Ein Passwort wird auf einem Laptop über eine Tastatur eingegeben | Bildquelle: dpa

BSI-Empfehlung Abschied vom regelmäßigen Passwort-Wechsel

Stand: 04.02.2020 16:12 Uhr

Kennwörter sollen lang sein, Sonderzeichen haben und regelmäßig geändert werden. Das war bisher das Mantra für viele Nutzer. Das BSI rückt nun von dieser Regel ab. Ein überfälliger Schritt, bemängeln Experten.

Bisher lautete die Faustregel, Passwörter für E-Mail-Accounts, Bankkonten oder Login-Daten am PC regelmäßig zu ändern. Denn immerhin können sie persönliche Daten vor Hackern und unerlaubtem Zugriff schützen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von dieser Empfehlung ab. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Zuerst hatte das Internetportal "Heise Security" über die Änderung berichtet.

Die BSI-Experten raten im Kapitel zur Regelung des Passwortgebrauchs, das Kennwort zu ändern wenn es in fremde Hände geraten sein könnte. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.

"Regeln schaden eher, als sie nützen"

Bereits seit Jahren sind viele Sicherheitsexperten der Ansicht, dass solche Regeln eher schaden als nützen. "Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen", schreiben die Autoren bei Heise Security. Das regelmäßige Ändern führe eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugte.

Tatsächlich belegte eine Studie des Potsdamer "Hasso-Plattner-Institut" (HPI), dass die Deutschen bei der Auswahl ihrer Passwörter auch im Jahr 2019 nicht besonders kreativ waren. Wie schon 2018 lautet das Lieblingspasswort erneut "123456". Danach folgten "123456789" und "1234567".

Kompliziert sind diese Passwörter nicht. Dabei sind schwache Passwörter laut HPI eine Einladung zum Identitätsdiebstahl. Der HPI-Direktor Christoph Meinel zeigt Verständnis für die Nutzer: "Es ist lästig, sich für jeden Dienst ein anderes Passwort zu merken, und überfordert viele."

BSI ist ein Nachzügler

Markus Dürmuth, der an der Ruhr-Uni Bochum zu Themen wie Passwort-Sicherheit forscht, begrüßte den Kurswechsel des BSI: "Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat."

Tatsächlich ist die Bundesbehörde mit ihrer Empfehlung reichlich spät dran. Bereits im Jahr 2016 riet das National Cyber Security Centre in Großbritannien von dem regelmäßigen Passwort-Wechsel ab. In den USA kippte das National Institute of Standards and Technologie (NIST) diese Regel 2017. Stattdessen empfahl die Standardisierungsbehörde schon damals, Phrasen als Passwörter zu verwenden. Diese sollte der Ersteller, dann nach einem Muster abwandeln, das nur ihm bekannt ist.

Über dieses Thema berichtete Bayern 2 am 04. Februar 2020 um 16:00 Uhr.

Darstellung: