In den Bereichen der modernen Wirtschaft werden heutzutage die unterschiedlichsten Applikationen eingesetzt.
Allen Unternehmen Gemeinsam ist das Bedürfnis im operativen Geschäft bei der Nutzung der Software einen optimalen Schutz vor unbefugten Missbrauch und somit vor dem Erleiden -meist nicht
unerheblichen- finanziellen Schaden zu erzielen.
Dadurch kann das Risiko von Fehlern oder böswilligen Tätigkeiten (Betrug, Offenlegung vertraulicher Daten, Beschädigung von Informationswerten, usw.) eingedämmt und auch eine Prüfungsintegrität gewährleistet werden.
Ein Passwort ist der einfachste Weg, um die Person zu authentifizieren. Hierzu wird ein Passwort gewählt, welches nur dem Eigentümer bekannt sein darf.
Grundsätzliche Passwortregeln |
|
» |
Nutzer sollten ihr Passwort nie mitteilen |
» |
Nutzer sollten ihr Passwort nie aufschreiben |
» |
Nutzer sollten ihr Passwort regelmäßig, jedes Mal ändern, wenn sie über ihre Vertraulichkeit zweifeln |
» |
Passworte sollten nach heutigen Standards (je nach erforderlicher Sicherheitsstufe, jedoch) mindestens 8 Zeichen aber keine persönliche Informationen wie z.B. User- ID, Login, Name, Geburtsdatum, Telefonnummer usw. enthalten |
» |
Passworte sollten nicht aus einem Wörterbuch stammen |
» |
Passworte sollten mindestens 3 der 4 folgenden Zeichenarten kombinieren: Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen |
» |
Ein Passwort sollte sich mindestens von den letzten 5 verwendeten Passworten unterscheiden |
Passwörter sollten den Endbenutzern über andere Medien als bei der Übergabe der Nutzer ID (USER ID) mitgeteilt werden.
Nach der Aufeinanderfolge von (maximal) 3 erfolglosen Authentifizierungsversuchen „wegen Anwendung eines falschen Passwortes“ sollte ein Benutzerkonto gesperrt werden.
Passwörter sollten regelmäßig geändert werden, mindestens jedoch alle 90 Tage. Für Nutzerkonten, bei denen das Passwort nach 90 Tagen nicht geändert wird, kann ein abzuwartender Toleranzzeitraum von X Tagen definiert werden, bevor ein Nutzerkonto deaktiviert wird.
Für Zahlungssysteme ist es empfehlenswert, wenn die Passworte bereits schon nach 30 Tagen ablaufen. |
Anfängliche Passworte oder von Administratoren re- initialisierte Passworte dürfen grundsätzlich nur einmalig und nur für wenige (z.B. maximal 7) Tage gültig sowie nur einmal benutzbar sein. Die Nutzer müssen bei ihrer ersten Sitzung für sich ein eigenes Passwort einrichten.
Passwortregistrierungsmerkmale (z.B. im Internet Explorer eingebettet) sollten aus Sicherheitsgründen nicht verwendet werden. Gleiches gilt für automatische Authentifizierungstools (Makros, selbst geschriebene Skripte, usw.).
Die Nutzer sollten die Sitzungen über angemessene Abschaltflächen an den Software Schnittstellen am Sitzungsende ordnungsgemäß und systematisch beenden. Arbeitsstationen sollten jedes Mal verriegelt werden, wenn der Nutzer das Büro verlässt wie auch nach einem festgelegten Zeitrahmen einer Untätigkeit.
Die Passwortwiederherstellungsverfahren bzw. Re- Initialisierungsverfahren müssen für eine Mitteilung an einen Nutzer fachlich wie auch technisch organisiert und dokumentiert werden.