{"id":4243,"date":"2019-11-11T09:41:18","date_gmt":"2019-11-11T08:41:18","guid":{"rendered":"https:\/\/www.prosoft.de\/blog\/?p=4243"},"modified":"2024-08-19T16:06:36","modified_gmt":"2024-08-19T14:06:36","slug":"bsi-rein-zeitgesteuerte-wechsel-von-passwoertern-sollten-vermieden-werden","status":"publish","type":"post","link":"https:\/\/www.prosoft.de\/blog\/bsi-rein-zeitgesteuerte-wechsel-von-passwoertern-sollten-vermieden-werden\/","title":{"rendered":"BSI: Ein zeitgesteuerter Passwortwechsel sollte vermieden werden"},"content":{"rendered":"

[et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%;“ disabled_on=“off|off|“ _builder_version=“4.16″ module_alignment=“center“ custom_padding=“2px|0px|0|0px|false|false“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner admin_label=“Zeile“ _builder_version=“4.16″ custom_padding=“23px|0px|4px|0px|false|false“ global_colors_info=“{}“][et_pb_column_inner saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_post_title title=“off“ meta=“off“ featured_placement=“above“ admin_label=“Beitragsbild“ _builder_version=“4.16″ locked=“off“ global_colors_info=“{}“][\/et_pb_post_title][et_pb_post_title meta=“off“ featured_image=“off“ admin_label=“Beitragstitel“ _builder_version=“4.16″ custom_margin=“20px||“ locked=“off“ global_colors_info=“{}“][\/et_pb_post_title][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%;“ disabled_on=“off|off|“ _builder_version=“4.16″ module_alignment=“center“ custom_padding=“0|0px|0|0px|false|false“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Tag“ _builder_version=“4.16″ _dynamic_attributes=“content“ custom_padding=“||0px“ locked=“off“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIuIiwiZGF0ZV9mb3JtYXQiOiJjdXN0b20iLCJjdXN0b21fZGF0ZV9mb3JtYXQiOiJkIn19@[\/et_pb_text][et_pb_text admin_label=“Monat“ _builder_version=“4.16″ _dynamic_attributes=“content“ custom_margin=“-5px||2px“ custom_padding=“||0px“ locked=“off“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJkYXRlX2Zvcm1hdCI6ImN1c3RvbSIsImN1c3RvbV9kYXRlX2Zvcm1hdCI6Ik0ifX0=@[\/et_pb_text][et_pb_divider color=“#939393″ divider_weight=“5px“ _builder_version=“4.16″ max_width=“25px“ height=“0px“ custom_margin=“0px||“ locked=“on“ global_colors_info=“{}“][\/et_pb_divider][et_pb_text admin_label=“Jahr“ _builder_version=“4.16″ _dynamic_attributes=“content“ text_font_size=“11px“ custom_margin=“0px||“ locked=“on“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJkYXRlX2Zvcm1hdCI6ImN1c3RvbSIsImN1c3RvbV9kYXRlX2Zvcm1hdCI6IlkifX0=@[\/et_pb_text][et_pb_text admin_label=“Schlagw\u00f6rter“ _builder_version=“4.16″ _dynamic_attributes=“content“ text_font=“|300|on||||||“ text_text_color=“#000000″ text_font_size=“12px“ text_line_height=“1.4em“ custom_margin=“10px||“ custom_padding=“14px||“ z_index_tablet=“500″ border_width_top=“1px“ border_color_top=“#939393″ border_style_top=“dotted“ saved_tabs=“all“ locked=“on“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF90YWdzIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJsaW5rX3RvX3Rlcm1fcGFnZSI6Im9mZiIsInNlcGFyYXRvciI6IiwgIiwiY2F0ZWdvcnlfdHlwZSI6InBvc3RfdGFnIn19@[\/et_pb_text][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner admin_label=“Zeile“ _builder_version=“4.16″ custom_padding=“23px|0px|3px|0px|false|false“ global_colors_info=“{}“][et_pb_column_inner saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Introtext“ _builder_version=“4.19.5″ text_font=“||on||||||“ custom_margin=“10px||25px“ custom_padding=“5px||5px“ z_index_tablet=“500″ border_width_top=“1px“ border_color_top=“#939393″ border_width_bottom=“1px“ border_color_bottom=“#939393″ locked=“off“ global_colors_info=“{}“]<\/p>\n

Das BSI hat in seinem Final Draft zum IT-Grundschutz den Baustein ORP.4 Identit\u00e4ts- und Berechtigungsmanagement die Vorgaben zum Passwortwechsel erneut ge\u00e4ndert. Ein zeitgesteuerter Passwortwechsel ist zu vermeiden!<\/p>\n

[\/et_pb_text][et_pb_text admin_label=“Text Beitrag“ _builder_version=“4.19.5″ text_font=“|300|||||||“ text_text_color=“#000000″ min_height=“572px“ z_index_tablet=“500″ global_colors_info=“{}“]<\/p>\n

