Neuer Ansatz

Passwort-Regeln: Weniger komplexe Vorgaben gefordert

Mindes­tens acht Zeichen, Groß- und Klein­buch­staben, mindes­tens eine Ziffer und ein Sonder­zei­chen: Kompli­zierte Pass­wort­re­geln nerven viele Benutzer. Ginge es nach den Experten, sollten Pass­wort­re­geln weniger komplex sein. Sie wären dabei auch noch sicherer.
Von dpa /

Der Weisenrat für Cyber-Sicherheit setzt sich für eine Abkehr von komplizierten Passwort-Regeln ein Der Weisenrat für Cyber-Sicherheit setzt sich für eine Abkehr von komplizierten Passwort-Regeln ein
Bild: picture alliance/Ralf Hirschberger/ZB/dpa Der soge­nannte Weisenrat für Cyber-Sicher­heit in Deutsch­land setzt sich für eine Abkehr von kompli­zierten Vorgaben beim Anlegen von Pass­wör­tern ein.

"Es ist ein weit verbrei­teter und verständ­li­cher Irrglaube, dass stren­gere Richt­li­nien die Qualität der Pass­wörter stei­gern", heißt es in dem Jahres­be­richt der sechs renom­mierten Profes­so­rinnen und Profes­soren aus dem Bereich Cyber-Sicher­heit, der heute in Bonn veröf­fent­licht wurde. Es gebe Situa­tionen, in denen stren­gere Regeln die Qualität der gewählten Pass­wörter mitunter sogar verschlech­terten.

Beson­ders wichtig sei, Pass­wörter nicht mehr mit einem Verfalls­datum zu versehen. "Es ist viel gefähr­li­cher, dasselbe Pass­wort für mehrere Dienste einzu­setzen, als bei einem Dienst das Pass­wort nicht regel­mäßig zu wech­seln", sagte Matthew Smith, Professor an der Univer­sität Bonn und am Fraun­hofer-Institut für Kommu­ni­ka­tion, Infor­ma­ti­ons­ver­ar­bei­tung und Ergo­nomie FKIE. Ein Wechsel sei nur dann zu empfehlen, wenn es Anzei­chen gebe, dass das Pass­wort ausge­späht oder auf anderem Wege kompro­mit­tiert worden sei.

Einheit­liche Vorgaben für Pass­wort-Richt­li­nien

Der Weisenrat für Cyber-Sicherheit setzt sich für eine Abkehr von komplizierten Passwort-Regeln ein Der Weisenrat für Cyber-Sicherheit setzt sich für eine Abkehr von komplizierten Passwort-Regeln ein
Bild: picture alliance/Ralf Hirschberger/ZB/dpa Smith sagte, das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) habe in seinen jüngsten Richt­li­nien bereits keine Vorgaben mehr zum Pass­wor­talter gemacht. Das sei eine gute Entwick­lung. Er forderte aber das BSI auf, den Behörden und Unter­nehmen einheit­liche Vorgaben für die Pass­wort-Richt­li­nien zu machen. Dabei sollte sich das BSI an den Empfeh­lungen des Open Web Appli­ca­tion Secu­rity Projects (OWASP) und US-ameri­ka­ni­schen National Insti­tute of Stan­dards and Tech­no­logy (NIST) orien­tieren.

OWAPS und NIST verab­schie­deten sich schon vor geraumer Zeit von den meisten der Einschrän­kungen bei der Pass­wort­ver­gabe und räumen den Anwen­dern mehr Frei­heiten bei der Wahl des Kenn­worts ein. Damit werden nicht mehr maximal kompli­zierte Konstruk­tionen aus Ziffern und Sonder­zei­chen verlangt, sondern längere Pass­phrasen.

Bewährte Verschlüs­se­lungs­ver­fahren können unsi­cher werden

In dem Jahres­be­richt setzen sich die Exper­tinnen und Experten auch für einen neuen Umgang mit Verschlüs­se­lungs­tech­no­logie ein. "Kryp­to­gra­fi­sche Verfahren, Schlüs­sel­längen und Zufalls­zah­len­ge­ne­ra­toren, die heute sicher sind, können morgen schon unsi­cher sein", sagte Prof. Claudia Eckert, Leiterin des Fraun­hofer AISEC und des Lehr­stuhls für Sicher­heit in der Infor­ma­ti­ons­technik an der TU München.

Neue Entwick­lungen im Bereich Quan­ten­com­pu­ting würden dazu führen, dass bewährte Verschlüs­se­lungs­ver­fahren wie RSA unsi­cher würden. "Deshalb empfehlen wir für IT-Lösungen, die eine lange Lebens­zeit haben können, dass verwen­dete Algo­rithmen ausge­tauscht oder vorhan­dene Hard­ware­kom­po­nenten neu program­miert werden können". So könne man agil auf neue tech­ni­sche Heraus­for­de­rungen reagieren.

Die Empfeh­lungen des "Weisen­rats" für Cyber-Sicher­heit betreffen auch die Smart Cities. "Digi­tale Infra­struk­turen in den vernetzten Städten müssten jeder­zeit verfügbar, verständ­lich und beherrschbar bleiben", sagte Matthias Hollick, Professor für Sicher­heit in Mobilen Netzen an der Tech­ni­schen Univer­sität Darm­stadt.

"Krisen wie Cyber-Angriffe, Natur­er­eig­nisse, mensch­li­ches und tech­ni­sches Versagen sowie Gewalt und Terror gefährden den verläss­li­chen Betrieb von IT-Systemen." Es sei daher notwendig, dass man auch im Krisen­fall und bei hohem Vernet­zungs­grad den Betrieb kriti­scher Infra­struk­turen garan­tieren könne.

Weisenrat will jähr­lich Bericht vorlegen

Der "Weisenrat" für Cyber-Sicher­heit hat sich 2019 formiert und wird vom Cyber Secu­rity Cluster Bonn koor­di­niert. In dem Verein arbeiten Unter­nehmen wie Bechtle, Deut­sche Telekom, IBM und Deut­sche Post DHL mit wissen­schaft­li­chen Einrich­tungen wie verschie­denen Fraun­hofer-Insti­tuten sowie öffent­li­chen Stellen zusammen.

Ähnlich wie der Bericht der "Wirt­schafts­weisen", also der Bericht des Sach­ver­stän­di­gen­rats zur Begut­ach­tung der gesamt­wirt­schaft­li­chen Entwick­lung, will der "Weisenrat für Cyber-Sicher­heit" jähr­lich einen Bericht vorlegen. Politik und Wirt­schaft könnten die Berichte zur Orien­tie­rung nutzen.

In einem Ratgeber infor­mieren wir Sie, wie Sie sich vor Tracking, Malware und Phis­hing schützen können.

Mehr zum Thema Passwörter