aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi

Passwörter: Grundlegende Änderung der BSI-Empfehlungen

/von

Schon lange beschäftigt die IT-Fachwelt die Frage, ob regelmäßige Passwortänderungen (beispielsweise alle 90 Tage) sinnvoll wären. In letzter Zeit wurde immer häufiger in diesem Zusammenhang darauf hingewiesen, dass das regelmäßige Ändern der Passwörter nicht zu mehr, sondern eher zu weniger Sicherheit führe. Nun hat diese Sichtweise eine (amtliche) Bestätigung erfahren. Im aktuellen BSI-Grundschutz-Kompendium Edition 2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine bisherigen Empfehlungen hinsichtlich des Umgangs mit Passwörtern grundlegend überarbeitet.

Im Rahmen dieses Artikels möchten wir auf diese wesentliche Änderung, die man auch als einen Paradigmenwechsel bezeichnen könnte, intensiver eingehen, da sie so ziemlich jeden Verantwortlichen in Deutschland trifft und eine Anpassung der technischen und der organisatorischen Maßnahmen (TOM) erforderlich macht.

Über die zahlreichen Änderungen, die es bei der aktuellen Edition des Kompendiums im Übrigen gegeben hat, kann man sich als interessierter Leser aus den durch das BSI zur Verfügung gestellten Dokumenten informieren.

Wie lautet die aktuelle Empfehlung des BSI?

Zur Erinnerung: Im entsprechenden Baustein des BSI-Kompendiums in der Version 2019 („ORP.4.A8“) hieß es noch:

Die Institution MUSS den Passwortgebrauch verbindlich regeln. Dabei MUSS festgelegt werden, dass nur Passwörter mit ausreichender Länge und Komplexität verwendet werden. Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden.

Die Empfehlung des BSI zu der Regelung für Anwendungen und IT-Systeme, die Passwörter verarbeiten im entsprechenden Baustein des Kompendiums in der Version 2020 („ORP.4.A23“) lautet nun wörtlich wie folgt:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Standardpasswörter MÜSSEN durch ausreichend starke Passwörter ersetzt und vordefinierte Kennungen MÜSSEN geändert werden. […]. Nach einem Passwortwechsel DÜRFEN alte Passwörter NICHT mehr genutzt werden. […].

[Hervorhebungen in fetter Schrift in den zitierten Texten sind durch den Autor des vorliegenden Beitrags hinzugefügt.]

An den Ausführungen des BSI lässt sich erkennen, dass das Thema des zeitgesteuerten Passwortwechsels nicht ganz vom Tisch ist. „Reine zeitgesteuerte Wechsel“ sollen jedoch grundsätzlich vermieden werden – Ausnahmen sind also möglich. Beispielswiese kann ein rein zeitgesteuerter Wechsel der Passwörter dann als eine angemessene technische und organisatorische Maßnahme angesehen werden, wenn sich eine Kompromittierung der Passwörter nicht (sicher genug) durch entsprechende Maßnahmen, wie Abgleiche mit diversen Datenbanken, erkennen lässt. Dies gilt jedoch erst dann, wenn im Rahmen einer Prüfung festgestellt wurde, dass die Nachteile des zeitgesteuerten Passwortwechsels in Kauf genommen werden können und die Sicherheit nicht beeinträchtigt wird.

Wie kann Kompromittierung von Passwörtern erkannt werden?

Doch wie kann ein Verantwortlicher erkennen, ob ein Passwort kompromittiert ist? Welche Datenbanken gibt es, die man „anzapfen“ könnte, um einen Abgleich durchzuführen?

