Datenschutzbehörde gibt Tipps für sichere Passwörter

Die Authentifizierung von Nutzern erfolgt zumeist noch über Passwörter, von der Anmeldung am Rechner über die Nutzung von Online-Konten bis zum Zugriff auf Dateien. Doch immer wieder erweisen sich unzureichende Passwörter als Sicherheitsrisiko. Hackern oder Datenspionen wird es zu leicht gemacht, sie zu überwinden. Die Datenschutzbehörde in Baden-Württemberg hat einen Praxisratgeber für sichere Passwörter herausgegeben.

Formal gesehen stellt die Authentifizierung mittels Nutzername und Passwort eine „technische und organisatorische Maßnahme“ i. S. d. Art. 32 DSGVO zur Sicherheit der (Daten-)Verarbeitung dar, erläutert der Landesbeauftragte für Datenschutz und Informationssicherheit in Baden-Württemberg (LfDI) in seinen Ausführungen zu sichereren Passwörtern.

Er verweist zugleich darauf, dass eine unzureichende Umsetzung dieser Sicherheitsmaßnahmen mit Bußgeldern von bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Umsatzes eines Unternehmens geahndet werden kann.

Tipps zur Passwort-Auswahl vom Landesbeauftragte für Datenschutz und Informationssicherheit

Nach diesem Paukenschlag gibt er zahlreiche Tipps, wie Passwörter gewählt bzw. gestaltet sein sollten, damit diese ein ausreichendes Sicherheitsniveau gewährleisten können:

  • starke Passworte verwenden

So sollen die Nutzer ausschließlich starke Passwörter verwenden. Diese zeichnen sich u.a. durch eine ausreichende Länge und einen Mix aus Groß- und Kleinbuchstaben, Ziffern und weiteren Zeichen aus. Bei der Verwendung von Sonderzeichen oder auch Umlauten müssen Sie beachten, ob diese von den Systemen unterstützt werden und ob diese mit akzeptablem Aufwand an den Endgeräten eingegeben werden können.

  • Merkhilfen

Da man sich solche Zeichenfolgen üblicherweise kaum merken kann, gibt es verschiedene Hilfsmittel, mit denen sich dennoch leicht zu merkende Zeichenfolgen erstellen lassen. Als "Eselsbrücke" eignet sich etwa die Konstruktion eines sicheren Passworts, indem dieses aus den jeweils ersten Buchstaben und Zahlenfolgen eines einfach zu merkenden Satz gebildet wird. Auch die Verwendung eines ganzen Satzes als Passphrase ist möglich, wobei diese Methode unpraktisch wird, wenn das Passwort häufig eingegeben werden muss oder wenn die Eingabe auf Smartphones und Tablets erfolgt. Optional können Sie auch durch Passwortgeneratoren sichere Passwörter erstellen lassen und diese in einem Passwort-Safe speichern.

Passwort-No-Gos

  • Passwörter dürfen niemals für mehrere Konten verwendet werden, da das Risiko zu groß ist, dass, wenn ein Passwort einmal bei einem der zahlreichen erfolgreichen Hacker-Angriffe erbeutet wurde, damit auch alle anderen hiermit geschützten Zugänge gefährdet sind.
  • Passwörter, die aus einfachen Begriffen oder Begriffskombinationen bestehen, die auch in Wörterbüchern zu finden sind, bieten keinen ausreichenden Schutz und sollten daher nicht verwendet werden.
  • Passwörter sollten niemals weitergegeben werden und auch nicht in unverschlüsselten E-Mails versendet oder in unverschlüsselten Dokumenten gespeichert werden.

Was die Sicherheit auch erhöht:

  • Abweichend von früheren Empfehlungen sollen Passwörter nicht mehr regelmäßig geändert werden, sondern nur noch dann, wenn es Anzeichen dafür gibt, dass das Passwort möglicherweise ausgespäht wurde, beispielsweise wenn es erfolgreiche Hacker-Angriffe auf Online-Dienste gab, bei denen das Passwort genutzt wurde.
  • Standard-Passwörter, die auf vielen Geräten zunächst voreingestellt sind, müssen in jedem Fall schnellstmöglich nach Inbetriebnahme geändert werden.
  • Auf Geräten wie Smartphones oder Tablets dürfen keine zu kurzen Passwörter oder PINs verwendet werden, auch wenn die Eingabe längerer Varianten hier unbequemer ist.
  • Bei den oftmals angebotenen Sicherheitsabfragen (z.B. nach falschen Passwort-Eingaben oder zur Rücksetzung eines Passworts) sollten Sie keine korrekten Antworten wählen, sondern sich eine beliebige Antwort ausdenken, die als korrekt akzeptiert wird. Damit verhindern Sie, dass Angreifer, die Sie persönlich bzw. Ihr Umfeld kennen, diesen Sicherheitsmechanismus überwinden können.
  • Sofern sie angeboten wird, sollten Sie die Option für eine Zwei-Faktor-Authentifizierung nutzen.

Tipps für Administratoren und Entwickler

Zusätzlich zu den Tipps zur Auswahl bzw. Generierung eines sicheren Passworts für alle Anwender gibt es anschließend noch separate Tipps für Administratoren und Entwickler:

  • Erstellen einer Passwort-Richtlinie: Diese Hinweise zum Erstellen sicherer Passwörter sollten in Form einer Richtlinie den Nutzern im Betrieb bzw. der Organisation zugänglich gemacht werden. Soweit dies möglich und sinnvoll ist, sollten auch nur solche Passwörter akzeptiert werden, die diesen Regeln entsprechen.
  • Keine regelmäßigen Passwortänderungen erzwingen:  Auf regelmäßige Änderungen von Passwörtern sollte verzichtet werden, da dies keine positiven Effekte hat, sondern eher sogar kontraproduktiv wirkt.
  • Auf fehlerhafte Anmeldungen reagieren: Mitunter kann es sinnvoll sein, einen Account nach mehreren fehlgeschlagenen Anmeldeversuchen zu sperren, jedoch hat dieses Vorgehen auch Nachteile. Oftmals ist sinnvoller, nach einer geringen Zahl von Fehlversuchen zeitliche Verzögerungen für die weiteren Anmeldeversuche zu implementieren, um Angriffe durch simples Ausprobieren von Passwörtern zu verhindern. Fehlgeschlagene Anmeldeversuche sollten zudem protokolliert werden, um mögliche Angriffsversuche zu erkennen.
  • Passwörter dürfen keinesfalls in unverschlüsselter Form gespeichert werden. In jedem Fall müssen aktuelle Verfahren zur Verschlüsselung genutzt werden. Der Zugang zu Passwort-Datenbank muss besonders gut gesichert sein und nur ausgewählte Mitarbeiter dürfen hierauf Zugriff haben
  • Neben der einfachen Anmeldung per Passwort sollte die Zwei-Faktor-Authentifizierung als zusätzliche Option mit erhöhter Sicherheit angeboten werden.
  • Bei mitgelieferten voreingestellten Standard-Passwörtern muss sichergestellt werden, dass die Nutzer möglichst unverzüglich diese Passwörter ändern und individuelle Passwörter verwenden.
  • Anbieter von Online-Diensten dürfen keinesfalls fremde Passwörter sammeln.

Weitere News zum Thema:

Hackerangriff auf Politiker und Prominente

IT-Governance in der Praxis

Bundesregierung plant Ausweitung der Meldepflicht bei Hackerangriffen


Schlagworte zum Thema:  Datensicherheit