Donnerstag, 17. September 2020

Bundespasswortherausgabestelle: Nie mehr neue Passworte


Die Herausgabe von sicheren Passworten an die Bevölkerung hatte die eigens dafür gegründete Bundespasswortvergabestelle (BPVS) bereits im vergangenen Jahr übernommen. Jetzt wird die Bundespasswortsicherheit weiter erhöht: Eine neue Bundespasswortherausgabestelle (BPHS) fungiert künftig als Treuhänder zwischen Klarnameninhabern und Fahndungsbehörden.

Jahrelang hatte die staatliche Passwortbehörde BSI gefordert, Internetnutzer sollten ihre Passworte „regelmäßig ändern". Das sei zwar mühsam, aber sicherer, weil es wirksam verhindere, dass Hacker und russische Trolls sich in deutsche Accounts einschleichen und Waren bestellen oder Schicksalswahlen manipulieren können. Jetzt aber steuert das Bundessicherheitsamt um: Eine regelmäßige Änderung von Passworten sei kein sinnvoller Ratschlag, sondern vielmehr gefährlich, heißt es in der 2020er-Ausgabe des BSI-Grundschutz-Kompendiums im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8).

Neues Passwortherausgabegesetz


Hintergrund des Richtungswechsels dürfte das neue Passwortherausgabegesetz sein, das Bundesjustizministerin Christine Lambrecht plant. Das regelt künftig abschließend, welche Zu – und Durchgriffsrechte deutschen Sicherheitsbehörden vom MAD über den Verfassungsschutz bis zu den kommunalen Ordnungsämtern auf Postfächer und Netzwerkaccounts gewährt werden muss. Die Bundespasswortherausgabestelle (BPHS) wird danach als zwischengeschaltete Mittelinstanz darüber wachen, dass als sogenannte Hashs gespeicherte Passworte in den Bundespasswortdatenbanken im Klartext hinterlegt werden. Eine Empfehlung, Passworte regelmäßig zu ändern, so heißt es im politischen Berlin, mache damit keinen Sinn mehr.


Lediglich für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, muss man sein Passwort gemäß BSI-Richtlinien noch ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden. Damit soll der Aufwand für die BPHS minimiert werden, die so eingelagerten und gespeicherten Passworte nicht fortlaufend aktualisieren muss, wenn Bürgerinnen und Bürger (im Gesetz "Klarnameninhaber" oder KNI) beschließen, ihre Passworte aus falschverstandenen Sicherheitserwägungen zu erneuern.

 Nur berechtigte Behörden haben Zugriff



Bereits seit Jahren kristallisiert sich in Sicherheitskreisen der Geheimdienste ein Konsens heraus, dass solche Regeln eher schaden als nützen, weil ein gutes Passwort, ist es erst einmal sicher und nur für berechtigte Behörden einsehbar bei der Bundespasswortherausgabestelle hinterlegt, bedenkenlos über Jahre und Jahrzehnte hinweg genutzt werden kann.

Das regelmäßige Ändern führt aller Erfahrung nach eher dazu, dass im Falle einer Herausgabeforderung  berechtigter Behörden falsche Passwörter geliefert und Ermittlungen behindert werden. Deshalb soll die bisher propagierte Verpflichtung zum regelmäßigen Passwortwechsel ersetzt werden durch ein Bundespasswortwechselverbot (BPWV). Auch der "Ändere dein Passwort"-Tag der Bundeszentrale für Passwortsicherheit fällt damit weg.

Die US-amerikanische Standardisierungsbehörde NIST, die das regelmäßige Passwortwechseln ursprünglich festgeschrieben hatte, nahm bereits 2017 von derartigen Regeln Abstand, das britische Pendant CESG sogar schon 2016.Deutschland zieht hier nun nach - im Dienst der Sicherheit aller.

11 Kommentare:

Anonym hat gesagt…

Wer will, kann sein Passwort trotzdem jeden Tag ändern (manche IT-Netze lassen nicht mehr als eine Änderung in 24h zu). Es ist bloß so, dass sich Trottel auch unfassbare Trottelpassworte setzen, ganz besonders, wenn es regelmäßig geändert werden muss.

Die Anmerkung hat gesagt…

Kann PPQ mal ein paar beispiele für "gute Paßwörter" auflisten? So eins will ich dann auch. Oder bekommt man die automatisch zugeteilt, oder muß man gute Paßwörter beantragen?

Da scheint noch jede Menge Regelungsbedarf zu bestehen. Ich kann mir gut vorstellen, daß man gute Paßwörter online bei den Bürgerämtern beantragt, die das kurzfristig prüfen. Nur wenn Beratungsbedarf vorliegt, erhält man einen Termin im Bürgeramt und kniffelt so ein Paßwort mit den Beamten aus.

Anonym hat gesagt…

https://www.der-postillon.com/2014/04/sicherstes-passwort.html

gern geschehen!

Die Anmerkung hat gesagt…

Ich wollte eine gutes Paßwort, keine sicheres.

Anonym hat gesagt…

Der ehrwürdige Blogwart möge in Erwägung ziehen, ein wenig mehr zu selektieren.

Anonym hat gesagt…

@Anmerkung: Natürlich bekommt man die qualitätsgesicherten Passwörter anstrengungslos zugewiesen. Das nennt sich E-Perso.

ppq hat gesagt…

sehr wohl, herr anonym

Löschpapiertiger hat gesagt…

@ Anonym3 und ppq

Das Wort "selektieren" erinnert mich an irgend eine menschenverachtende Wert-Unwert-Auswahl deutscher Maulkorbkultur.

Komme nur nicht drauf ... Moment ... da geschah doch mal was auf den KZ-Eisenbahnrampen!

Welch Zensurungeistes Kinder seid ihr also, wenn das hier nicht nur in Erwägung gezogen sondern sogar praktiziert wird?

Euer heiliger Tisch mag oben blitzeblank gescheuert sein, drunter aber liegt jede Menge Dreck. Auch die echten Nazis waren immer sauber gekleidet, wenn sie unliebsame Stimmen zum Verstummen brachten.

Darum weiter so! Ihr schafft das! Der Endsieg ist nahe.

Nur immer gehorsam an die Maasregeln halten und devot die Kahanekette fürchten, dann gibt es später vielleicht sogar Orden für besondere Regimetreue.

Im Krieg stirbt immer zuerst die nüchterne klare Wahrheit, und ihr gehört trotz wortreichem Satiregeschwafel zu deren Henkern.

Die Anmerkung hat gesagt…

Sepp ist keine Wahrheit. In wahrheit sind seine Kommentare meistens löschwürdig. Fast immer.

PPQ tut gut daran, hier, also in seinem Haus für Ordnung zu sorgen.

Sepp kann ja einen Blog aufmachen und die Adresse dann mitteilen.

ppq hat gesagt…

war das der sepp? ich fand den eintrag grenzwertig, aber nicht zwingend löschwürdig. jemand, der meint, das irgendetwas, was hier geschrieben wird, irgendeine relevanz für irgendwas hat, ist aus meiner sicht wirklich lustig

Anonym hat gesagt…

@ Anmerkung: Nimmer war das von Sepp. Sepp is a character (Werner Lansburgh) - aber keine Zecke.

Löschpapiertiger ist ein typischer Charakter unter typischen Umständen ... falls diese Anspielung überhaupt noch bekannt ist.
Vierbeiner gut, Zweibeiner schlecht.