BSI empfiehlt, Passwörter nicht mehr regelmäßig zu ändern!


Hintergrund:

In der neuen Fassung des BSI-IT-Grundschutz-Kompendiums vom 1. Februar 2020 (ORP.4.A8 Regelung des Passwortgebrauchs) verzichtet das BSI zukünftig auf die Anforderung, dass Passwörter in angemessenen Zeitabständen geändert werden sollten.

Hintergrund der Änderung sind Empfehlungen von IT-Sicherheitsexperten, die darauf hinweisen, dass eine regelmäßige Änderung von Passwörtern zu erheblichen Sicherheitslücken führen kann.

Anwender sind in der Regel durch interne Richtlinien dazu aufgefordert, Passwörter nicht mehrfach zu verwenden und regelmäßig zu ändern. Das führt jedoch häufig dazu, dass unsichere Kennwörter wie „Passwort1“, „Passwort2“ oder „Januar2020!“, „Februar2020!“ usw. verwendet werden, die zudem möglicherweise auch aufgeschrieben oder abgespeichert werden. Damit verringert das regelmäßige Ändern von Passwörtern unter Umständen sogar die IT-Sicherheit eines Unternehmens.


Fazit:

Das BSI sieht vor, dass Passwörter geändert werden, wenn sie unautorisierten Personen bekannt geworden sind oder der Verdacht hierauf besteht.

Wir empfehlen, die bisherigen Kennwortrichtlinien vor diesem Hintergrund zu prüfen, ggf. anzupassen und die Anwender entsprechend zu sensibilisieren.


Handlungsbedarf:

  • Prüfen Sie Ihre Kennwortrichtlinien und passen Sie diese ggf. an.
  • Setzen Sie die Richtlinien in Ihren IT-Systemen um.
  • Sensibilisieren Sie Mitarbeiter in Bezug auf die Nutzung von Passwörtern.