM) verwirklicht und der Datenschutzorganisation gedient.

Dr. Christian Lenz

Rechtsanwalt, Fachanwalt für Steuerrecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Kontakt

Nehmen Sie mit uns Kontakt auf

Breifumschlag Kontaktformular Breifumschlag +49 0228 81000 0 Breifumschlag Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink