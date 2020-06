Der sogenannte "Weisenrat für Cyber-Sicherheit in Deutschland" setzt sich für eine Abkehr von komplizierten Vorgaben beim Anlegen von Passwörtern ein. "Es ist ein weit verbreiteter und verständlicher Irrglaube, dass strengere Richtlinien die Qualität der Passwörter steigern", heißt es in dem Jahresbericht der sechs renommierten Professorinnen und Professoren aus dem Bereich Cyber-Sicherheit, der am Mittwoch in Bonn veröffentlicht wurde. Es gebe Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter mitunter sogar verschlechterten.

Besonders wichtig sei, Passwörter nicht mehr mit einem Verfallsdatum zu versehen. "Es ist viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmäßig zu wechseln", sagte Matthew Smith, Professor an der Universität Bonn und am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE. Ein Wechsel sei nur dann zu empfehlen, wenn es Anzeichen gebe, dass das Passwort ausgespäht oder auf anderem Wege kompromittiert worden sei. Damit schließt sich das Gremium dem Bundesamt für Sicherheit in der Informationstechnik (BSI) an, dass sich Anfang des Jahres ähnlich geäußert hatte.

BSI-Empfehlungen zu Passwörtern

Smith verwies auch auf das dahingehend geänderte IT-Grundschutz-Kompendiums des BSI. In der jüngsten Fassung der Richtlinien werden keine Vorgaben mehr zum Passwortalter gemacht. Das sei eine gute Entwicklung. Er forderte aber das BSI auf, den Behörden und Unternehmen einheitliche Vorgaben für die Passwort-Richtlinien zu machen. Dabei sollte sich das BSI an den Empfehlungen des Open Web Application Security Projects (OWASP) und US-amerikanischen National Institute of Standards and Technology (NIST) orientieren.

Lesetipp: Vergessen oder verloren - Passwort knacken leicht gemacht

OWAPS und NIST verabschiedeten sich schon 2017 von den meisten der Einschränkungen bei der Passwortvergabe und räumen Anwendern mehr Freiheiten bei der Wahl des Kennworts ein. Damit werden nicht mehr maximal komplizierte Konstruktionen aus Ziffern und Sonderzeichen verlangt, sondern längere, sogenannte Passphrasen.

SSO und MFA als Alternativen

Einer von LastPass, einer Marke des Anbieters LogMeIn, im Frühjahr vorgelegten Studie zufolge, ist der Umgang mit Passwörtern vielfach immer noch mangelhaft - in größeren Unternehmen aber besser geregelt, als in kleineren. In größeren Firmen müssen Mitarbeiter durchschnittlich 25 Passwörter verwalten, in kleineren Firmen sogar 85 Passwörtern. Größere Unternehmen eher einen Single Sign-On-Lösung (SSO) ein. Insgesamt nutzt jedoch weniger als die Hälfte der 47.000 befragten Unternehmen eine SSO-Lösung.

Multi-Faktor-Authentifizierung (MFA) nutzte über die Hälfte der Unternehmen (57 Prozent) - zumindest punktuell. Das sind zwölf Prozentpunkte mehr als in der vergleichbaren Studie 2018. Als Grund nennen die Studienautoren, dass Multifaktor-Authentifizierung immer benutzerfreundlicher und von immer mehr Anwendungen unterstützt werde. Auch hier sind größere Firmen, von denen 87 Prozent der Mitarbeiter MFA nutzen, weltweit Vorreiter - was allerdings für deutsche Unternehmen nur bedingt gilt. Zur Akzeptanz beigetragen hat sicherlich auch, dass seit 14. September 2019 die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) vorschreibt, dass für sämtliche Zahlungsprozesse im Web, die eine Grenze von 30 Euro überstiegen, eine Zwei-Faktor-Authentifizierung verfügbar sein muss.

Neuer Umgang mit Verschlüsselungstechnologie empfohlen

In dem Jahresbericht setzen sich die Expertinnen und Experten auch für einen neuen Umgang mit Verschlüsselungstechnologie ein. "Kryptografische Verfahren, Schlüssellängen und Zufallszahlengeneratoren, die heute sicher sind, können morgen schon unsicher sein", sagte Prof. Claudia Eckert, Leiterin des Fraunhofer AISEC und des Lehrstuhls für Sicherheit in der Informationstechnik an der TU München.

Praxistipps: Die besten Passwort-Manager für PC

Neue Entwicklungen im Bereich Quantencomputing würden dazu führen, dass bewährte Verschlüsselungsverfahren wie RSA unsicher würden. "Deshalb empfehlen wir für IT-Lösungen, die eine lange Lebenszeit haben können, dass verwendete Algorithmen ausgetauscht oder vorhandene Hardwarekomponenten neu programmiert werden können". So könne man agil auf neue technische Herausforderungen reagieren.

Empfehlungen des "Weisenrats" für Smart Cities

Die Empfehlungen des "Weisenrats" für Cyber-Sicherheit betreffen auch die sogenannten Smart Cities. "Digitale Infrastrukturen in den vernetzten Städten müssten jederzeit verfügbar, verständlich und beherrschbar bleiben", sagte Matthias Hollick, Professor für Sicherheit in Mobilen Netzen an der Technischen Universität Darmstadt. "Krisen wie Cyber-Angriffe, Naturereignisse, menschliches und technisches Versagen sowie Gewalt und Terror gefährden den verlässlichen Betrieb von IT-Systemen." Es sei daher notwendig, dass man auch im Krisenfall und bei hohem Vernetzungsgrad den Betrieb kritischer Infrastrukturen garantieren könne.

Der "Weisenrat" für Cyber-Sicherheit hat sich 2019 formiert und wird vom Cyber Security Cluster Bonn koordiniert. In dem Verein arbeiten Unternehmen wie Bechtle, Deutsche Telekom, IBM und Deutsche Post DHL mit wissenschaftlichen Einrichtungen wie mehreren Fraunhofer-Instituten sowie öffentlichen Stellen zusammen.

Ähnlich wie der Bericht der "Wirtschaftsweisen", also der Bericht des Sachverständigenrats zur Begutachtung der gesamtwirtschaftlichen Entwicklung, will der "Weisenrat für Cyber-Sicherheit" jährlich einen Bericht vorlegen. Politik und Wirtschaft könnten die Berichte zur Orientierung nutzen. (dpa/pma)