Alle 60 oder 90 Tage ist es mal wieder so weit: Man erhält von der freundlichen IT seines Arbeitgebers schriftlich die Aufforderung, das Kennwort für den Büro-PC zu ändern. Eine sehr lästige Übung. Denn es geht ja nicht nur darum, einmalig den Zugang zu einem Rechner neu abzusichern. Sondern das Kennwort muss auch auf dem Mobiltelefon, dem Tablet, im Outlook zu Hause, in Microsoft Teams und weiteren zugehörigen Anwendungen geändert werden. Und man muss es sich merken können.

Der regelmäßige Kennwortwechsel wird auch vom Bundesamt für Sicherheit in der Informationstechnik in seinem IT-Grundschutzkatalog (M2.11, Regelung des Passwortgebrauchs) vorgeschrieben: „Das Passwort muss regelmäßig gewechselt werden, zum Beispiel alle 90 Tage.“ Da der Grundschutzkatalog für Auditoren und Prüfer das Maß aller Dinge ist, findet sich die Aufforderung zum regelmäßigen Kennwortwechsel in den Dienstanweisungen und Betriebsvereinbarungen dieser Welt.

Zum 1. Februar eines jeden Jahres wird vom BSI und anderen Organisationen sogar der „Ändere dein Passwort“-Tag ausgerufen. Mit diesem Gruppenzwang will man seit 2012 die Nutzer dazu bewegen, wenigstens einmal im Jahr ihre Kennwörter zu ändern.

Die Empfehlung hört sich überaus sinnvoll an. Wenn Hacker die Zugangsdaten von IT-Systemen gestohlen haben, kann es Jahre dauern, bis die Login-Informationen tatsächlich missbräuchlich verwendet werden. Regelmäßige Kennwort-Updates machen die erbeuteten Daten wertlos. Allerdings zielten die großen Hackerangriffe der vergangenen Jahre weniger auf gewöhnliche Wirtschaftsunternehmen ab, sondern eher auf Dienstleister mit Millionen Kundenkonten wie Linkedin, Myspace, Adobe, Ebay, Yahoo und andere, die ihre Datenbanken schlampig gesichert hatten. Dass die Log-in-Datenbanken von Angestellten gestohlen werden, ist eher selten, und man sollte auch davon ausgehen können, dass Unternehmen die Kennwörter ihrer Mitarbeiter dergestalt verschlüsselt speichern, dass sie selbst in der Hand von Hackern nutzlos sind.

Das Ergebnis: kein Gewinn an Sicherheit

Ob der erzwungene regelmäßige Kennwortwechsel in Unternehmen, Behörden oder Universitäten tatsächlich Vorteile hat, wurde in mehreren wissenschaftlichen Studien untersucht. Im Jahr 2010 analysierte die University of North Carolina at Chapel Hill die Daten von mehr als 10.000 Studenten und Mitarbeitern, die ihre Kennwörter regelmäßig ändern mussten. Das Ergebnis: kein Gewinn an Sicherheit. Die Betroffenen änderten ihre Kennwörter, indem sie Nummern anhängten und nach jedem Wechsel hochzählten oder eine Quartals-ID anhängten. Informatiker der Carleton University im kanadischen Ottawa entwickelten ein komplexes mathematisches Modell zur Quantifizierung des Sicherheitsgewinns durch regelmäßige Kennwortwechsel: Der Nutzen sei bestenfalls relativ gering und rechtfertige den Mehraufwand nicht.

Mit dem Wissen, wie Nutzer ihr Kennwort mit jedem Wechsel ändern, kann man zudem Algorithmen entwickeln, die einen Passwort-Hackerangriff von außen leichter machen. Nicht nur, dass sich für den Angreifer der Suchraum verkleinert. Aus einem gestohlenen Kennwort mitsamt den Regeln für das Anhängsel (Bildungsgesetz) kann man zukünftige Kennwörter sogar vorhersagen, womit der gesamte Vorteil des Kennwortwechsels ad absurdum geführt ist.

Alle Studien bestätigen, dass der Zwang zum regelmäßigen Kennwortwechsel dazu führt, dass die Qualität des Kennworts sinkt, weil man um seine Vergänglichkeit weiß. Man investiert weniger Zeit in die Suche nach einem pfiffigen, komplizierten Kennwort, sondern nimmt ein leicht zu merkendes. Viele Nutzer wählen ein Kennwort, das zwar den Anforderungen an Länge und Komplexität genügt, aber ein triviales Bildungsgesetz hat. Solche Trivialpasswörter wie „Ghjklöä#“ als Buchstabenfolge auf der mittleren Tastaturreihe werden von Angreifern und ihrer Software als Erstes durchprobiert.

Viele Unternehmen und Behörden sehen deshalb vom turnusmäßigen Kennwortwechsel wieder ab. Die britische Communications Electronics Security Group (CESG) sieht mit dem Pflichtwechsel viele neue Risiken einhergehen: Nutzer würden Passwörter nicht hinreichend sicher speichern oder sie auch für andere Dienste verwenden. Das amerikanische National Institute of Standards and Technology, das für Standardisierungsprozesse zuständig ist und auch die Verschlüsselungsalgorithmen DES und AES entwickelt hat, änderte 2017 seine Vorgaben für den Einsatz von Kennwörtern. IT-Abteilungen sollen demnach Nutzer nur noch mit wichtigem Grund zum Ändern des Kennworts auffordern, zeitgesteuerte Wechsel sind passé. Mit dem Paradigmenwechsel in Amerika dürfte es nur noch eine Frage der Zeit sein, bis auch das Bundesamt für Sicherheit in der Informationstechnik seinen Grundschutzkatalog dementsprechend überarbeitet.

Auch der oft gelesene Ratschlag, möglichst viele Zahlen, Umlaute und Sonderzeichen zu kombinieren, hält einer mathematischen Betrachtung nicht stand: Gewiss, ein gutes Kennwort sollte keine Namen, Wörter oder Wortfragmente enthalten. Der Suchraum für den Angreifer wird in der Tat größer, wenn zu den 52 Zeichen des Alphabets noch Ziffern oder Sonderzeichen hinzukommen. Aber es gibt einen Trick, wie sich der Suchraum mit wenig Aufwand ohne jeden Sonderzeichenzirkus noch deutlich weiter vergrößern lässt: Statt eines achtstelligen Kennworts nehme man ein neun- oder zehnstelliges, mehr Länge ist immer besser als mehr Ziffern und Sonderzeichen. Dass man Accounts mit wichtigen oder wertvollen Daten durch die Zwei-Faktor-Authentifizierung sichern sollte, ist ohnehin selbstverständlich.