Sabrina - stock.adobe.com
Wie können kompromittierte Passwörter ausgetauscht werden?
Was wäre, wenn durch einen Sicherheitsvorfall alle Passwörter kompromittiert sein könnten? Unternehmen wissen oft nicht, wie vorzugehen ist. BSI und Datenschützer geben Hinweise.
Noch sind die Folgen des Cyberangriffs vom 8. Dezember 2019 auf die Justus-Liebig-Universität Gießen (JLU) an vielen Ecken und Enden spürbar, schreibt die Universität. Ein großer Teil der Dienstrechner hatte am 20. Januar 2020 noch keinen Zugang zum Internet. Nach zwei großen Wellen der Passwortausgabe hatten noch immer zahlreiche Studierende und Beschäftigte ihre Zugangsdaten nicht abgeholt.
Wegen der Cyberattacke auf die JLU waren alle Netzpasswörter für die Benutzerkennungen zurückgesetzt und neue Passwörter vergeben worden. Die neuen Passwörter werden nur persönlich übergeben. Dies bedeutet, dass es nicht möglich ist, einen Passwortbrief in Vertretung abzuholen. Des Weiteren ist es erforderlich, dass man sich durch ein gültiges Ausweisdokument legitimiert.
Wer sich jetzt wundert, warum die neuen Passwörter nur als Brief und nur bei Legitimation ausgegeben werden, sollte zuerst überlegen, wie es denn im eigenen Unternehmen geregelt ist. Was würde passieren, wenn durch einen IT-Sicherheitsvorfall alle Passwörter im Unternehmen kompromittiert sein könnten? Gibt es einen Prozess für diesen Notfall?
Passwortwechsel im Ernstfall
Ohne Zweifel sollte jedes Unternehmen Vorgaben dafür haben, wie sich Nutzer und Administratoren verhalten müssen, wenn Kennwörter getauscht werden müssen, weil sie in falsche Hände gelangt sein könnten oder sogar nachweislich von unbefugten Dritten erbeutet wurden.
Dabei kommt es natürlich darauf an, ob das Netzwerk des Unternehmens aus Sicherheitsgründen abgeschottet wurde und nicht mehr von außen erreichbar ist, oder ob die Funktionen zur Passwortänderung über das Netzwerk bereitgestellt werden können.
In jedem Fall muss gewährleistet sein, dass der Passwortwechsel sicher erfolgt, denn ein neues Passwort bringt wenig, wenn es sofort wieder in unbefugte Hände gelangen kann. Es versteht sich, dass eine Verteilung der neuen Passwörter über ungeschützte E-Mails ausgeschlossen ist.
Was aber soll man tun? Was sagt zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik)? Welche Hinweise haben die Aufsichtsbehörden für den Datenschutz? Immerhin wird die Kompromittierung von Passwörtern in aller Regel eine Verletzung der Datenschutz-Grundverordnung (DSGVO/GDPR) darstellen.
Was für den Passwortwechsel verlangt wird
Wenn man das IT-Grundschutz-Kompendium betrachtet, findet man darin eine Reihe von Vorgaben für einen Passwortwechsel. So besagt zum Beispiel der Baustein ORP.4 Identitäts- und Berechtigungsmanagement (PDF):
„Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht. Passwörter MÜSSEN geheim gehalten werden.“
„Für das Zurücksetzen von Passwörtern SOLLTE ein angemessenes sicheres Verfahren definiert und umgesetzt werden. Die Support-Mitarbeiter, die Passwörter zurücksetzen können, SOLLTEN entsprechend geschult werden. Bei höherem Schutzbedarf des Passwortes SOLLTE eine Strategie definiert werden, falls der Support-Mitarbeiter aufgrund fehlender sicherer Möglichkeiten der Übermittlung des Passwortes die Verantwortung nicht übernehmen kann.“
Man sollte also ein angemessenes, sicheres Verfahren für das Zurücksetzen der Passwörter haben, die Supportmitarbeiter sollten entsprechend geschult sein, und es sollte eine Strategie geben für einen zweiten, sicheren Kanal zur Übermittlung der Passwörter.
Im Fall der Universität Gießen wurde als Strategie gewählt, dass die neuen Passwörter nur als Brief an den entsprechend legitimierten Nutzer übergeben werden.
Passwortwechsel und der Datenschutz
Eine der Aufsichtsbehörden für den Datenschutz hat sich ausführlich zum Umgang mit Passwörtern geäußert, auch dazu, dass eine sichere Authentifizierung der Nutzer ein Baustein ist, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste auf Dauer sicherzustellen.
Setzen Verantwortliche demnach unzureichende technische und organisatorische Maßnahmen im Bereich Passwörter um, können Bußgelder bis zu zehn Millionen Euro oder im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Zu den Anforderungen an einen Passwortwechsel findet man: „Administratoren sollten die Nutzer nicht mehr zwingen, Passwörter in regelmäßigen Abständen zu ändern. Nur wenn es Anzeichen dafür gibt, dass Passwörter oder Passwort-Hashes in fremde Hände gelangt sind, sollten Nutzer diese ändern beziehungsweise zu einer Änderung aufgefordert werden.“
Eine definierte Strategie, wie die neuen Passwörter übermittelt werden sollen, findet man nicht. Es sollte aber nicht verwundern, dass rechtliche Vorgaben in aller Regel keine genauen technischen Vorgaben enthalten, da sich die Technik und Bedrohungslage zu schnell verändern kann.
Was aber klar ist: Man sollte eine Strategie entwickeln, wie man neue Passwörter nach dem Zurücksetzen der Passwörter bei IT-Sicherheitsvorfällen sicher und zuverlässig verteilt. Wie dies genau aussieht, muss man sich überlegen, und zwar bevor es zu dem IT-Sicherheitsvorfall gekommen ist, da sich der Prozess als aufwändig und langwierig erweisen kann, wie das Beispiel der Universität Gießen zeigt.