Soweit es um die Frage geht, ob eine E-Mail-Adresse, ein Passwort oder eine Kombination aus beiden (oft zur Anmeldung an verschiedenen IT-Systemen genutzt) bereits kompromittiert ist, also „gehackt“ wurde, stehen den Verantwortlichen diverse Datenbanken zur Verfügung. Exemplarisch könnten entsprechend der Pressemitteilung des BSI in diesem Zusammenhang folgende Datenbanken genannt werden:

Was das BSI in der Pressemitteilung nicht beleuchtet, ist die Frage, inwiefern ein Unternehmen, welches durch die oben genannten Dienste seinen Datenbestand hinsichtlich etwaiger Datenlecks überprüft, personenbezogene Daten an Dritte – hier die Betreiber der Datenbanken – übermittelt (beispielsweise wenn eine Benutzerkennung aus einer personalisierten E-Mail-Adresse von Beschäftigten in der Form besteht).

Eine solche Übermittlung wird gemäß Art. 6 Abs. 1 lit. f DSGVO aufgrund des „berechtigten Interesses“ eines Verantwortlichen meist zwar zulässig sein, löst aber gleichzeitig Informationspflichten aus, die zu erfüllen wären. Auf jeden Fall müsste überprüft werden, ob die vorhandenen Informationen gem. Artt. 13 und evtl. 14 DSGVO nicht entsprechend angepasst werden müssten und ob nicht gegebenenfalls eine Drittlandübermittlung vorläge, die ebenfalls zu berücksichtigen wäre (vgl. Artt. 44 ff. DSGVO).

Und wenn ein Verantwortlicher den Empfehlungen des BSI nicht folgt, was dann?

Nun, eine explizite Pflicht, sich an die Empfehlung des BSI zu halten, gibt es in der Tat zwar nicht, so dass man sich tatsächlich fragen kann, ob man seine liebgewonnene Routine der regelmäßigen Passwortänderung aufgeben „SOLLTE“, jedoch ist in diesem Zusammenhang zu bedenken, dass soweit die aktuelle Empfehlung des BSI nicht umgesetzt wird, Haftungs- und Bußgeldrisiken zu befürchten wären.

Ein Haftungs- und Bußgeldrisiko könnte dann im Raum stehen, wenn es um die Frage geht, ob die notwendigen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO ergriffen und diese an den Stand der Technik angepasst wurden. Bei einer Prüfung wird sich die zuständige Aufsichtsbehörde im Rahmen der Beantwortung der Frage, was dem Stand der Technik entspricht, mit hoher Wahrscheinlichkeit an den Empfehlungen des BSI orientieren. Und damit wären die Empfehlungen des BSI auf diesem „Umweg“ quasi-verpflichtend.

Als Verantwortlicher wäre man sicherlich gut beraten, die Empfehlungen des BSI zu berücksichtigen und die regelmäßigen Passwortwechsel nur dann zu behalten, wenn die Kompromittierung von Passwörtern durch ergriffene Maßnahmen (Abgleich der Passwörter und/oder der E-Mail-Adressen mit den entsprechenden Datenbanken) nicht zu erkennen ist und die Nachteile des regelmäßigen Wechsels in Kauf genommen werden können.

Welche konkreten Maßnahmen sind aus der Empfehlung abzuleiten?

Hinsichtlich konkreter Maßnahmen, die sich aus der Empfehlung des BSI ergeben, können die folgenden Umsetzungen empfohlen werden um sicherzustellen, dass der aktuelle Stand der Technik hinsichtlich der ergriffenen technischen und organisatorischen Maßnahmen angemessen berücksichtigt wird:

Anpassung der internen Dokumentation

Die in einem Unternehmen eingesetzten Muster und internen Richtlinien, in denen die alten Regelungen bezüglich der regelmäßigen Passwortänderungen zu finden sind, müssten überarbeitet werden. Dies kann viele Dokumente betreffen. Insbesondere wären folgende Dokumente zu aktualisieren:

  • Muster der Auftragsverarbeitungsverträge (AV-Vertrag) und die entsprechenden Beschreibungen der technischen und organisatorischen Maßnahmen (meist eine Anlage zum AV-Vertrag) bzw. entsprechende Checklisten zur Beschreibung der TOM,
  • Arbeitsanweisungen,
  • Betriebsvereinbarungen,
  • Regelungen in Arbeitsverträgen (beispielsweise hinsichtlich der Nutzung der arbeitnehmereigenen Geräte oder auch Homeoffice-Regelungen),
  • interne Unternehmens-Policies und Informationen.

