Passwort

Kennwort, das zusätzlich zur Teilnehmeridentifikation bei der Inbetriebnahme von Bildschirmarbeitsplätzen einer Datenverarbeitungsanlage oder von entsprechend geschützten Personalcomputern eingegeben werden muss, um nur berechtigten Personen den Zugriff zum System zu gestatten.

Die Sicherheit der Zugangs- und Zugriffsrechteverwaltung hängt entscheidend vom korrekten Gebrauch des Passworts ab. Es empfiehlt sich daher dringend, verbindliche Vorgaben bezüglich Gestaltung und Benutzung zu entwickeln und die IT-Anwender damit vertraut zu machen. Die nachfolgend aufgeführten Grundregeln basieren auf Empfehlungen des Bundesbeauftragten für den Datenschutz bzw. auf entsprechenden Ausführungen im IT-Grundschutzhandbuch (-->Grundschutz) des Bundesamtes für Sicherheit in der Informationstechnik (-->BSI):

  1. Als oberste Maxime gilt: "Für den Benutzer leicht zu merken, für einen Fremden schwer zu erraten."
  2. Keine Trivialpasswörter verwenden (z.B. Name, Vorname, Geburtstage, 4711, arithmetische Reihen - 1 2 3 4 5 / a b c d - oder andere nebeneinander liegende Tasten, gast usw.)
  3. Mindestlänge: 8 Stellen. Kürzere Passworte sollte das System automatisch zurückweisen.
  4. Unbedingt alphanumerisch gestalten; d.h. Buchstaben und Zahlen-/Zeichen-Kombination.
  5. Niemandem mitteilen! Niemals auf dem Bildschirm anzeigen lassen!
  6. Ausschließlich zum Zwecke der Hinterlegung schriftlich fixieren, wobei es dann im versiegelten Umschlag aufzubewahren ist.
  7. Unter keinen Umständen auf programmierbaren Funktionstasten speichern. Speicherung allenfalls in einer verschlüsselten Datei statthaft.
  8. Keine vom System automatisch generierten Passworte verwenden (sind in der Regel vom Benutzer nur schwer zu merken und verleiten insofern zum vorschriftswidrigen - siehe Regel 6 - Notieren).
  9. Voreingestellte Passwörter (z.B. des Herstellers bei Auslieferung von IT-Systemen) sind unverzüglich durch individuelle Passwörter zu ersetzen.
  10. Für die Erstanmeldung neuer Benutzer ausschließlich Einmalpasswörter verwenden, die nach ihrem erstmaligen Gebrauch gewechselt werden müssen.
  11. Die Eingabe des Passworts sollte möglichst unbeobachtet stattfinden.
  12. Nach dreifacher fehlerhafter Passworteingabe sollte eine Sperrung erfolgen, die nur vom Systemadministrator wieder aufgehoben werden kann.
  13. Passwort in angemessenem Zeitabstand (bei normalen Anwendungen mindestens alle 90 Tage) ändern; Einhaltung des vorgeschriebenen Turnus ist durch Systemsteuerung sicherzustellen.
  14. Die letzten zehn Passworte können nicht erneut verwendet werden (automatische Ablehnung durch das System).
  15. Für herausragende Funktionen oder besonders sensible Daten/Anwendungen wird ein Zusatzpasswort erforderlich ("4-Augen-Prinzip" bzw. zwei Personen kennen je das halbe Passwort).

(letzte Änderung 24.4.2000)

(Opfermann, Walter, Landesamt für Verfassungsschutz Baden-Württemberg, Stuttgart )