Seit das NIST<\/strong> seine urspr\u00fcngliche Empfehlung zum regelm\u00e4\u00dfigen Wechsel eines Passworts (zeitgesteuerter Passwortwechsel) zur\u00fcckgezogen hat, ist in der IT-Security Landschaft einiges in Bewegung gekommen. Denn in seinem neuen Regelwerk<\/a> gibt es nun vor, das Passw\u00f6rter nur noch bei einem konkreten Sicherheitsvorfall ge\u00e4ndert werden sollen.<\/p>\n

Im Februar 2019 hatte sich daraufhin der Landesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit Baden W\u00fcrttemberg (LfDI BW)<\/strong> als einer der Ersten zum Thema Passwortsicherheit ge\u00e4u\u00dfert und seine „Hinweise zum Umgang mit Passw\u00f6rtern<\/a>“ ver\u00f6ffentlicht.<\/p>\n

Der „Arbeitskreis Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz (DSK)<\/strong> zog im M\u00e4rz 2019 nach. In seiner Orientierungshilfe: Anforderungen an Anbieter von OnlineDiensten zur Zugangssicherung<\/a> gab er an, das ein regelm\u00e4\u00dfiger Passwortwechsel nicht zwingend erforderlich ist.<\/p>\n

Microsoft<\/strong> hatte sich im Mai 2019 von seine Kennwortablaufrichtlinie aus der „Security Baseline“ verabschiedet (Wir berichteten: Microsoft: Das regelm\u00e4\u00dfige \u00c4ndern von Passw\u00f6rtern macht sie nicht sicherer.<\/a>).<\/p>\n

Lediglich das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/strong> hielt bislang an den Vorgaben seines IT-Grundschutz-Kompendium fest. Es empfahl weiterhin, dass Passw\u00f6rter in angemessenen Zeitabst\u00e4nden ge\u00e4ndert werden sollen.<\/p>\n


Regelung f\u00fcr Passwort-verarbeitende Anwendungen und IT-Systeme<\/strong><\/h2>\n

 <\/p>\n

Im Oktober 2019 scheint sich das BSI<\/strong> nun der allgemeinen Meinung anzuschlie\u00dfen. Schlie\u00dflich \u00e4ndert es seine Vorgabe zum Wechsel des Passworts im Final Draft zum IT-Grundschutz-Baustein ORP.4 Identit\u00e4ts- und Berechtigungsmanagement. Folglich soll ein rein zeitgesteuerter Passwortwechsel nun vermieden werden.<\/p>\n

\n

ORP.4.A23 Regelung f\u00fcr Passwort-verarbeitende Anwendungen und IT-Systeme [ITBetrieb] (B)<\/strong><\/p>\n

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.
Es M\u00dcSSEN Ma\u00dfnahmen ergriffen werden, um die Kompromittierung von Passw\u00f6rtern zu erkennen.
Ist dies nicht m\u00f6glich, so SOLLTE gepr\u00fcft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden k\u00f6nnen und Passw\u00f6rter in gewissen Abst\u00e4nden gewechselt werden.<\/p>\n<\/blockquote>\n

Eine Entwicklung, die sehr begr\u00fc\u00dfenswert ist \u2013 orientiert sie sich doch am gelebten Alltag und ber\u00fccksichtigt die „Schwachstelle Mensch“.<\/p>\n

Der Anwender neigt nun mal nicht dazu, sich alle 90 Tage ein komplexes Passwort in vorgegebener L\u00e4nge neu auszudenken und dann auch noch zu merken. Vielmehr wird er immer den Weg des geringsten Widerstands gehen wollen und einfach nur Abwandlungen seines bestehenden Passwortes w\u00e4hlen.<\/p>\n

Von den Passwort Notizen auf dem Monitor oder unter der Tastatur mal ganz abgesehen.<\/p>\n

[\/et_pb_text][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%“ _builder_version=“4.16″ custom_padding=“0|0px|0|0px|false|false“ custom_css_main_element=“background-color: #efefef“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_image src=“https:\/\/www.prosoft.de\/blog\/wp-content\/uploads\/2018\/12\/fazit.svg“ align_tablet=“center“ align_phone=““ align_last_edited=“on|desktop“ disabled_on=“on|on|“ admin_label=“Bild Fazit“ _builder_version=“4.16″ max_width=“35%“ module_alignment=“right“ saved_tabs=“all“ locked=“off“ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner admin_label=“Zeile“ _builder_version=“4.16″ custom_margin=“6px|||||“ global_colors_info=“{}“][et_pb_column_inner saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Text FAZIT“ _builder_version=“4.19.5″ z_index_tablet=“500″ global_colors_info=“{}“]<\/p>\n

Es gilt nach wie vor:<\/strong><\/p>\n