Home » Fachbeiträge » Security Management » BSI IT-Grundschutz-konforme Benutzerpasswörter

BSI IT-Grundschutz-konforme Benutzerpasswörter

Wenn es darum geht, Benutzer zu identifizieren und authentisieren, ist die Kombination von Benutzernamen beziehungsweise E-Mail-Adresse und Passwort nach wie vor die am weitesten verbreitete Methode in Unternehmen. Damit kommt der Sicherheit der verwendeten Passwörter eine zentrale Funktion in der IT-Sicherheit des gesamten Unternehmens zu.

4 Min. Lesezeit
Fenster zur Passwort-Verifizierung
Foto: ©AdobeStock/Yuriy Afonkin

Advertorial

Zum Schutz des Unternehmensnetzwerks und vertraulicher Daten, fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher, dass Passwörter in geeigneter Qualität (je nach Einsatzzweck und Schutzbedarf) gewählt werden müssen. Das Ziel dieses Beitrags ist es, Ihnen einen Überblick über die Anforderungen des IT-Grundschutz-Kompendiums an Passwörter zu geben und Maßnahmen sowie Tools aufzuzeigen, die bei der Umsetzung dieser Anforderungen helfen können.

Starke Passwörter – aber nicht zu kompliziert

Im Abschnitt ORP.4.A22 zur Regelung der Passwortqualität wird Folgendes von den Passwörtern gefordert:

In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende in der Lage sind, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.

Aber Passwortlänge und -komplexität sind nicht die einzigen Indikatoren für die Qualität von Kennwörtern. Passwörter, die etwa auf Unternehmens- oder Produktnamen basieren, sind für Angreifer leicht zu erraten und dürfen daher laut IT-Grundschutzkompendium (ORP.4.A8 … Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden …) nicht verwendet werden.

Zusätzlich zu den Einstellungsmöglichkeiten zu Passwortlänge und Komplexität in Gruppenrichtlinien oder via Fine Grained Password Policies in Active DiIT-SICHERHEIT_6/2024 rectory, erweitern Tools wie Specops Password Policy deren Funktionalität, um bei Bedarf mithilfe von Blacklists, leicht zu erratende Kennwörter oder Begriffe mit Bezug auf Ihre Organisation auszuschließen.

Specops Password Policy Passwort-Blacklist
Abbildung 1: Erstellen Sie mit Specops Password Policy individuelle Blacklists zur Sperrung von leicht zu erratenden Begriffen.

Allerdings fordert das BSI auch, Passwörter nicht so kompliziert zu gestalten, dass sie nicht mehr „mit vertretbarem Aufwand“ regelmäßig verwendet werden können (ORP.4.A22). Hintergrund ist, dass Menschen, wenn es darum geht, dem Gedächtnis auf die Sprünge zu helfen, zu Strategien neigen, die sich ungünstig auf die Sicherheit des „gemerkten“ Passworts auswirken: Man hinterlegt dann beispielsweise das Passwort schriftlich irgendwo am Arbeitsplatz oder nutzt einfach das gleiche „sichere“ Passwort für die verschiedensten Accounts. Denn: Das Aufschreiben von Passwörtern erlaubt das Grundschutz-Kompendium nur für den Notfall und auch nur dann, wenn das schriftlich fixierte Kennwort sicher aufbewahrt wird (ORP.4.A8).

Die Wiederverwendung von Passwörtern

Vielen Anwendern scheint nicht klar zu sein, dass ein mehrfach genutztes Passwort, wenn es erst einmal kompromittiert ist, den Zugang zu allen anderen damit gesicherten Accounts öffnet (Stichwort „Credential Stuffing“). Das BSI betont daher: „Passwörter DÜRFEN NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden“ (ORP.4.A8). Hier lautet die Präventivmaßnahme der Wahl: Sensibilisierung und Schulung sowie Tools wie Passwortmanager, die dabei helfen, alle „Post-Login“-Passwörter oder Zugangsdaten zu speichern.

Bereits (und zukünftig) kompromittierte Passwörter

In ORP.4.A8 „… Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden. Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR den Benutzenden persönlich bekannt sein …“ und A23 fordert „… Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen …“ – doch wie lässt sich das am einfachsten umsetzen?

