Wie schon auf https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html berichtet, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine bisherige Empfehlung, „Passwörter sollten in angemessenen Zeitabständen geändert werden“ (so noch im IT-Grundschutz Kompendium von 2019 unter Organisation und Personal ORP4.A8) nicht weiter aufrecht erhalten. Das BSI empfiehlt in seinem aktuellen Kompendium 2020 für den Passwortgebrauch unter ORP4.A8 nun Folgendes:
„Passwörter DÜRFEN NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden.
Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden.
Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR dem Benutzer persönlich bekannt sein. Passwörter DÜRFEN NUR unbeobachtet eingegeben werden.
Passwörter DÜRFEN NICHT auf programmierbaren Funktionstasten von Tastaturen oder Mäusen gespeichert werden.
Ein Passwort DARF NUR für eine Hinterlegung für einen Notfall schriftlich fixiert werden. Es MUSS dann sicher aufbewahrt werden. Die Nutzung eines Passwort-Managers SOLLTE geprüft werden.
Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.“ (Unterstreichung durch die Verfasserin)
Damit folgt das BSI den aufgrund neuer technischer Erkenntnisse bereits 2016 in Großbritannien und 2017 in den USA aktualisierten Empfehlungen, ein Passwort nur dann zu ändern, wenn der konkrete Verdacht besteht, das das Passwort in fremde Hände geraten sein könnte.
Trotz der Vorgaben des BSI zur Passwortsicherheit, verwendet allerdings der Großteil der Deutschen weiterhin Passwörter, die nicht „hackerfest“ sind. So sind vor allem Passwörter wie „123456“ oder andere direkte Tastenfolgen sowie „Passwort“ sehr beliebt. Zwar wird häufig zumindest für besonders sensible Portale (z.B. Onlinebanking) ein sicheres Passwort gewählt, bei anderen vermeintlich „ungefährlichen“ Portalen wird hingegen kein Wert auf die Sicherheit, dafür aber umso mehr Wert auf eine einfache Merkbarkeit des Passwortes gelegt. Hierbei verkennen die Nutzer, dass sich Hacker dann leicht Zugang zu einem Postfach oder einem Kundenkonto verschaffen können. Erst wenn plötzlich unauthorisiert Emails vom eigenen Postfach verschickt oder Bestellungen über das eigene Kundenkonto erfolgen, ist die Aufregung groß – und der Schaden meist auch.
Das BSI hat unter https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html Empfehlungen für die Gestaltung von Passwörtern gegeben. Sie zu beachten, sollte eine Selbstverständlichkeit werden!
mit dem kostenfreien Online-Dienst HPI Identity Leak Checker des Hasso Plattner Institutes (HPI) https://sec.hpi.de/ilc/ können Sie prüfen lassen, ob Ihre persönlichen Identitätsdaten bereits ausspioniert wurden – es ist ledigilch die EIngabe Ihrer E-Mailadresse notwendig.