JurPC Web-Dok. 4/1997 - DOI 10.7328/jurpcb/199712104
Startpunkt für Tabelle nicht gefunden!

Peter Itzel *

Sichere Paßwörter - eine Herausforderung für das IT-Sicherheitsmanagement

JurPC Web-Dok. 4/1997, Abs. 1 - 14




Der unbefugte Zugriff auf IT-Systeme und Daten erfolgt im Regelfall über bekannte oder erratene Paßwörter berechtigter Benutzer. Das Sicherheitsmanagement muß diese Schwachstelle analysieren, bewerten und nach Möglichkeit beseitigen. Auch aus Datenschutzgesichtspunkten ist insbesondere die sichere Identifizierung der Benutzer unabdingbar. Gerade in der Phase zunehmender Vernetzung bestehender IT-Systeme kommt der Verwendung sicherer Paßwörter zentrale Bedeutung für den ordnungsgemäßen Zugang zu Systemen und Daten zu. JurPC Web-Dok.
4/1997, Abs. 1

Dabei genügt weder die Sensibilisierung der Nutzer noch eine entsprechende Organisation der IT-Systeme allele den Anforderungen an eine ausreichende Informationssicherheit. Abs. 2

Aus der Praxis heraus wurden die nachfolgenden Grundsätze und Hilfestellungen, die weder den Anspruch auf Originalität noch auf Vollständigkeit besitzen, entwickelt; sie haben sich allerdings im tagtäglichen EDV-Betrieb innerhalb der Justizverwaltung von Rheinland-Pfalz mit vernetzten Strukturen und bei weit über 3000 EDV-Arbeitsplätzen bewährt. Abs. 3

Grundsätze:

  • Der Zugang zu IT-Systemen muß durch sichere Paßwörter geschützt sein.
  • Paßwörter dürfen nur dem Benutzer bekannt sein
  • nicht notiert oder Dritten mitgeteilt werden;
sie sollen
  • für den Benutzer leicht zu merken,
  • für Dritte schwer zu erraten sein.
Abs. 4

Das erforderliche Sicherheitsmanagement muß System- und Nutzerschwachstellen gleichermaßen erkennen, berücksichtigen und beseitigen. Abs. 5

Ob Mehrplatzsystem - eingebunden in einem WAN - oder isolierter Personalcomputer: in allen Fällen ist der Zugang zu dem IT-System über einen Zugangsschutz (Paßwortabfrage) abzusichern, gleich ob personenbezogene Daten oder sonstige verarbeitet werden.

Die Nutzer des IT-Systems dürfen ihre Paßwörter niemals aufgezeichnet als Klebezettel am Bildschirm, als Notiz auf oder unter der Schreibauflage oder griffbereit im Telefonverzeichnis hinterlegt aufbewahren. Auch dürfen Vertreter - generell oder für den Urlaub - in keinem Falle durch Weitergabe des individuellen Paßwertes "authorisiert" werden; hier muß ein spezielles Vertreterprofil mit einer entsprechenden Kennung und einem weiteren Paßwort geschaffen werden.

Abs. 6

Zur Durchsetzung einer effektiven Systemsicherheit, darf die Zugangssicherung mittels sicherer Paßwörter weder individuell dem Benutzer noch dem Systemverantwortlichen alleine überlassen bleiben. Vielmehr muß das IT-System durch entsprechende Einstellungen allgemeine Sicherheitsvorkehrungen treffen (s.u.) und den Benutzer durch Aufklärung und Sensibilisierung für die erforderlichen Sicherheitsvorkehrungen verantwortlich werden lassen. Abs. 7

Die Sicherung der IT-Systeme durch "starke" Paßwörter ist auch keine einmalige Angelegenheit; der Aufbau.die Wahrung und Durchsetzung dieses Sicherheitsmanagements ist vielmehr eine Daueraufgabe für die IT-Verantwortlichen. Abs. 8

Hilfestellungen/Tips und Einzelheiten für die Verwendung sicherer Paßwörter

1. Nicht als Paßwort verwendet werden dürfen:

  • Vor-, Familien- oder Spitzname des Benutzers oder von Personen aus dem Verwandten- / Bekanntenkreis, Gebetsdatum, Telefonnummern, Autokennzeichen, Name der Hauskatze usw., usw.,
  • Trivialpaßwörter wie: 4711, Hallo, EDV, Urlaub, 123456, Regen, Sonne usw., usw.
  • nebeneinanderliegende Tasten wie: wert, asdf usw., usw.
Abs. 9

2. Sichere Paßwörter bestehen aus:
  • mindestens 6 Stellen
  • gemischten alphanummerischen Zeichen ( Buchstaben und Ziffern / (Sonder-)zeichen), z.B. RT9Z§UV, Z&56B2

und sollen
  • in angemessener Frist ( l - 3 Monate) geändert werden müssen,
  • nicht innerhalb eines längeren Zeitraumes weder verwendet werden dürfen.
Abs. 10

3. Um sich sichere, "starke" Paßwörter einfach merken zu können, gibt es folgende einfache Möglichkeiten:

Grundsatz: nicht das Paßwort wird gemerkt, sondern die Methode, mit der es gebildet wird!