Online-Verzeichnisse wie haveibeenpwned, ermöglichen es Passwörter via API gezielt daraufhin zu überprüfen, ob sie in den jeweiligen Listen auftauchen. Auch ein automatischer und regelmäßiger Scan aller Passwörter in Active Directory hilft dabei unsichere Passwörter schnellstmöglich identifizieren und den Anforderungen gerecht zu werden. ThirdParty-Lösungen wie Specops Password Policy mit Breached Password Protection bieten hier eine tägliche Überwachung der Passwörter. Dafür werden die Passwort-Hashes mit einer umfangreichen, täglich aktualisierten Datenbank bereits kompromittierter Kennwörter abgeglichen. Diese Datenbank enthält derzeit mehr als vier Milliarden kompromittierte Passwörter aus Leak-Listen, Passwort-Spray-Angriffen auf Honeypot-Systemen und Passwörter, die durch Infostealer-Malware gestohlen wurden.

Admin-Tools-BPP-Continuous
Abbildung 2: Regelmäßige Scans auf kompromittierte Passwörter helfen, die Gefahren durch die Wiederverwendung von Passwörtern, Infostealern und bereits kompromittierten Passwörtern zu reduzieren.

IT-Grundschutz-Anforderungen zum Passwortwechsel

Wurden kompromittierte Passwörter gefunden, müssen diese natürlich umgehend geändert werden – ebenso wie Passwörter, von denen unautorisierte Personen Kenntnis erlangt haben. Dies gilt nach ORP.4.A8 sogar dann, wenn nur der Verdacht besteht, dass ein Passwort bekannt geworden sein könnte.

Dagegen rückt das BSI von der Forderung nach einem regelmäßig erzwungenen Passwortwechsel ab: „IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden“ (ORP.4.A23). Nur falls Maßnahmen zur Erkennung kompromittierter Kennwörter nicht möglich sind, rät das IT-Grundschutz-Kompendium zu prüfen, ob „die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können“.

Um Nutzern die Vergabe längere Passwörten schmackhaft zu machen, empfehlen wir aber, einen zeitlich nicht zu eng gestalteten Wechselturnus an die Länge der Passwörter zu koppeln. So könnte beispielsweise bei Passwortlängen von 15 und mehr Zeichen der Nutzer mit einem jährlichen Passwortwechsel belohnt werden, wobei kürzere Passwörter dann ein entsprechend kürzer gültig wären.

Password Expiration
Abbildung 3: Einstellungsmöglichkeiten zur Umsetzung von längenbasierten Ablaufdaten für Passwörter in Specops Password Policy

Fazit

Das IT-Grundschutz-Kompendium enthält eine Reihe von Vorgaben, die sich auf unterschiedliche Weise in Passwortrichtlinien, Lösungen von Drittanbietern und einem stärkeren Cybersecurity-Bewusstein der Mitarbeiter umsetzen lassen.

Gern beraten die Experten von Specops Software Sie dabei, wie Sie regelkonforme Passwortrichtlinien für Ihre Organisation einfach umsetzen können.

Kontakt

Specops Software GmbH
Gierkezeile 12
10585 Berlin
Telefon: +46-8-465 012 34
https://specopssoft.com/de/

Andere interessante Fachbeiträge

Symbol der E-Mail-Verschlüsselung

Effiziente E-Mail-Verschlüsselung weiterentwickelt mit GINA V2

Mit GINA V2 steht eine innovative Lösung für die sichere Spontanverschlüsselung bei der E-Mail-Kommunikation bereit, diese Verschlüsselungsform bietet höchsten Datenschutz und ermö...

Digitale Daten vor Strommasten

Zugriff verweigert

Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehme...

Datenschutz-Symbol vor Industrieanlage

So schützt das KRITIS-Dachgesetz kritische Infrastrukturen

Am 6. November 2024 hat das Bundeskabinett das neue KRITIS-Dachgesetz beschlossen: ein zentrales Gesetz, das den Schutz kritischer Infrastrukturen (KRITIS) stärkt. Mit dieser Regel...