13.7 Paßwortgestaltung

Öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben gem. § 6 Abs. 2 DSG-LSA zu gewährleisten, daß die Daten nur von befugten Personen im Rahmen der Erledigung ihrer Amtsgeschäfte gelesen, verarbeitet, genutzt oder gelöscht werden (Speicher- und Zugriffskontrolle). Dies geschieht im allgemeinen in Netzwerken, aber auch bei Einzelplatz-PC durch paßwortgeschützte Nutzerkennungen/-Accounts.
Der Landesbeauftragte ist bei seinen Kontrollen und Beratungen vor Ort, aber oftmals auch telefonisch, um Hinweise in Bezug auf die datenschutzrechtlich korrekte Bildung und Verwendung dieser Paßworte für IT-Systeme gebeten worden.

Zusammengefaßt wurden dabei durch den Landesbeauftragten folgende, teilweise auch im Grundschutzhandbuch des BSI nachzulesende Hinweise und Empfehlungen gegeben:

• Jeder Nutzer sollte über ein nur ihm bekanntes Paßwort verfügen, das er jederzeit selbst ändern können muß.

• Das Paßwort sollte mindestens 6 Zeichen lang sein und aus Buchstaben, Ziffern und Sonderzeichen bestehen. Allerdings ist zu beachten, daß mit zunehmender Länge und Komplexizität eines Paßwortes (z.B. "$:#K&m13L" o.ä.) proportional die Gefahr zunimmt, daß der Nutzer sich dieses Paßwort irgendwo notiert.

• Paßworte sollten regelmäßig, jedoch nur in begründeten Fällen öfter als monatlich, geändert werden. Die Mindestbestandsdauer eines Paßwortes sollte einen Tag betragen.

• Den Nutzern sollte bekannt sein, daß Paßworte, die aus Bestandteilen des familiären oder beruflichen Umfeldes bestehen, mittels eines "social engineering" genannten Verfahrens von einem möglichen Angreifer häufig herausgefiltert werden können.
  Dies gilt auch für sog. Trivialpaßworte (z.B. 12345, 4711, admin u.ä.).

• Es sollte nach Möglichkeit softwareseitig ausgeschlossen werden, daß aus Bequemlichkeit als neues wieder das alte Paßwort verwendet wird (Paßwort-Historie).

• Nach einer bestimmten Anzahl (zweckmäßigerweise drei) aufeinanderfolgender fehlerhafter Paßworteingaben sollte eine befristete oder unbefristete Sperrung des Accounts erfolgen.
  Der Systemadministrator muß Kenntnis von dieser Sperrung erhalten und darf erst nach Klärung der Ursache die Sperrung wieder aufheben. Anmeldefehlversuche müssen vom System protokolliert werden.

• Die Paßworte des Systemverwalters und der Personen, die alleinverantwortlich besondere Programmberechtigungen besitzen, sollten an sicherer Stelle versiegelt aufbewahrt werden, z.B. in einem Safe beim Behördenleiter. Der Vertreter des Systemverwalters sollte dazu nur im Vertretungsfall Zugang haben.

• Bei EDV-Verfahren, die Zugang zu besonders sensiblen Daten ermöglichen, ist das Paßwort nach dem Vier-Augen-Prinzip (d.h. von zwei Personen kennt jede nur das halbe Paßwort) einzugeben.

Die öffentlichen Stellen werden durch den Landesbeauftragten stets darauf hingewiesen, daß aus der Fülle der genannten Maßnahmen gem. § 6 Abs. 1 DSG-LSA nur diese ausgewählt und getroffen werden müssen, deren Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Die Art und Weise der Maßnahmen hat sich dabei am Stand der Technik zu orientieren, d.h. sie sind von Zeit zu Zeit zu überprüfen und ggf. fortzuschreiben.