RiLi-Passworte

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Mustervorlage: "Passwort Richtlinie"

Einleitung

Die Verwendung von Passworten ist immer noch die am weitesten verbreitete Authentisierungsmethode in IT-Anwendungen und ein häufiges Ziel von Angreifern.

Damit kommt gerade den Benutzern eine besondere Verantwortung beim Umgang mit Passworten zu.

Geltungsbereich

Diese Richtlinie ist für alle Passwort gesicherten Systeme der Organisation gültig und für alle Mitarbeitenden verbindlich.

Zielsetzung

Diese Richtlinie wägt die technisch notwendigen Anforderungen an die Komplexität von Passworten mit den Interessen der Nutzer nach praktikablen und beherrschbaren Passwortregeln ab.

Allgemeine Nutzerregeln

Das komplexeste Passwort ist nutzlos wenn es einem Angreifer leicht zur Verfügung gestellt wird.

Hier kommt allen Mitarbeitenden und Nutzern eine besondere Verantwortung zu. Folgende Regeln sollten bei der Nutzung von Passworten grundsätzlich beachtet werden:

  • Passwörter sind geheim zu halten!
    • Passworte dürfen nicht schriftlich notiert werden (auch nicht in Excel Tabellen o.ä.),
    • Passworte dürfen nicht per Email oder anderen Messengerdiensten versendet werden,
    • Passworte dürfen nicht per Telefon mitgeteilt werden,
    • Die Passworteingabe muss geheim (unbeobachtet) erfolgen,
  • Das Speichern von Passworte ist nur in dem dafür vorgesehen und freigegebenen Passwortsafe erlaubt. Insbesondere eine Speicherung auf Funktionstasten oder ähnlich automatisierte Eingabefunktionen ist nicht erlaubt.
  • Passworte die leicht zu erraten sind, sind nicht erlaubt. Zu vermeiden sind insbesondere:
    • Zeichenwiederholungen,
    • Zahlen und Daten aus dem Lebensbereich des Benutzers (z.B. Geburtsdatum),
    • Trivialpassworte wie Namen, Begriffe des Berufs oder Alltags,
    • Zeichenfolgen, die durch nebeneinander liegende Tasten eingegeben werden (qwertz).
  • Es dürfen keine Passworte verwendet werden, die auch im privaten Umfeld (z.B. in Shopping-Portalen oder Social Media Accounts) genutzt werden.
  • Jedes Passwort sollte nur einmal verwendet werden. Für jedes System sollte ein eigenes Passwort verwendet werden, für sensible System mit hohem Schutzbedarf muss ein individuelles Passwort verwendet werden.

Für kurzzeitig genutzte Initial- und Einmalpassworte wie sie z.B. zur Passwort Zurücksetzung verwendet werden, kann von den Regelungen abgewichen werden.

Allgemeine Regelungen für Entwicker und IT-Betrieb

Neben den Benutzern haben auch Entwickler und Betrieb eine maßgebliche Verantwortung für den sicheren Umgang mit Passworten. Folgende Regelungen gelten für Entwicklung und Betrieb von Systemen und Anwendungen:

  • So weit wie technisch möglich sind die Passwortregeln automatisiert umzusetzen und zu kontrollieren.
  • Passworte dürfen auf keinem Kommunikationsweg (auch nicht im Intranet) unverschlüsselt übertragen werden.
  • Passworte dürfen bei der Eingabe nicht angezeigt werden.
  • Erfolglose Loginversuche müssen protokolliert werden.
  • Erfolgreiche Logins sollten protokolliert werden, auf sensiblem Systemen oder für sensible Accounts (z.B. Admin-Accounts) müssen auch erfolgreiche Logins protokolliert werden.
  • Bei erfolglosen Anmeldeversuchen sollte das System keinen Hinweis darauf geben, ob Benutzername oder Kennwort falsch waren.
  • Passworte dürfen auf keinem System unverschlüsselt gespeichert werden, dies gilt insbesondere auch für Passworte die in der Programmierung, in Programmcode oder in Konfigurationsdateien hinterlegt sind.
  • Initialpassworte sollten programmtechnisch nur einmal verwendbar sein und der Nutzer muss direkt zur Änderung aufgefordert werden.
  • Initialpassworte für die Einrichtung von Software müssen vor Produktionsbetrieb geändert werden. Sie sollten geändert werden, bevor die Systeme mit dem Netz verbunden werden.

Passwortrichtlinie Benutzer Accounts

Für normale Benutzeraccounts ohne administrative Berechtigungen gelten zusätzlich folgende Regeln:

  • Die Mindestlänge des Passworts beträgt 8 Zeichen
  • Das Passwort muss aus mindestens drei der folgenden Zeichengruppen bestehen:
    • Großbuchstaben (ABCDEFG...)
    • Kleinbuchstaben (abcdefg...)
    • Ziffern (0123456789)
    • Sonderzeichen (!#$%()*+,-./:;<=>)
  • Das Passwort sollte mindestens einmal im Jahr geändert werden.
  • Bei Mißbrauchsverdacht muss das Passwort unverzüglich geändert werden.
  • Die letzten fünf Passworte dürfen nicht erneut verwendet werden.
  • Bei mehr als fünf Fehlversuchen sollte eine Eingabeverzögerung von mindestens einer Minute oder die zusätzliche Abfrage eines Captcha erfolgen, alternativ muss der Account nach mehr als fünf Fehlversuchen gesperrt werden.

Passwortrichtlinie Admin Accounts

Für Admin Accounts und Anwendungen mit sehr hohem Schutzbedarf müssen restriktivere Regelungen gelten, da diese Accounts exponierter sind:

  • Der mögliche Schaden bei Missbrauch von Admin Accounts ist i.d.R. größer.
  • Admin Accounts können i.d.R. nicht bei mehreren Fehlversuchen gesperrt werden, da diese üblicherweise nur durch einen Admin Account entsperrt werden können.

Für Admin Accounts und Anwendungen mit sehr hohem Schutzbedarf gelten folgende Regelungen:

  • Authentisierung durch einen zweiten Faktor in Verbindung mit den folgenden Regeln:
  • Die Mindestlänge des Passworts beträgt 8 Zeichen.
  • Das Passwort muss aus mindestens drei der folgenden Zeichengruppen bestehen:
    • Großbuchstaben (ABCDEFG...)
    • Kleinbuchstaben (abcdefg...)
    • Ziffern (0123456789)
    • Sonderzeichen (!#$%()*+,-./:;<=>)
  • Das Passwort sollte mindestens zwei mal im Jahr geändert werden.
  • Bei Mißbrauchsverdacht muss das Passwort unverzüglich geändert werden.
  • Die letzten fünf Passworte dürfen nicht erneut verwendet werden.
  • Bei mehr als drei Fehlversuchen sollte eine Eingabeverzögerung von mindestens einer Minute oder die zusätzliche Abfrage eines Captcha erfolgen.
  • Überwachung der Fehlversuche und Alarmierung bei mehr als drei Fehlversuchen.
  • Protokollierung und regelmäßige Audits erfolgreicher Anmeldungen.
  • Die Passworte von administrativen Accounts sind sicher zu hinterlegen.

Wenn ein zweiter Faktor nicht möglich ist, gelten abweichend folgende Regelungen:

  • Die Mindestlänge des Passworts beträgt 16 Zeichen.
  • Das Passwort muss mindestens alle drei Monate geändert werden.

Passwortrichtlinie System Accounts

System Accounts werden üblicherweise für die automatisierte Anmeldung eines Systems an einem Anderen (z.B. bei Anmeldung einer Anwendung an einer Datenbank) verwendet.

Menschliche Faktoren wie Merkbarkeit oder Tippfehler bei der Eingabe sind hier nicht relevant.

Da die Passworte üblicherweise in Anwendungen hinterlegt oder einprogrammiert werden müssen, ist ein regelmäßiger Wechsel der Passworte oft mit erheblichem Aufwand verbunden.

Der regelmäßige Passwortwechsel muss hier durch entsprechende Komplexitätsanforderungen kompensiert werden.

Für System Accounts gelten folgende Regelungen:

  • Die Passwortlänge muss mindestens 20 Zeichen betragen.
  • Nutzung des größtmöglichen Zeichenumfangs (Groß- Kleinbuchstaben, Ziffern und Sonderzeichen).
  • Nutzung automatisch/zufallsgenerierter Passworte.
  • Sofortiger Wechsel der Passworte bei Missbrauchsverdacht.
  • Die Passworte von System Accounts sind sicher zu hinterlegen.

Nummerische Passworte (PIN)

Für alphanumerische PIN's gelten die Regeln für Benutzer-Accounts soweit möglich.

Für rein numerische PIN's gelten folgende Regeln:

  • Mindestlänge der PIN beträgt 12 Ziffern oder falls technisch weniger möglich sind, soviele wie möglich.
  • PIN's mit weniger als 4 Ziffern sind grundsätzlich nicht erlaubt.
  • Keine Ziffernwiederholung von mehr als zwei! (z.B. 111234, 0007, 110011).
  • Keine Ziffernfolgen von mehr als drei Ziffern (z.B. 1234, 098765).
  • Keine Datumsdaten oder Jahrenszahlen wie Geurtsdatum, Hochzeitstag o.ä.
  • Mindestens eine Ziffer aus dem unteren Ziffernbereich (12345) und eine Ziffer aus dem oberen Ziffernbereich (67890), d.h die Ziffern dürfen nicht nur aus dem unteren oder nur aus dem oberen Bereich bestehen (z.B. 132421, 687098).
  • Die PIN sollte mindestens jährlich geändert werden.
  • Bei Missbrauchsverdacht ist die PIN unverzüglich zu ändern oder der Zugang zu sperren.
  • Spätestens nach fünf Fehlversuchen (bei weniger als 10 Ziffern, spätestens nach drei Fehlversuchen) ist der Zugriff zu sperren.
  • Admin- oder System-PIN's sind sicher zu hinterlegen.

Passwort Rücksetzung

Regelung der Organisation für die Rücksetzung von Passworten.

Einfache Variante: manuelle Rücksetzung durch einen Service Desk / User Help Desk.

Besser: Automatisierte Rücksetzung mit Verifizierung des Nutzers per TAN, Prüffrage o.ä.

Hinterlegung von Passworten

Regelung der Organisation für die Hinterlegung von administrativen Passworten.

Einfache Variante: versiegelter Umschlag in verschlossenem Behälter (verschlossener Schrank oder Safe)

Besser: zentrale digitale Ablage in einem Passwortsafe (z.B. Bitwarden oder KeePass)

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung