BSI-Passwortrichtlinie: Was Organisationen wissen und beachten sollten

29. Februar 2024

Datenschutz und IT-Recht

Starke Passwörter – Starker Schutz: Die BSI-Passwortrichtlinie im Überblick

Passwörter sind ein wesentlicher Bestandteil der IT-Sicherheit, da sie den Zugang zu sensiblen Daten und Systemen schützen. Doch wie können Organisationen sicherstellen, dass ihre Mitarbeiter starke und sichere Passwörter verwenden, die nicht leicht zu erraten oder zu knacken sind? Dafür gibt es die BSI-Passwortrichtlinie, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde, um eine einheitliche und sichere Methode zur Verwaltung von Passwörtern zu etablieren.

Die BSI-Passwortrichtlinie legt die Mindestanforderungen für die Passworterstellung, -speicherung und -verwendung fest. Sie basiert auf dem IT-Grundschutz-Kompendium, das die Standards und Empfehlungen des BSI für die IT-Sicherheit enthält. Die BSI-Passwortrichtlinie richtet sich an alle Organisationen, die personenbezogene Daten verarbeiten oder schützenswerte Informationen besitzen, und ist somit auch relevant für die Einhaltung der Datenschutz-Grundverordnung (DS-GVO).

Die wichtigsten Punkte der BSI-Passwortrichtlinie sind:

  • Ein Passwort muss aus mindestens zehn Zeichen bestehen.
  • Innerhalb des Passworts sollte mindestens ein Sonderzeichen enthalten sein.
  • Es sollten sowohl Groß- als auch Kleinbuchstaben sowie Ziffern in Verwendung sein (4 aus 4 Kriterien-Regel).
  • Das Passwort sollte nicht aus einem Wort oder einer Wortkombination bestehen, die in einem Wörterbuch zu finden ist oder einen persönlichen Bezug hat (z.B. Name, Geburtsdatum, Hobby).
  • Das Passwort sollte regelmäßig geändert werden, mindestens jedoch alle 180 Tage.
  • Das Passwort sollte immer nur für einen Zugang genutzt werden und nicht für mehrere Dienste oder Programme.
  • Das Passwort sollte nicht aufgeschrieben, weitergegeben oder unverschlüsselt gespeichert werden.
  • Das Passwort sollte nicht automatisch gespeichert oder eingegeben werden, z.B. durch Browser oder Passwortmanager.
  • Das Passwort sollte bei der Eingabe nicht sichtbar sein, z.B. durch die Verwendung von Sternchen oder Punkten.
  • Das Passwort sollte bei der Übertragung verschlüsselt werden, z.B. durch die Verwendung von HTTPS oder VPN.
  • Das Passwort sollte bei der Speicherung verschlüsselt oder gehasht werden, z.B. durch die Verwendung von Salt oder Pepper.
  • Das Passwort sollte bei der Verwendung geschützt werden, z.B. durch die Verwendung von Zwei-Faktor-Authentisierung oder Sperrmechanismen bei Fehlversuchen.

 

Die BSI-Passwortrichtlinie bietet somit einen umfassenden Leitfaden für die Erstellung und Verwaltung von sicheren Passwörtern, die sowohl die IT-Sicherheit als auch den Datenschutz gewährleisten. Organisationen, die diese Richtlinie befolgen, können sich vor Cyberangriffen schützen, die auf schwache oder gestohlene Passwörter abzielen, und gleichzeitig die Anforderungen der DS-GVO erfüllen, die einen angemessenen Schutz personenbezogener Daten verlangt.

Um die Umsetzung der BSI-Passwortrichtlinie zu erleichtern, gibt es verschiedene Tools und Methoden, die Organisationen nutzen können, z.B.:

  • Passwortmanager: Ein Passwortmanager ist eine Software, die verschiedene Passwörter für verschiedene Dienste oder Programme generiert und speichert. Der Nutzer muss sich nur ein Master-Passwort merken, um auf alle seine Passwörter zugreifen zu können. Ein Passwortmanager kann die Erstellung und Verwaltung von starken und sicheren Passwörtern vereinfachen, solange das Master-Passwort den Anforderungen der BSI-Passwortrichtlinie entspricht und der Passwortmanager selbst sicher ist.
  • Passwortgenerator: Ein Passwortgenerator ist eine Software oder eine Webseite, die zufällige Passwörter nach bestimmten Kriterien erzeugt. Ein Passwortgenerator kann die Erstellung von starken und sicheren Passwörtern unterstützen, indem er Passwörter vorschlägt, die den Anforderungen der BSI-Passwortrichtlinie genügen. Der Nutzer sollte jedoch darauf achten, dass er die Passwörter nicht vergisst oder verliert und dass er sie nicht an Dritte weitergibt oder unverschlüsselt speichert.
  • Eselsbrücken: Eine Eselsbrücke ist eine Merkhilfe, die es dem Nutzer erleichtert, sich ein Passwort zu merken. Eine Eselsbrücke kann z.B. aus einem Satz, einem Lied, einem Reim oder einer Abkürzung bestehen, aus dem das Passwort abgeleitet wird. Eine Eselsbrücke kann die Erstellung und Verwaltung von starken und sicheren Passwörtern fördern, indem sie dem Nutzer hilft, sich ein komplexes Passwort zu merken, ohne es aufschreiben oder speichern zu müssen. Der Nutzer sollte jedoch darauf achten, dass er die Eselsbrücke nicht vergisst oder verliert und dass er sie nicht an Dritte weitergibt oder unverschlüsselt speichert.

 

Fazit

Die BSI-Passwortrichtlinie ist eine wichtige und nützliche Ressource für Organisationen, die ihre IT-Sicherheit und ihren Datenschutz verbessern wollen. Durch die Befolgung der Richtlinie können Organisationen sichere und starke Passwörter erstellen und verwalten, die den Zugang zu sensiblen Daten und Systemen schützen. Dabei können verschiedene Tools und Methoden die Umsetzung der Richtlinie erleichtern und unterstützen, solange sie selbst sicher sind und die Anforderungen der Richtlinie erfüllen.