Symboldbild für Passwortänderungen im Unternehmen

Passwortänderungen im Unternehmen: Was das BSI jetzt empfiehlt

Das BSI hat neue Empfehlungen für Passwörter veröffentlicht. Komplexe Passwörter und häufige Passwortänderungen werden nicht mehr empfohlen. Was genau das bedeutet und wie Sie die neuen Hinweise in Ihrer Passwortrichtlinie umsetzen können, zeigen wir Ihnen in diesem Artikel.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2023-03-16

Logo
  • Author: Team datenschutzexperte.de
    Unser Team, bestehend aus zahlreichen Expert*innen im Bereich Datenschutz, weiß, was KMUs im Datenschutz bewegt. Unsere Beiträge sollen helfen, das Thema Datenschutz verständlich zu machen.

Die meisten Unternehmen raten ihren Mitarbeitern, besonders komplexe Passwörter zu wählen und diese möglichst oft zu wechseln. Viele interne Programme sind sogar darauf ausgelegt, Passwortänderungen in einem bestimmten Rhythmus zu verlangen. Doch genau diese Anforderungen wurden vom Bundesamt für Sicherheit und Informationstechnik (BSI) nun revidiert – und durch neue Leitlinien und praktische Tipps ersetzt.

Die neuen Hinweise sollen durch eine einfachere Handhabung von Passwörtern nicht nur zu mehr Sicherheit, sondern auch zu mehr Alltagstauglichkeit führen. So sollen Sicherheit und Datenschutz für alle Mitarbeiter zugänglich und umsetzbar werden. Was genau das bedeutet und wie Sie die neuen Hinweise in Ihrer Passwortrichtlinie umsetzen können, zeigen wir Ihnen in diesem Artikel.

Datenschutzrechtlich auf der sicheren Seite

Datenschutz im Unternehmen ist besonders wichtig – nicht nur, um die Daten betroffener Personen zu schützen, auch die eigene Unternehmenssicherheit sollte niemals unterschätzt werden. Mit über 90 Datenschutzexperten unterstützen wir Sie dabei, den Datenschutz in Ihrem Unternehmen umzusetzen: Durch Datenschutzbeauftragte, Datenschutz-Software oder andere hilfreiche Tools. Bei Fragen zum Datenschutz nehmen Sie jederzeit Kontakt zu uns auf, wir helfen Ihnen gerne weiter.

Hier mehr erfahren

Das Wichtigste in Kürze 

  • Das BSI hat neue Empfehlungen für Passwörter veröffentlicht – diese sind nicht nur am Arbeitsplatz wichtig. Anders als zuvor werden zu komplexe Passwörter und häufiges Ändern nun nicht mehr empfohlen, es wird sogar davon abgeraten.
  • Die goldene Regel ist nun, jedes Passwort nur einmal zu verwenden. Zu komplexe Passwörter und häufiges Ändern führten dazu, dass Passwörter für viele Accounts verwendet werden. Das macht auch das sicherste Passwort wieder unsicher.
  • Starke Passwörter sollten möglichst nicht im Wörterbuch zu finden sein; auch die Namen von Partnern oder Haustieren sind riskant. Ideal ist die Aneinanderreihung von Wörtern ohne Zusammenhang.
  • Wenn möglich, sollte bei Programmen die 2-Faktor-Authentifizierung genutzt werden, um auch bei einem Passwortdiebstahl geschützt zu sein.

Neue Passwort-Empfehlungen vom BSI – Tipps für mehr Sicherheit im Unternehmen

Passwörter sind ein wichtiger Bestandteil unseres digitalen Alltags. Nicht nur im privaten Raum begleiten sie uns, auch im beruflichen Alltag arbeiten Teams immer häufiger mit Passwörtern für den Zugang zu bestimmten Tools. Unternehmen sind darauf angewiesen, zwecks Datensicherheit mit möglichst sicheren Passwörtern zu arbeiten und erstellen dafür häufig bestimmte Leitlinien.

Zur Orientierung und als Grundlage dient häufig das Bundesamt für Sicherheit und Informationstechnik (BSI), das für solche Zwecke Empfehlungen ausspricht. Doch genau diese Empfehlungen wurden kürzlich geändert. Wir zeigen Ihnen die wichtigsten neuen Regelungen:

Passwörter nicht komplex, sondern einzigartig gestalten 

Das BSI hat in seinen neuen Handlungsempfehlungen eine Kehrtwende vollzogen: Hochkomplexe Passwörter werden nun nicht mehr als Allheilmittel gesehen, das Bundesamt warnt sogar vor deren Nutzung. Stattdessen soll nun die Einzigartigkeit von Passwörtern zu mehr Datensicherheit führen.

Aus Bequemlichkeit nutzen die meisten Menschen immer dasselbe Passwort, denn es gibt einfach zu viele Accounts, die es zu sichern gilt. Doch genau das macht es Hackern besonders leicht: Haben sie das Passwort für einen Account, haben sie auch Zugang zu allen anderen. Die goldene Regel lautet daher laut BSI: Niemals dasselbe Passwort mehrfach nutzen.

Es soll auf zu komplexe Passwörter verzichtet werden, denn genau diese machen es unmöglich, sich viele davon zu merken – also werden sie mehrfach verwendet und/oder an unsicheren Orten notiert. Das ist wenig zielführend. Die neue Empfehlung des BSI macht daher deutlich: Passwörter können zu komplex sein, und zwar dann, wenn sie dazu führen, dass gegen das oben genannte Gebot verstoßen wird.

