«Bitte ändern Sie Ihr Passwort» – wer kennt sie nicht, die regelmässige Aufforderung, bis zum Tag X ein neues Passwort zu wählen, die 3-monatlich, halbjährlich oder jährlich auftaucht?
Interessant an dieser Aufforderung, die in vielen Unternehmen immer noch verschickt wird, ist, dass ein solcher periodischer Wechsel eigentlich überhaupt keinen Sinn macht. Bereits im August 2017 konnte man in den Medien lesen, dass Bill Burr, einer der ersten Verfasser von Passwortrichtlinien, seinen Rat, Passwörter regelmässig zu ändern, mittlerweile bereue (hier nachzulesen). Dieser Sinneswandel hatte seinen Grund. Was heute für den sicheren Umgang mit Passwörtern empfohlen wird, erfahren Sie in diesem kurzen Artikel.
Was ist das Problem?
Wenn Nutzer regelmässig mit Mahnungen zum Passwortwechsel «genervt» werden, führt dies bei vielen von ihnen zur Frustration und zum dringenden Wunsch, möglichst schnell das Passwort zu ändern, um weitere Aufforderungen zu verhindern. Das Resultat: Sie wählen einfache und kurze neue Passwörter, die sich nur minimal vom bisherigen Kennwort unterscheiden und die sie sich leicht merken können – z. B. entsprechend der aktuellen Saison: Frühling2023, Sommer2023, Herbst2023, Winter2023, Frühling2024 und so weiter.
Dies ist nicht im Sinne des Erfinders und der IT-Sicherheit! Das Problem wurde in der Folge schnell erkannt. In den bekannten IT-Sicherheitsframeworks wurden die Empfehlungen zum Passwortwechsel denn auch längst entsprechend angepasst. So rät z. B. die US-Behörde NIST, die Funktion, die das Auslaufen der Passwörter steuert, zu deaktivieren (https://pages.nist.gov/800-63-FAQ/#q-b05 Standard SP 800-63B Section 5.1.1.2). Wie also sollen Unternehmen heute dafür sorgen, dass die Accounts ihrer Mitarbeitenden sicher und geschützt sind?
So machen Sie Accounts sicher
Die beste Lösung ist, von Anfang an ein sehr sicheres Passwort zu setzen, das den definierten Komplexitätsrichtlinien entspricht. Instruieren Sie die Nutzer im Voraus detailliert, wie sie sichere Passwörter erstellen können und stellen Sie dabei von Anfang an klar, dass dieses Passwort bis auf weiteres nicht mehr geändert werden muss. Diese Gewissheit, dass sich der Aufwand lohnt, motiviert die Nutzer dazu, auch wirklich ein einmaliges und gutes Passwort zu wählen. Ein Ansatz sind z. B. Passphrasen: Dabei denken sich die Nutzer einen Satz oder ein Wortgefüge aus, wie z. B. ArztGlasDaumenNadelFaden. Dies kann man sich am leichtesten merken, indem man sich eine passende Geschichte dazu überlegt.
Unter Umständen kann es sinnvoll sein, die Komplexitätsstandards nicht allzu hoch anzusetzen, um es den Nutzern zu ermöglichen, ein sicheres Passwort zu wählen, das sie sich dennoch merken können.
Sobald die Frist für das Setzen eines sicheren Passwortes nach den Vorgaben des Unternehmens abgelaufen ist, sollte die IT als Erstes überprüfen, ob auch alle Mitarbeitenden dieser Aufforderung in der gewünschten Weise nachgekommen sind. Ob die Passwörter die Sicherheitsbestimmungen tatsächlich erfüllen, können Sie mithilfe technischer Möglichkeiten automatisiert testen und sich bestätigen lassen.
Entsprechen die gewählten Passwörter den Sicherheitsvorgaben, können die Mitarbeitenden diese auf unbestimmte Zeit nutzen.
Ausnahmen von der Regel
Tatsächlich gibt es Situationen, in welchen alle Benutzer ihre Passwörter zwingend wechseln sollten, auch wenn sie gemäss Richtlinien sicher sind. Dies trifft beispielsweise zu, wenn auch nur der geringste Verdacht vorliegt, dass ein Cyberangriff die IT-Sicherheit kompromittiert haben könnte. Ist dies der Fall, kann die Sicherheit der Passwörter nicht länger garantiert werden, und es ist essenziell, dass alle Nutzer möglichst zeitnah ihre Passwörter wechseln. Accounts von Nutzern, bei denen dieses aufgrund von Ferien, Krankheit oder anderer Abwesenheiten nicht möglich ist, sollten sofort deaktiviert werden, bis der Passwortwechsel durchgeführt werden kann.
Was ist mit «shared» Accounts?
Shared Accounts bilden eine weitere Ausnahme. Im Prinzip gilt die Regel: «Shared Accounts gibt es nicht!», denn Shared Accounts sollten unbedingt vermieden werden! Ist dies aus einem triftigen Grund nicht möglich, muss das Passwort ausnahmslos regelmässig geändert werden. Auch wenn eine Person, die Zugang zum Shared Account hat, die Organisation verlässt oder intern eine andere Funktion übernimmt, ist ein Passwortwechsel angesagt!
Die Richtlinie zum Passwortwechsel ist nur einer unserer Sicherheitstipps. In unseren House of IT Insights finden Sie noch viele andere Tipps zum Thema Cybersecurity und zum sicheren Umgang mit Ihren Unternehmensdaten.
Haben Sie weitere Fragen zum Thema IT Security, steht Ihnen unser IT Security Consultant, Marius Dubach, sehr gerne für eine persönliche Beratung zur Verfügung.
