eine wesentliche Änderung hat sich bei der Frage ergeben, ob Unternehmen ihre Mitarbeiter zu einem regelmäßigen Passwortwechsel anhalten sollen. Ist man früher davon ausgegangen, dass ein Passwortwechsel regelmäßig nach 90 Tagen erfolgen soll, so ist man aufgrund wissenschaftlicher Diskussion zu der Erkenntnis gelangt, dass ein regelmäßiger Passwortwechsel nicht länger opportun ist.
Kurz zur Entwicklung der neuen Vorgaben:
Die Datenschutzkonferenz (DSK), die aus den unabhängigen Datenschutzbehörden des Bundes und der Länder besteht und unter anderem die Aufgabe hat, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen, bereits Mitte letzten Jahres unter der
„Orientierungshilfe: Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung“.
https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_anbieter_onlinedienste.pdf
einen Hinweis gegeben, dass Passwörter nicht mehr regelmäßig gewechselt werden sollen und dort ausgeführt:
„2.2 Passwortwechsel nur in Sonderfällen erzwingen
Sofern starke Passwörter (nach 2.1) verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich. Der Wechsel von Passwörtern soll insbesondere dann erzwungen werden, wenn der Dienstanbieter ein Initialpasswort in einer Weise zugeteilt hat, dass eine Kenntnisnahme durch Dritte nicht ausgeschlossen werden kann (z. B. durch postalischen Versand), oder wenn Hinweise auf eine Kompromittierung des Kontos oder sicherheitsrelevante Schwachstellen eingesetzter Softwarekomponenten vorliegen.“
Nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Behörde des Innenministeriums, die für IT-Sicherheit zuständig ist, nachgezogen und hat sein Grundschutzkompendium im betreffenden Baustein „ORP.4.A23“ geändert und schreibt dort:
„IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“
Im Vergleich zur vorherigen Vorgabe ist das eine Wendung um 180 Grad.
Zukünftig gilt deshalb, dass ein Passwortwechsel nur noch stattfinden soll, wenn
- vordefinierte Initial-Passworter existieren, die ein User z.B. bei seiner ersten Registrierung oder seinem ersten Login erhalten hat und
- ein Passwort kompromittiert ist.
Kompromittiert meint dabei also „wenn Daten manipuliert sein könnten“.
Nun könnte man meinen, dass diese neue Regelung gut ist und man sich dann ja nicht mehr darum kümmern muss, ob Mitarbeiter ihr Passwort regelmäßig ändern.
Aber das ist weit gefehlt. Denn das BSI schreibt hierzu weiter:
„Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.“
Nicht nur, dass man das Passwort nicht mehr in regelmäßigen Abständen ändern soll wird nun zum Standard erhoben, sondern auch die Kontrolle ob ein Passwort kompromittiert ist.
Und damit geht ein erhebliches Haftungsrisiko einher!
Denn: die Umsetzung technischer und organisatorischer Maßnahmen zu Datensicherheit regelt in Art. 32 DSGVO folgendes:
„Unter Berücksichtigung des Stands der Technik, (…) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; „
Im Ergebnis heißt das:
Sie müssen bei Anwendung dieser Vorgaben nachweisen, dass Sie regelmäßige Prüfungen durchführen, um die Kompromittierung von Passwörtern zu erkennen.
Ansonsten laufen Sie Gefahr, im Falle eines Datenleaks durch einen Hacker mit in die Verantwortung gezogen zu werden. Ausserdem steht auf die Nichtbeachtung der Vorschriften der DSGVO bekanntlich eine hohe Bußgeldandrohung.
Was ist zu tun?
Hierzu gibt es mehrere Möglichkeiten:
So können die Passwörter regelmäßig auf Kompromittierung mit folgenden tools gecheckt werden.
- HPI Identity Leak Checker des Hasso Plattner Instituts
https://sec.hpi.de/ilc/search?lang=de
- „ have I been pwned“-Datenbank
Sicherlich gibt es noch weitere Möglichkeiten, die von jedem Einzelnen geprüft werden können.
Für Rückfragen stehe ich Ihnen gerne zur Verfügung.
Schreibe einen Kommentar