News

Neue Regelungen zum Passwortwechsel

28/05/2020

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Regelungen zum Passwortwechsel veröffentlicht.

Passwörter sind für die Datensicherheit bei allen digitalen Medien ein unverzichtbares Sicherheitsinstrument. Als Verantwortlicher für die Verarbeitung von personenbezogenen Daten sind Sie gemäß Art.32 DSGVO verpflichtet, den Schutz der Maßnahmen anhand des Standes der Technik auszurichten. Allgemein werden die vom BSI veröffentlichten Standards als Stand der Technik akzeptiert. Somit sollten Sie Ihre technischen und organisatorischen Maßnahmen an den Empfehlungen des BSI ausrichten.

Bisher war die Empfehlung des BSI den Wechsel von Passwörtern alle 90 Tage vorzunehmen.

In Zukunft soll ein rein zeitgesteuerter Passwortwechsel vermieden werden.

Als Gründe für einen Passwortwechsel sind definiert:

  • Änderung des Initialpasswort - bei der ersten Registrierung
  • ein Passwort ist kompromittiert

In diesen Fällen müssen die Passwörter gewechselt werden.

Die neue Regel des BSI beinhaltet die Verpflichtung aktiv Maßnahmen zu ergreifen, um kompromittierte Passwörter zu erkennen.

Eine Maßnahme könnte die regelmäßige Nutzung von Tools zur Überprüfung von Passwörtern sein z.B. das Tool des Hasso-Plattner-Instituts oder über die Webseite „;--have I been pwned?“.

Ist eine Überprüfung der Passwörter auf Kompromittierung nicht möglich, schreibt das BSI: „..., so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“ (BSI: ORP.4.A23)

Wenn Sie sich weiterhin für einen regelmäßigen Passwortwechsel entscheiden, müssen Sie diese Maßnahme rechtfertigen können.

Schützen Sie die Ihnen anvertrauten Daten durch ein gut organisiertes Passwortmanagement.


Alle Artikel anzeigen