Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


21.2.2020

Passwortwechsel ade? – Bundesamt für Sicherheit in der Informationstechnik (BSI) mit neuen Vorgaben

Vor fast einem Jahr hatte ich über neue Hinweise zum Umgang mit Passwörtern des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg berichtet, der den regelmäßigen Passwortwechsel für überholt hält. Dieselbe Auffassung vertritt nunmehr auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Position des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg

In seinen „Hinweisen zum sicheren Umgang mit Passwörtern“ vom 12.2.2019 stellt sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg ausdrücklich auf den Standpunkt, dass eine regelmäßige Änderung von Passwörtern unter Sicherheitsgesichtspunkten überholt und daher auch datenschutzrechtlich nicht angezeigt ist. Entscheidend sei die Qualität eines Passwortes und der sorgfältige Umfang mit Passwörtern (z.B. keine „Passwortzettel“). Diesem Ansatz habe ich bereits seinerzeit grundsätzlich zugestimmt, wobei Szenarien denkbar sind, für die ein regelmäßiger Passwortwechsel angezeigt sein kann.

Position des Bundesamts für Sicherheit in der Informationstechnik

Zwischenzeitlich empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht mehr, Passwörter zwingend regelmäßig zu ändern. Im Baustein Organisation und Personal (OPR) der aktuellen Fassung des BSI-Grundschutz-Kompendiums (Edition 2020) heißt es in Abschnitt 4 (Identitäts- und Berechtigungsmanagement):

 „T-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“

Ein (erzwungener) Wechsel des Passworts sollte also nur mit einem validen Grund erfolgen. Ein solcher Grund liegt beispielsweise vor, wenn ein Passwort in fremde Hände gelangt ist oder ein entsprechender begründeter Verdacht besteht. Reine zeitgesteuerte Wechsel sollen laut BSI vermieden werden. Vielmehr müssen Maßnahmen ergriffen werden, um eine etwaige Kompromittierung von Passwörtern zu erkennen. Falls dies nicht möglich ist, muss geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Zu den Nachteilen eines erzwungenen zeitgesteuerten Passwortwechsels, die an dieser Stelle vom BSI nicht genannt werden, zählt unter anderem, dass Nutzer bei regelmäßigen Passwortwechseln schwache Passwörter nach einem bestimmten Schema nutzen, z.B. Code123, Code456, Code789. Über die Probleme bei der Wahl und dem Umgang mit Passwörtern sowie über das beliebteste Passwort der Deutschen („123456“) hatte ich in den Datenschutz-News vom 20.12.2019 informiert.

BSI-Position zu Passwortvorgaben bzgl. Art und Länge

Das BSI hat sich auch von der Auffassung verabschiedet, dass für die Passwortvergabe bestimmte Mindestvorgaben wie Länge und Art der Zeichen zu machen sind. Vielmehr müssen Passwörter geeigneter Qualität in Abhängigkeit von Einsatzzweck und Schutzbedarf gewählt werden. Das Passwort muss so komplex sein, dass es nicht leicht zu erraten ist. Allerdings darf das Passwort nicht zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden. Weiterhin bleibt es dabei, dass eine mehrfache Verwendung von Passwörtern für verschiedene IT-Systeme bzw. Anwendungen verboten sein soll. Ebenso sollen Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, nicht verwendet werden. Schließlich dürfen nach einem Passwortwechsel alte Passwörter nicht mehr genutzt werden.

Folgen und Hinweise für die Praxis

Die Auffassung des BSI sollte von datenschutzrechtlich Verantwortlichen, aber auch Auftragsverarbeitern geprüft und beachtet werden. Eine im Unternehmen geübte Praxis des ausschließlich zeitgesteuerten erzwungenen Passwortwechsels sollte grundsätzlich angepasst werden. Darüber hinaus müssen – sofern noch nicht vorhanden – Maßnahmen ergriffen werden, um eine etwaige Kompromittierung von Passwörtern erkennen zu können. Dieser wichtige Aspekt, den das BSI im Zusammenhang mit dem Passwortwechsel als zwingend ansieht, darf nicht übersehen werden. Das gesamte BSI-Grundschutz-Kompendiums (Edition 2020) können Sie als pdf-Datei hier direkt oder auf der Website des BSI herunterladen. Schließlich sollten Sie sich etwaige Auftragsverarbeitungsverhältnisse mit Blick auf den Passwortwechsel ansehen. Es ist eine der technischen und organisatorischen Maßnahmen, die nach Art. 28 Abs. 3 Satz 2 Buchstabe c DSGVO in der Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter festzulegen sind. Diese Maßnahmen sind nach Art. 32 DSGVO unter Berücksichtigung unter anderem des „Stand der Technik“ zu treffen. Und um Standards für den Passwortwechsel geht es hier.

Sollten Sie Fragen zu datenschutzrechtlichen Anforderungen an Passwörter und sonstige Sicherheitsmaßnahmen haben oder rechtliche Unterstützung bei der Umsetzung technischer und organisatorischer Maßnahmen benötigen, können Sie mich gerne kontaktieren.

 

Zurück zur Übersicht