25. August 2014 - Zugangskontrolle

Passwortrichtlinien: So müssen sie aussehen

Stehlen Angreifer Zugangsdaten, ist schnell Kritik an zu schwachen Passwörtern zu hören. Doch die neuen Fälle massenhaften Passwortdiebstahls zeigen deutlich, dass selbst die stärksten Passwörter keinen Schutz bieten, wenn es Lücken bei anderen Sicherheitsmaßnahmen gibt. Viele Passwortrichtlinien sind deshalb zu einseitig.

Passwortrichtlinien Neben den Anweisungen für Nutzer sollten Passwortrichtlinien auch Hinweise für Online-Anbieter enthalten (Bild: Wavebreakmedia Ltd/Wavebreak Media/Thinkstock)

Passwortsicherheit und Passwortdiebstahl haben viele Dimensionen, die sich auch in den Passwortrichtlinien wiederfinden müssen. Erstellen Sie Passwortrichtlinien daher so, dass sie alle Möglichkeiten des Passwortdiebstahls bzw. alle notwendigen Schritte der Passwortsicherheit abdecken.

Starke Passwörter sind zweifellos wichtig und werden immer wichtiger, doch sie sind bei weitem nicht alles, was Sie bei Passwörtern vorschreiben sollten.

Passwortdiebe feiern traurige Erfolge

Das Jahr 2014 scheint ein Rekordjahr für bekannt gewordene Fälle von Passwortdiebstahl zu werden. Bereits in den ersten Monaten informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) zweimal über millionenfachen Diebstahl von Zugangsdaten. Leider gab es im August 2014 einen weiteren Höhepunkt: Das US-Unternehmen Hold Security veröffentlichte die Entdeckung des Diebstahls von 1,2 Milliarden Benutzernamen und zugehöriger Passwörter sowie von mehr als 500 Millionen E-Mail-Adressen.

Passwortsicherheit muss dringend verbessert werden

Solche Meldungen sollten nicht nur als Warnschuss für alle Internetnutzer und Unternehmen verstanden werden. Die Vorfälle sind vielmehr ein mehr als deutliches Zeichen dafür, dass die Passwortsicherheit umgehend besser werden muss. Leider wird Passwortsicherheit vielfach zu eng gesehen und der Optimierungsbedarf falsch oder einseitig wahrgenommen. Für Sie als Datenschutzbeauftragten ist es entscheidend, dass die Passwortsicherheit als zentraler Teil der Zugangskontrolle richtig in Ihrem Zuständigkeitsbereich angegangen wird.

Schritt für Schritt zu besseren Passwortrichtlinien 

Ein Passwortdiebstahl kann stattfinden, indem das Passwort geknackt oder erraten wird, was dem Fall des zu schwachen Passworts entspricht. Was aber gerne vergessen wird, ist, dass sich selbst das stärkste Passwort stehlen und missbrauchen lässt, wenn es ein Keylogger oder eine andere Schadsoftware mitschreibt.

  • Mangelnde Passwortsicherheit hängt somit auch mit mangelndem Virenschutz zusammen.
  • Ein weiterer Mangel in der Passwortsicherheit ist die ungeschützte lokale Speicherung von Passwörtern,
  • ebenso die ungeschützte Übertragung der Passwörter zum Beispiel im Internet.
  • Nicht zuletzt aber wird auch die Passwortsicherheit gefährdet, wenn der Betreiber der Website oder des Online-Dienstes die Passwörter nicht sicher speichert oder noch besser die Passwörter gar nicht speichert, sondern nur die Hash-Werte der Passwörter, die ausreichen, um die Gültigkeit eines Passworts zu überprüfen.

Es zeigt sich, dass es eine ganze Reihe von Anforderungen an die Passwortsicherheit gibt, die nicht den Nutzer, sondern den Betreiber eines Dienstes oder einer Anwendungen betreffen. Auch für die Betreiber zum Beispiel von Webservern muss es also neue, verschärfte Passwortrichtlinien geben, wenn sich der Passwortdiebstahl nicht weiterhin massenhaft wiederholen soll.

Tipps zur Prüfung der Passwortrichtlinie in Ihrem Unternehmen finden Sie in der Checkliste.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln