Ihr Passwort läuft in 2 Tagen ab. Bitte wechseln Sie Ihr Passwort!
Geschrieben von: Andreas Benner | Veröffentlicht am: 11.02.2020 9:00
blog-img

Sind solche Meldungen bald Geschichte?

Sie werden es kennen: Alle drei Monate fordert Ihr System Sie auf, das Passwort zu ändern. Bisher wurde dieses Vorgehen auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) so empfohlen.
Ich persönlich aber auch meine Kollegen fanden dieses Vorgehen schon beim Windows-Passwort ziemlich aufwendig, auch wenn uns der Sinn dahinter durchaus bewusst war. Je mehr Anwendungen allerdings genutzt werden, desto höher wird der Aufwand für den ständigen Passwortwechsel. Passwortmanager wie KeePass können dabei unterstützen, den Überblick zu bewahren und diese „Bürokratie“ zu überwinden.

Aber wie läuft es in der Praxis, im Alltag, vor allem im privaten Umfeld? Wir Menschen suchen oft nach einer einfachen und schnellen Lösung – und die naheliegendste hierbei ist für viele:
Aufschreiben der Passwörter und ab damit unter die Schreibunterlage oder noch schlimmer: Auf einem Post-It an den Monitor geklebt.

Diejenigen, die nicht ganz so leichtsinnig handeln, gehen dazu über, leicht zu merkende aber dadurch leider schwache Passwörter auszusuchen und beispielsweise das Passwort „hochzuzählen“, um die Flut von Passwörtern in den Griff zu bekommen. Auch das trägt nicht unbedingt zur Erhöhung der Sicherheit bei.

Somit wird am Ende genau das Gegenteil von dem erreicht, was hinter der Idee des regelmäßigen Passwortwechsels steht. Statt ein System, einen Onlinezugang, etc. sicherer zu machen, schwächt man durch dieses Handeln den Schutz eigener oder Firmendaten.

Diese Erfahrungen hat das BSI aufgegriffen und in der aktuellen Version des BSI-Grundschutz-Kompendiums (Ausgabe 2020, Link) im Kapitel zur Regelung des Passwortgebrauchs inzwischen die Empfehlung für zeitgesteuerte Passwortwechsel entfernt. Vielmehr heißt es nun in ORP.4.A23 wörtlich: „IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“

Ein Passwortwechsel wird also nur noch empfohlen, wenn ein konkreter Anlass (z.B. Datenleck) besteht.

Wenn Sie dieser neuen Empfehlung folgen und nun auf zeitgesteuerte Passwortwechsel verzichten, ist es ratsam, das derzeitige Passwort ein letztes Mal zu ändern und auf ein starkes Passwort zu setzen, welches Sie hoffentlich lange begleiten wird und Ihre Daten sicher schützt. Wir haben mit dieser Regelung gute Erfahrungen gemacht und die Kollegen sind sehr dankbar für die Änderung!