BSI erlaubt endlich das Beibehalten von guten Passworten

Besser spät als nie?

Das deutsche Bundesamt für Informationssicherheit hat eingesehen, dass ein präventives Ändern des Passworts zu einfacheren und auf Post-Its notierten Passworten und damit zu Sicherheitsproblemen führt. Diese Erkenntnis kommt um Jahre zu spät. Diese extrem hohe Latenzzeit macht die Behörde unglaubwürdig.

Die Reaktionszeit auf ein Sicherheitsproblem und eine erkannte Sicherheitslücke ist matchentscheidend. Je länger das Schliessen einer Sicherheitslücke und das Reagieren auf eine nicht zielführende Policy dauert, umso grösser das Sicherheitsrisiko.

Die britische NCSC Behörde hat das bereits 2015 erkannt und in diesem Blogpost von 2016 ausführlich begründet: Ein Mensch kann sich ein gutes Passwort merken, aber nicht mehrere, die bei einem erzwungenem präventiven Wechsel benötigt werden. Er oder sie schreibt sie auf oder nutzt einfachere. Das spielt Hackern in die Hände, die sich mit Bruteforce Angriffen leichter tun. Selbst die Vorgabe einer hohen Passwort-Komplexität führt dazu, dass die User die einfachste Variante in der hohen Komplexität suchen und nicht von sich aus ein nachhaltigeres komplexeres andenken. NIST hat hier 2017 nachgezogen, das BSI erst 2020!

Das ist ein sehr schönes Beispiel dafür, dass Sicherheit durch die Kombination von menschlichem und technischem Organisationsdesign entsteht.

Wer eine dokumentierte und offene Lücken über 24h hinaus nicht patcht, hat ein Problem.

Wenn das BSI als Behörde 5 Jahre (!) benötigt, um eine nicht zielführende Policy abzulösen, dann muss, mit Verlaub, die Frage erlaubt sein, ob sie nicht selbst ein Sicherheitsproblem darstellt.

Zudem wäre an der betreffenden, geänderten Stelle im BSI-Dokument ein Hinweis auf die Änderung sehr sinnvoll gewesen. Nach Jahren der Kommunikation der Änderungsempfehlung mit öffentlichen “ändere dein Passwort Initiativen” sollte die korrigierte Ansicht klar kommuniziert werden.

Solche verschleppten und verzögerten Reaktionen zu Sicherheitsthemen von Seiten einer Behörde, die genau und nur das Thema behandelt, sind nicht nachvollziehbar und spielen natürlich Angreifern in die Hände, die sich über diese bürokratische Trägheit im Sicherheitskontext nur freuen können.