Zu häufiges Ändern von Passwörtern vermeiden

Häufiges Ändern von Passwörtern kann zu weniger Sicherheit im Unternehmen führen. Der Hintergrund: Häufig geänderte Passwörter sind meist einfacher, denn niemand kann sich ständig geänderte, komplexe Passwörter merken. Es ist daher besser, für jeden Account ein gutes Passwort zu wählen und diese für einige Zeit beizubehalten.

Allerdings ist das regelmäßige Ändern von Passwörtern nicht per se eine schlechte Maßnahme - nur die Frequenz muss nicht sehr hoch sein. Wer zum Beispiel jeden Monat die gesamten Passwörter im Unternehmen ändert, fördert mehr Sicherheitslücken, als diese zu bekämpfen. 

2-Faktor-Authentifizierung nutzen

Für viele Nutzer kommt ein komplizierter oder kostspieliger Passwort-Manager nicht infrage - sie scheuen sich vor deren Anwendung. Das BSI empfiehlt daher, wenn möglich die 2-Faktor-Authentifizierung zu nutzen, bei der sich die Nutzer vor jeder Anmeldung mithilfe einer Authentifizierungs-App oder einer SMS auf ihrem Smartphone autorisieren können.

Die hier gebotene Sicherheit geht dabei weit über einen Passwort-Manager hinaus: Selbst wenn Hacker an das Passwort gelangen sollten, wird ihnen die weitere Authentifizierung verwehrt. Aus diesem Grund ist es empfehlenswert, die 2-Faktor-Authentifizierung immer einzuschalten, um Hackerangriffe und fremde Zugriffe auf Accounts zusätzlich zu erschweren.

Wie werden sichere Passwörter erstellt? 

Zu komplexe Passwörter, etwa eine Reihe an Zahlen und Buchstaben, gelten zwar als sehr sicher, aber sind wesentlich schwieriger zu merken. Erst recht, wenn für jeden Account ein neues Passwort gewählt werden soll. Und auch die Abwandlung von Buchstaben in Zahlen, etwa durch eine 0 statt einem O oder einer 3 statt einem E sind für Hacker längst keine Hürde mehr. Doch wie kann ein sicheres Passwort dann aussehen?

Experten raten dazu, mehrere Wörter zu einem langen, bedeutungslosen Wort zusammenzusetzen, im Idealfall noch mit Sonderzeichen. So ergeben sich gar witzige Wörter, die sich gut merken lassen und trotzdem sicher sind. Ein Beispiel wäre eine Wortneuschöpfung wie StiftPfanne-Maulwurf. Im besten Fall gibt es dazu eine Geschichte, durch die sich der Nutzer das Wort gut merken kann.

So soll umgangen werden, dass Nutzer immer die gleichen, leicht zu erratenden Passwörter verwenden. Das BSI verknüpft mit dieser Empfehlung also die Sicherheit der Passwörter mit der Alltagstauglichkeit für Mitarbeiter und Privatpersonen.

BSI: Notieren von Passwörtern nicht unbedingt schlecht


Überraschend ist zudem, dass das BSI das Notieren von Passwörtern nicht länger als generell negativ bewertet. Ein Verbot vom Aufschreiben der Passwörter sei wenig zielführend, heißt es in der neuen Empfehlung. Auch hier ist die Begründung, dass niemand sich eine große Anzahl sicherer Passwörter merken kann. So würde wieder auf viele unsichere Passwörter zurückgegriffen – oder aber das gleiche Passwort zu häufig verwendet.

Mitarbeiter sollten daher lernen, Passwörter durchaus aufzuschreiben, allerdings immer analog auf Papier. Solange dieses sicher aufbewahrt wird, stelle dies kein Sicherheitsrisiko dar, so das BSI.

Fazit: Viele Unternehmen müssen ihre Passwortrichtlinien anpassen

Für Unternehmen bedeuten die neuen Regeln zunächst einmal, ihre bisherige Passwortrichtlinie zu überdenken und im Zweifel Mitarbeiter über die neue Handlungsweise zu unterrichten. Die Vergangenheit zeigt, dass sich an den alten Richtlinien bisher nicht viel geändert hat. So wurde die Empfehlung, Passwörter regelmäßig zu ändern, schon vor einigen Jahren verworfen. In vielen Betrieben ist dies jedoch immer noch die gängige Praxis.

Im Zweifel sollten Unternehmen abwägen, welchen Zweck ein Passwort hat und was im Vordergrund steht: Müssen Informationen schnell verfügbar sein, etwa die Daten aus einem Marketing-Tool, kann zugunsten der Alltagstauglichkeit auf ein leichteres Passwort gesetzt werden.

Anders hingegen bei wichtigen Unternehmensgeheimnissen, auf die selten zugegriffen werden muss. Hier ist ein starkes, 20-stelliges Passwort und 2-Faktor-Authentifizierung möglich und sinnvoll.

Zudem gilt: Gibt es bisher noch keine Passwort-Richtlinie im Unternehmen, sollte diese gemeinsam mit dem Datenschutzbeauftragten erarbeitet und die Mitarbeiter sollten geschult werden. Als Grundlage sollten dabei die Handlungsempfehlungen des BSI genutzt und berücksichtigt werden.

Sie brauchen Unterstützung bei der Erstellung Ihrer Passwortrichtlinie?

Kontaktieren Sie uns gerne jederzeit für ein unverbindliches Beratungsgespräch. Wir unterstützen Sie in Ihrem individuellen Anliegen und klären offene Fragen zum Thema.

Jetzt mehr erfahren

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 16.03.2023
 

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr