Der Sächsische Datenschutzbeauftragte

Die Kenntnis über die Verwendung und Auswahl sicherer Passworte hat in der Praxis enorme Bedeutung erlangt. Als sicher aus heutiger technischer Sicht gelten Passworte, die aus mindestens acht Zeichen bestehen und dabei drei der vier Zeichengruppen (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen) beinhalten. Es kommt jedoch nicht nur auf die Entscheidung für ein geeignetes Passwort selbst an, wichtig sind ebenso die Umstände seiner Verwendung. Die nachfolgende Musterlösung soll dabei helfen, diese Aspekte im Blick zu behalten.

Heute werden in IT-Systemen überwiegend Passwörter zur Authentisierung verwendet. Authentisierung bedeutet in diesem Zusammenhang, dass einem bestimmten Benutzer festgelegte Berechtigungen ("Zugang zu", "Zugriff auf") erteilt werden sollen, wenn dieser Benutzer ein ebenso zuvor vereinbartes "Geheimnis" (Passwort) kennt. Jedes technische System wird daraufhin prüfen, ob die ihr bekannte Kombination aus Benutzernamen und Passwort mit den soeben eingegebenen Daten übereinstimmt und im positiven Fall die gewünschte Berechtigung erteilen. Hier ist es wichtig zu verstehen, dass die Software weder prüfen noch bestätigen kann, ob es sich bei dem Benutzer tatsächlich um Frau X oder Herrn Y handelt. Sie kann lediglich feststellen, ob die eingegebenen Daten richtig oder falsch sind.

Die Sicherheit dieser Verfahrensweise beruht somit ausschließlich auf dem Prinzip "Wissen". Gelangt dieses Wissen anderen Personen zur Kenntnis (weil das Passwort z. B. auf der Unterseite der Tastatur oder auf einem Klebezettel am Monitor notiert war) oder konnte es schlichtweg erraten werden, ergibt sich daraus ein Sicherheitsproblem: Denn nun kann auch eine andere Person diese Daten eingeben und die gewünschte Berechtigung erhalten, da die Software das Passwort ja als gültig akzeptieren wird.

Um diese Überprüfung des berechtigten Benutzers auf eine qualitativ höhere Stufe zu heben, sind also weitere Informationen erforderlich, über die nur der betreffende Benutzer verfügen kann. Dies können biometrische Merkmale sein, die der Benutzer schon durch seine biologische Einzigartigkeit mitbringt (ein Fingerabdruck, ein Iris-Abbild, ein Venenmuster). Gebräuchlich sind jedoch auch technische Hilfsmittel, wie Chipkarten, Sicherheitstoken oder Einmalpasswortgeneratoren, die mit einer einzigartigen Seriennummer nur an diesen Benutzer herausgegeben werden. Dadurch wird die Sicherheitskonstruktion zu einer Kombination aus "Besitz" (Chipkarte, Token, Fingerabdruck usw.) und "Wissen" (Benutzername, Passwort). Die Frage "Ist das vor dem Computer auch tatsächlich der Benutzer Z?" kann dadurch mit wesentlich höherer Wahrscheinlichkeit richtig beantwortet werden (Ausnahmen sind z. B. verloren gegangene Chipkarten, auf denen das Passwort notiert war ...).

Die bisherigen Ausführungen machen deutlich, dass sich das Thema in die beiden nachfolgenden Schwerpunkte aufteilen lässt.

Die Zeichenzusammensetzung des Passwortes muss so gewählt werden, dass es nicht erraten oder durch einfaches Ausprobieren ermittelt werden kann. Erschwerend kommt hinzu, dass durch die hohe Rechenleistung heutiger Computer einfache Passworte auch errechnet werden können (sog. "Brute Force"). Die Qualität eines Passwortes wird an seiner Länge und den darin enthaltenen Zeichen gemessen.

Aus heutiger technischer Sicht sollten folgende Mindestanforderungen für die Passwortgestaltung beachtet werden:

Namen, Kfz-Kennzeichen, Geburtsdatum, Telefonnummern oder Trivialpassworte (z. B. "BBBBBBBB", "123456") sind einfach zu erraten und deshalb nicht als Passwort oder Passwortbestandteil geeignet.

Das Passwort muss mindestens 8 Zeichen lang sein.

Für den Inhalt des Passwortes stehen vier Zeichengruppen zur Verfügung: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Ein sicheres Passwort muss heute aus einer Kombination von drei dieser vier Zeichengruppen bestehen.

Beispiel zur Passwortbildung

Ein Passwort kann aus zwei voneinander unabhängigen Wörtern oder einer Redewendung bestehen, z. B.: "Nebel" und "Baum". Ein Weg ist es, diese Worte zusammen zu setzen bzw. eine Redewendung so zu kürzen, dass sie der zulässigen Mindestlänge entsprechen, z. B. "NebeBaum" und dann ein oder mehrere Zeichen der so entstandenen Zeichenfolge durch Sonderzeichen zu ersetzen, z. B. "NebeB@um".

Die Passwortverwendung richtet sich an zwei Adressatenkreise: Zum einen an die Benutzer, die Passworte erstellen und eingeben, zum anderen aber auch an die Administratoren, die Einstellungen zum Passwortgebrauch vornehmen.

Der Benutzer muss das Passwort geheim halten, es darf nur persönlich bekannt sein.
Passworte sind auch nicht anderen Personen - einschließlich Administratoren - mitzuteilen. Kritisch ist in diesem Zusammenhang immer wieder der "unerwartete Vertretungsfall". Muss bei Abwesenheit des Benutzers X auf dessen Daten zugegriffen werden, sollte dessen Passwort entweder in einem verschlossenen Umschlag im sicheren Datenschrank vorliegen oder vom Administrator neu vergeben werden. Diese organisatorische Frage ist in Abhängigkeit von den dienstlichen Notwendigkeiten zu entscheiden.

Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt werden, Passwörter dürfen auch nicht auf programmierbare Funktionstasten gespeichert werden.

Nach mehrfacher fehlerhafter Passworteingabe (maximal fünf Fehleingaben) sollte die Aufforderung zur Passworteingabe zeitweilig oder dauerhaft gesperrt werden, der Zugang zum IT-System ist damit für diesen Benutzer nicht mehr möglich. Da dies sicherheitsrelevant ist, sollte ein entsprechender Protokolleintrag automatisch generiert und von einem Sicherheitsverantwortlichen auch bemerkt werden.

Gesperrte Passworte dürfen nur durch berechtigte Personen (z. B. hierfür benannte Administratoren oder spezielle Benutzerverwalter) zurückgesetzt werden.

Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.

In vernetzten Umgebungen ist in Bezug auf die Passwortsicherheit zu betrachten, wie das eingegebene Passwort über das Datennetz transportiert wird. Grundsätzlich, auch im internen Netzwerk, sollte die Passwortübertragung verschlüsselt erfolgen, da mit einfachen technischen Hilfsmitteln die Daten "mitgelesen" werden können und somit unverschlüsselte Passworte auch Dritten zur Kenntnis gelangen würden. In der Praxis weitgehend unbeachtet ist die Tatsache, dass im Internet verschiedene Dienste durch das ihnen zugrunde liegende Übertragungsprotokoll unverschlüsselt arbeiten. Dazu gehören u. a. Webseiten, die per http:// aufgerufen werden, E-Mail-Konten, deren Mailserver nach dem POP-Protokoll arbeiten, aber auch die Dateiübertragung nach dem FTP-Protokoll.

Sofern die Notwendigkeit besteht, externe Dienste mit Passwortanmeldung in Anspruch zu nehmen, ist in jedem Fall darauf zu achten, dass sich die externen Benutzernamen und Passworte vom intern gebrauchten unterscheiden.

Weitere Hinweise können den IT-Grundschutz-Katalogen (M 2.11 Regelung des Passwortgebrauchs) oder der Orientierungshilfe "Empfehlungen zur Passwortgestaltung und zum Sicherheitsmanagement" entnommen werden.