  • Redensarten, Gedicht-, Liedanfänge, Buchtitel usw.: z.B. DKGSLZBBEB - Der Krug geht so lange zum Brunnen bis er bricht; AVSSD97 - Alle Vögel sind schon da 97 usw., usw; diese Buchstabenfolgen können auch an beliebiger Stelle abgebrochen und z.B. an der ersten oder letzten Stelle mit alphanumerischen Zeichen (Ziffern / Sonderzeichen) weiter gesichert werden: DKGSLZB9;
  • inhaltlich zusammenhängende Worte, ggfls. mit Einfügung von alphanumerischen Zeichen (Ziffern/Sonderzeichen): Holz%weg, Gute7Nacht, Paߧwort, EDV5Raum;
  • noch sicherer ist die Verwendung nur von Teilen dieser Worte: Ho%we, Gut7Nac, aߧort, ED5Ra usw. usw.
  • weitere Möglichkeiten: JFMAMJJ - Januar, Februar, März, April ... TLFN97 - Tleefon (jeder 2. Buchstabe) - Jahreszahl MA1AM2RH3 - Mainz am Rhein usw., usw.
Abs. 11

4. Sonderfälle:
  • das Paßwort des Systemverantwortlichen / Systembedieners darf nur ihm bekannt sein; für den Vertretungsfall muß ein entsprechendes Kennwort gesichert hinterlegt sein;
  • für besonders wichtige, sensible Funktionen können zusammengesetzte Paßwörter verwendet werden, deren Paßworthälften jeweils nur einer Person bekannt sind; oder die entsprechende Funktion wird durch mehrere Paßwörter geschützt; weitere Sicherungen (Magnet-, Chipkarte, biometrische Methoden u.a.) können den Schutz noch weiter verstärken.
Abs. 12

Einrichtung sicherer Systeme/Systemverwaltung

  1. Der Zugangsschutz (Paßwortabfrage) ist für alle Nutzer und Anwendungen - systemweit und verbindlich - einzurichten (im Regelfall über eine enstpr. Sicherheitsstufe);
  2. bei Installation der Systeme müssen bereits bestehende Paßwörter für vorhandene, erstellte Benutzerkennungen (System-, Wartungsprofile usw.) neue vergeben, geändert werden;
  3. das erstmalig zugeteilte Paßwort (event. *same) muß bei dem ersten Anmelden des Benutzers durch diesen geändert werden müssen;
  4. Paßwortwechsel und entspr. Prüfungen sind automatisiert anzustoßen;
  5. jede Person erhält eine eigene Benutzerkennung; Benutzerkennungen dürfen grundsätzlich nur für den Zeitraum eingerichtet werden, in dem sie tatsächlich benötigt werden (Benutzerpflege)
  6. das Paßwort ist auch dem Systemverantwortlichen / Systembediener nicht bekannt und nicht zugänglich;
  7. Paßwortdateien dürfen nicht lesbar /zugänglich sein (ggfls. verschlüsselte Daten);
  8. Paßwörter für Wartungsprofile sind nach Nutzung zu ändern; Wartung durch Dritte (Wartungsfirmen) ist nur bei überwachter Nutzung der IT-Systeme zulässig;
  9. automatische Begrenzung der Anzahl der Anmeldeversuche (maximal 5 Versuche), danach Sperrung der Benutzerkennung und der örtlichen Einheit;
  10. Protokollierung von Anmeldefehlversuchen und entsprechende Mitteilung / Nachricht an den Systembediener;
  11. Anzeige der letzten korrekten Anmeldung zur Kontrolle durch den Berechtigten;
  12. zeitliche Begrenzung des Zugangs zu dem IT-System, z.B. auf die Bürozeiten (Systemlaufzeit bestimmen);
  13. automatisiertes Anmelden (z.B. über Funktionstastenbelegung, PC-Dateien) ist zu verhindern
  14. Sperren des Terminals / PCs bei längerer Nichtnutzung (ca. nach maximal 5 Minuten Nichtnutzung);
  15. fortlaufende Sensibilisierung, Fortbildung und Kontrolle der Benutzer und Systemverantwortlichen, Sytsembediener hinsichtlich der erforderlichen Sicherheitsmaßnahmen.
Abs. 13

Selbstverständlich müssen nicht in allen denkbaren Fällen alle aufgeführten Sicherungsmaßnahmen komplett ergriffen werden; auch hier gilt selbstverständlich, daß der Bedrohungsgrad und die Sicherheitsbedürftigkeit des IT-Systems den Umfang der erforderlichen Schutzmaßnahmen bestimmen.


Abs. 14

* Dr. Peter Itzel ist verantwortlicher EDV-Referent im Justizministerium Rheinland-Pfalz und zugleich Lehrbeauftragter an der Johannes-Gutenberg-Universität Mainz.

[15.10.97]

Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.

Top 10

Klassiker

JurPC App