Fachnews 05.04.2019

Datenschutz: Passwortsicherheit rückt in den Beratungsfokus der Auf-sichtsbehörde TEIL 1 - Privatpersonen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) hat Mitte Februar 2019 Hinweise zum Umgang mit Passwörtern und zur Passwortsicherheit für Privatpersonen und Unternehmen veröffentlicht. Im ersten Teil unseres News-Beitrages Blicken wir auf die Empfehlungen des Landesdatenschutzbeauftragten für Privatpersonen.

Von starken Passwörtern, Lügen und dem Konflikt zwischen Passwortlänge und Displaygröße

Vor dem Hintergrund, dass die Anmeldung zur Nutzung von IT-Devices und IT-Strukturen mittels Nutznamen und Passwort nach wie vor das gängigste Verfahren zur Authentifizierung darstellt, listet der Beitrag des LfDI BW zehn Hinweise zur Auswahl „sicherer“ Passwörter und zum Passwortmanagement auf.  Dabei führt der Landesbeauftragte „alte Bekannte“ wie die Empfehlung für starke Passworte (d.h. lange Passworte mit Klein- und Großbuchstaben, Ziffern und Satzzeichen) an, die mit Aussagen wie „je wichtiger das Passwort ist, desto länger sollte es sein“ kaum Neues bringen und schlägt einmal mehr „Systeme“ zur Entwicklung und Memorierung von Passwörtern wie die „Ganze-Satz-Methode“ und die „erster-Buchstaben-Methode“ vor. Zusammen mit der Empfehlung keine Wörter aus Wörterbüchern zu verwenden, sichere Passwörter auch auf Smartphones zu verwenden, Passwörter nicht weiterzugeben und voreingestellte Standard-Passwörter bei der ersten Verwendung des Dienstes / Systems sofort zu ändern, erscheint der Empfehlungskatalog an einigen Stellen zum einen beinahe „überraschend pauschal“ - erschreckend zum anderen, dass solche Empfehlungen auch heute zweifellos noch sinnvoll und notwendig sind.

Durchdacht und im Schlaglicht des Datenschutzes gleich in  mehrfacher Sicht sinnvoll, erscheint indes die Empfehlung zur „Lüge bei Sicherheitsfragen“. Hier rät der Landesbeauftragte von Baden-Württemberg dazu, bei Sicherheitsfragen von Diensten, die nach persönlichen Informationen als Antwort fragen („Wohin sind Sie zum ersten mal in Urlaub geflogen“ oder „Wie war der Name Ihres besten Freundes in der Grundschule“) zur bewussten Lüge. Zum einen wird hierdurch verhindert, dass Angreifer aus dem Umfeld des Passwortverwenders dieses allzu leicht erraten können, zum anderen finden Informationen nicht über „Umwege“ den Weg z.B. ins Internet, für die es dort keine Notwendigkeit zur Verarbeitung gibt.

Kritisch bleibt freilich die Frage, ob man sich zum gegebenen Zeitpunkt noch an seine bewusste Lüge erinnern kann -  aber dieses Problem ist fast jeder Lüge immanent.

Weiter bricht der Landesbeauftragte inseiner Empfehlung, Passwörter nur bei einem Verdacht der Kompromittierung zu ändern, mit der langjährigen Empfehlungspraxis vieler IT-Sicherheits­beauftragter, Passwörter in regelmäßigen Abständen zu erneuern. Der LfDI BW folgt damit der Empfehlung des National Cyber Security Centre (NCSC) wie auch des National Institute of Standards and Technology des U.S. Department of Commerce (NIST), zu Änderungen nur bei Hinweisen auf Kompromittierungen von Passwörtern oder Passwort-Hashes. Hinweise auf eine „Ausspähung“ des eigenen Passworts können auffällige oder unerwartete Programmnutzungen genauso wie ungewöhnlichen Accountaktivitäten sein. So sinnvoll diese Empfehlung indes gegenüber fachlich qualifizierten Nutzern sein mag, so problematisch kann es sein, die „Entscheidung“ über eine möglich Kompromittierung auf den praktischen Nutzer im betrieblichen Alltag zu verlagern.  

Im Ergebnis bringen die Empfehlungen kaum Neues, fassen jedoch den Stand der Diskussion zur Passwortsicherheit mit Blickrichtung auf den privaten wie betrieblichen Anwender nochmals gut zusammen. Ob sich resistente „Trivialpasswort-Anwender“ hierdurch zukünftig zu einem sichereren Umgang mit Logindaten bewegen lassen, darf jedoch bezweifelt werden.   

Hier finden Sie die Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg online auf der Homepage des LfDI BW.

 

Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter