Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 18.08.2009

Passwortvergabe, -wahl und -verwaltung

Die in einer Behörde verwendeten Benutzerkennungen bestehen in der Regel aus Namen oder Namensteilen der Mitarbeiter und sind damit allen anderen Beschäftigten bekannt. Umso wichtiger ist es deshalb, dass die zu den Benutzerkennungen gehörenden Passwörter nur dem Berechtigten bekannt sind, anderen Personen gegenüber geheim gehalten werden und nicht leicht zu erraten sind. Daher müssen Kennwörter gewisse Anforderungen erfüllen.

So dürfen auf keinen Fall Trivialpasswörter oder Passwörter verwendet werden, die einen Bezug zum Besitzer aufweisen (z. B. Namen, Geburtsdatum oder Telefonnummern). Stattdessen sollten Passwörter verwendet werden, die nicht einfach zu erraten sind.

Zusätzlich sollten zur Erhöhung der Sicherheit Ziffern und Sonderzeichen eingestreut werden. Solche komplizierten Passworte lassen sich natürlich nur durch häufige Benutzung merken. Deshalb sollte sich jeder Anwender nach jedem Passwortwechsel mehrmals hintereinander anmelden, um sich so das Kennwort besser einprägen zu können.

Natürlich muss jedes Passwort auch in regelmäßigen Zeitabständen geändert werden. Dabei sollte der Zeitpunkt der Änderung nicht dem Anwender überlassen werden, sondern er sollte maschinell dazu gezwungen werden, sein Passwort regelmäßig (z. B. nach 90 Tagen) zu ändern.

Bei der Vergabe und bei der Verwendung von Passworten sollten insbesondere folgende Sicherheitsgrundsätze beachtet werden:

Passwortaufbau

Ein Passwort soll

• mindestens acht Zeichen lang sein¹
• nicht nur Buchstaben beinhalten sondern aus Groß- und Kleinbuchstaben, Sonderzeichen (Satzzeichen u. ä.) und Zahlen bestehen
• möglichst kein Wort sein, das im Duden oder in einem anderen Wörterbuch aufgeführt ist
• nicht aus einem Trivialpasswort bestehen (z. B. Namen von Prominenten, Passwort)
• nicht aus Zeichen aufgebaut sein, die auf der Tastatur nebeneinander liegen (z. B. 123456)
• nicht das gleiche Zeichen mehrfach hintereinander enthalten (z. B. AAAA)
• keinen Bezug zum Benutzer erkennen lassen (z. B. nicht Benutzerkennung, Name, Geburtsdatum, Kraftfahrzeugkennzeichen, usw.)

Passwortvergabe und -verwendung

• Zu jeder Benutzerkennung muss ein eigenes Passwort gehören.
• Die Passwortvergabe muss durch den Benutzer selbst erfolgen.
• Das Passwort darf nur dem Benutzer bekannt sein.
• Die Passworteingabe muss verdeckt erfolgen.
• Voreingestellte Passworte (z. B. im System- und Anwendungsbereich) sind sofort zu ändern.
• In besonders sensiblen oder besonders gefährdeten Bereichen sollten nur Einmal-Passwörter verwendet werden.
• Das eingesetzte Betriebssystem bzw. die Anwendungssoftware sollte über die Möglichkeit verfügen, Regeln für den Passwortaufbau, die Passwortvergabe und -verwendung sowie die Passwortverwaltung zu erstellen und deren Einhaltung sicherzustellen.
• Ein Transportpasswort darf nur zur Erstanmeldung berechtigen.
• Sofort nach der Erstanmeldung muss ein Passwortwechsel maschinell erzwungen werden.

Passwortverwaltung

• Passworte sollen maschinell einwegverschlüsselt im System hinterlegt werden.
• Das neue Passwort soll zur Sicherheit ein zweites Mal eingegeben werden.
• Das Passwort muss durch Benutzer jederzeit selbst geändert werden können.
• Besteht der Verdacht, dass das Passwort einer anderen Person bekannt wurde, ist es unverzüglich zu ändern.
• Eine regelmäßige Passwortänderung muss nach ca. 90 Tagen systemtechnisch erzwungen werden.
• In besonders sensiblen oder besonders gefährdeten Bereichen sollte - soweit nicht Einmal-Passwörter verwendet werden - der Passwortwechsel häufiger erzwungen werden.
• Die Mindestlebensdauer eines Passwortes sollte einen Tag betragen.
• Die letzte Passwortänderung soll dem Benutzer mit Datum und Uhrzeit angezeigt werden.
• Eine Passworthistorie ist systemtechnisch zu führen.
• Passworte dürfen nicht auf Funktionstasten gelegt bzw. in einem Makro gespeichert werden.
• Passworte dürfen nicht auf Zetteln notiert und keiner anderen Person (auch nicht dem Vorgesetzten oder dem Systemverwalter) mitgeteilt werden.

Sanktionen

• Die Anzahl an aufeinander folgenden Fehlversuchen ist systemtechnisch auf max. 5 zu begrenzen.¹
• Nach mehrfachen erfolglosen Anmeldeversuchen muss eine systemtechnische Sperrung der Benutzerkennung und/oder des Endgerätes i.d.R. auf Dauer erfolgen.¹
• Eine Entsperrung darf nur durch berechtigte Personen (z. B. Systemverwalter) möglich sein.
• Alle erfolglosen Anmeldeversuche sind zu protokollieren und auszuwerten.¹

Sonstiges

• Für besonders wichtige Funktionen sind Zusatzpassworte zu vergeben (Vieraugenprinzip).
• Systempassworte und wichtige Kennungen sind in versiegeltem Umschlag zugriffssicher zu hinterlegen.
• Passworte sind in vernetzten Systemen verschlüsselt zu übertragen.
• Die Benutzer sind über die Modalitäten zur Passwortauswahl und -vergabe sowie über die Sanktionen schriftlich zu informieren.

¹Sollte es technisch nicht möglich sein, einen der Punkte der Sanktionen zu erzwingen, so ist die Länge des Passwortes auf mindestens zehn Zeichen zu erhöhen.