Anpassung der bestehenden Auftragsverarbeitungsverträge

Darüber hinaus müssten nicht nur die AV-Muster angepasst werden, sondern auch die bestehenden AV-Verträge. Hier kann im Rahmen einer Vertragsänderung eine Zusatzvereinbarung erfolgen, die eine bestehende vertragliche Regelung auf den aktuellen Stand bringt. Hierzu sollten Verantwortliche entsprechende Prozesse initialisieren und ihre Vertragspartner diesbezüglich kontaktieren.

Soweit ein Abgleich der personenbezogenen Daten mit Datenbanken von Anbietern aus Drittländern stattfindet, müsste dies gegebenenfalls auch im Rahmen der Anpassung der AV-Verträge berücksichtigt werden.

Im Vorteil ist derjenige, der bereits entsprechende Anpassungsklauseln in den (alten) AV-Mustern hatte und nun gegebenenfalls lediglich zur aktiven Mitteilung verpflichtet ist, nicht jedoch zur Anpassung bestehender Verträge. Insbesondere Auftragsverarbeiter mit zahlreichen Auftraggebern tun gut daran, entsprechende Regelungen spätestens jetzt in ihre AV-Muster aufzunehmen.

Tatsächliche Umsetzung der Regelungen

Es ist sicherzustellen, dass die Änderungen an alle Beschäftigten kommuniziert werden und tatsächlich umgesetzt werden. Es darf nicht passieren, dass die Dokumentation zwar angepasst wird, die gelebte Praxis davon jedoch abweicht.

Wie kann die IT-Sicherheit ansonsten erhöht werden?

Um die IT-Sicherheit zu erhöhen, könnte ergänzend zur Prüfung der Passwort-Kompromittierung und der Vermeidung von regelmäßigen Passwortwechseln in besonders sensiblen Bereichen auch die Zwei-Faktor-Authentisierung eingeführt werden. Dies kann beispielsweise bei Kunden-Accounts empfohlen werden oder auch bei Portalen, die von Verantwortlichen genutzt werden.

Insbesondere kann die Zwei-Faktor-Authentisierung auch im Rahmen der Nutzung einzelner IT-Systeme sinnvoll sein. Dies muss jedoch im Einzelfall immer geprüft werden, denn die IT-Sicherheit soll natürlich nicht dazu führen, dass man vor lauter Datensicherheit- und -schutz nicht mehr zum Arbeiten kommt.

Fazit

Die Wirkungen der aktuellen Änderung der Empfehlungen hinsichtlich des regelmäßigen Passwortwechsels dürfen nicht unterschätzt werden. In diesem Zusammenhang kommt auf die Verantwortlichen hinsichtlich der Anpassung der technischen und organisatorischen Maßnahmen jede Menge Arbeit zu. Es wird aber empfohlen, die Empfehlungen möglichst zeitnah umzusetzen. Auch beim Datenschutz gilt: Ohne Fleiß kein Preis.

Sind möchten Ihr Identitäts- und Berechtigungsmanagement überprüfen und rechtskonform gestalten? Sprechen Sie uns an, wir helfen Ihnen gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenWird die Verschwiegenheitspflicht im Gesundheitswesen auf IT-Dienstleister ausgeweitet?
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21Serie Betroffenenrechte: Das Widerspruchsrecht nach Art. 21 DSGVO
bußgeld ermittlungen staatsanwaltschaft herausgabeWeitergabe personenbezogener Daten an Ermittlungsbehörden
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukePrivacy-Verordnung verzögert sich bis auf Weiteres
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoSerie Betroffenenrechte: Das Recht auf Auskunft nach Art. 15 DSGVO
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungBeschäftigtendatenschutz nach der DSGVO und dem BDSG-neu