Cybersicherheit IT-Experten fordern Umdenken bei Passwortregeln
Internetsicherheit: Mehr Freiheiten bei der Wahl des Kennworts empfohlen
Foto: Lino Mirgeler/ dpaDer sogenannte Weisenrat für Cybersicherheit in Deutschland setzt sich für eine Abkehr von komplizierten Vorgaben beim Anlegen von Passwörtern ein. "Es ist ein weitverbreiteter Irrglaube, dass strengere Richtlinien die Qualität der Passwörter steigern", heißt es in dem Jahresbericht der sechs renommierten Professorinnen und Professoren aus dem Bereich Cybersicherheit, der am Mittwoch in Bonn veröffentlicht wurde. Es gebe Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter mitunter sogar verschlechterten.
Besonders wichtig sei, Passwörter nicht mehr mit einem Verfallsdatum zu versehen. "Es ist viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmäßig zu wechseln", sagte Matthew Smith, Professor an der Universität Bonn und am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE. Ein Wechsel sei nur dann zu empfehlen, wenn es Anzeichen gebe, dass das Passwort ausgespäht oder auf anderem Wege kompromittiert worden sei.
Smith sagte, in den jüngsten Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) spiele das Passwortalter bereits keine Rolle mehr. Das sei eine gute Entwicklung. Er forderte aber das BSI auf, den Behörden und Unternehmen einheitliche Vorgaben für die Passwortrichtlinien zu machen. Dabei sollte man sich an den Empfehlungen des Open Web Application Security Projects (OWASP) und des US-amerikanischen National Institute of Standards and Technology (NIST) orientieren.
OWAPS und NIST verabschiedeten sich schon vor geraumer Zeit von den meisten der Einschränkungen bei der Passwortvergabe und räumen den Anwendern mehr Freiheiten bei der Wahl des Kennworts ein. Damit werden nicht mehr maximal komplizierte Konstruktionen aus Ziffern und Sonderzeichen verlangt, sondern längere Passphrasen.
Die Empfehlungen des Weisenrats für Cybersicherheit betreffen auch die sogenannten Smart Cities. "Digitale Infrastrukturen in den vernetzten Städten müssten jederzeit verfügbar, verständlich und beherrschbar bleiben", sagte Matthias Hollick, Professor für Sicherheit in Mobilen Netzen an der Technischen Universität Darmstadt. "Krisen wie Cyberangriffe, Naturereignisse, menschliches und technisches Versagen sowie Gewalt und Terror gefährden den verlässlichen Betrieb von IT-Systemen." Es sei daher notwendig, dass man auch im Krisenfall und bei hohem Vernetzungsgrad den Betrieb kritischer Infrastrukturen garantieren könne.
Der Weisenrat für Cybersicherheit hat sich 2019 formiert und wird vom Cyber Security Cluster Bonn koordiniert. In dem Verein arbeiten Unternehmen wie Bechtle, Deutsche Telekom, IBM und Deutsche Post DHL mit wissenschaftlichen Einrichtungen wie verschiedenen Fraunhofer-Instituten sowie öffentlichen Stellen zusammen.
Ähnlich wie der Bericht des Sachverständigenrats zur Begutachtung der gesamtwirtschaftlichen Entwicklung - der sogenannten Wirtschaftsweisen - will der Weisenrat für Cybersicherheit jährlich einen Bericht vorlegen, der Politik und Wirtschaft zur Orientierung dienen soll.
