An dieser Stelle habe ich schon länger nicht mehr über Passwörter geschrieben. Ist ja auch eine langweilige Angelegenheit. Zugegeben. Nichtsdestotrotz werde ich das Thema heute mal wieder aufgreifen. Ich beschäftige mich ja nun schon über zwei Jahrzehnte schwerpunktmäßig mit IT-Sicherheit und Passwörtern und dachte eigentlich, ich habe Alles schon erlebt. Mitnichten. Diese Woche sind zwei Dinge passiert, die mich sprachlos machen.
Dass man sein Kennwort regelmäßig ändern soll, ist ja bekannt. Über den Zeitraum, in dem man das machen soll, kann man aber diskutieren. Das hängt ja maßgeblich von den Daten ab, die man bearbeitet (und schützt) und auch vom Umfeld, in dem man das Passwort nutzt. Ist es zum Buchen einer Yoga-Stunde oder kommt man damit vielleicht sogar beim Arbeitgeber auf Systeme und Netzlaufwerke? All das muss betrachtet werden.
Bereits vor einigen Monaten hat das BSI eine zu häufige Pflicht zum Wechsel eines Passworts für kontraproduktiv erklärt. Meiner Meinung nach völlig zu Recht. Ausnahmen sind dann sinnvoll, wenn ein Daten- oder Passwortklau bekannt oder vermutet wird. Ansonsten genügt der Wechsel (eines guten und sicheren Passworts!) alle ein oder zwei Jahre.
Das hat sich ein Bekannter von mir auch gedacht. Er erzählte mir vor ein paar Tagen davon, dass er auf seinem Dienst-Laptop nach zwei Jahren das Kennwort ändern wollte. Dies ging jedoch nicht, weil er dazu Administrator-Rechte bräuchte, die er (zu Recht) nicht hat. Überrascht hat mich dann aber die Aussage des IT-Administrators er Firma, der den Wunsch zum Passwortwechsel ablehnte, weil das „nicht nötig ist. Es gibt schließlich keinen Grund, das zu tun.“
Klingt absurd. Ist es aus meiner Sicht auch. Juristisch ist es aber völlig in Ordnung. Zwar verstößt der Arbeitgeber damit gegen datenschutzrechtlich erforderliche Maßnahmen, der Mitarbeiter kann sich aufgrund des Weisungsrechts darauf aber nicht berufen. Wenn die Firma der Meinung ist, dass die vorhandenen Passwörter reichen, dann übernimmt sie auch die Verantwortung und muss gegebenenfalls auch dafür haften.
Getoppt wird das nur durch das ebay-Kleinanzeigen-Portal. Die haben sich letzte Woche an eine Datenbank von mehr oder weniger allen jemals irgendwo auf der Welt geklauten und im Darknet veröffentlichten Passwörtern gekoppelt. Egal wer auf der Welt das mal benutzt hat. Und auch egal, wie häufig es genutzt wurde. Bei „Love123“ hätte ich ja noch Verständnis. Aber keines (!!!) der bei haveibeenpwned gelisteten 847 Millionen Passwörter darf man ab sofort bei einem Passwortwechsel neu vergeben, wie auf der Hilfeseite nachzulesen ist. Auch NeN*_rUG6e%JEXM^$SuaS-BZRDJsu)$PXpr)ny9t nicht. Das ist zwar mega sicher, steht aber auch einmal in der Datenbank drin. Das Ganze ist so absurd, dass ich noch nie darüber nachgedacht habe. Ich bin mir im Moment ehrlich gesagt noch nicht einmal sicher, ob nicht vielleicht doch was Gutes an dem Vorgehen dran ist.
Nachtrag: Anscheinend ist die Prüfung auf die Datenbank aktuell ausgesetzt oder zurückgenommen worden.