Kennwortrichtlinien zur Verbesserung der Sicherheit in Unternehmen

Inhaltsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Theoretische Grundlagen
2.1 Authentisierung, Authentifizierung und Autorisierung
2.2 Authentisierungsfaktoren und -mittel
2.3 Innovationsnotwendigkeit

3 Passwortvorgaben in (inter-)nationalen Standards
3.1 NIST Special Publication 800-63B
3.2 ISO/IEC 27002:2013 und ISO/IEC 15408:
3.3 CAB Forum Network Security Controls
3.4 BSI IT-Grundschutz
3.5 IT Security Guidelines G
3.6 Best Practice (Stand 09/2017)

4 Sicherheitsanalyse der Passwortregel-Best Practice
4.1 Mindestlänge und Komplexität
4.2 Wortlisten und Wörterbücher
4.3 Benutzerfreundlichkeit
4.4 Passwortwechsel und Historisierung
4.5 Zweckbindung

5 Sichere Authentifizierung: Good Practices
5.1 Passwortregeln
WSC World Standards Cooperation
5.2 Sichere Administration
5.3 Rollentyp-basierte Authentifizierung

6 Fazit

Literaturverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Die vorliegende Analyse befasst sich mit der Fragestellung, ob die seit der erstmaligen Veröffentlichung der NIST Special Publication 800-63 im Jahr 2004 gängigen Regeln zur Komplexität von und zum Umgang mit Passwörtern dazu geeignet sind, das Sicherheitsniveau von Organisationen zu verbessern. Dazu werden zunächst – basierend auf repräsentativen Standards der Informations- sicherheit – Best Practice-Passwortregeln formuliert und auf eine möglicher- weise gegebene Innovationsnotwendigkeit hin untersucht. Aus den gewonnenen Erkenntnissen werden Good Practices abgeleitet. Neben einem Set modifizier- ter Passwortregeln wird ein Vorgehen zur Rollentyp-basierten Authentifizierung vorgeschlagen.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

„Ihr Kennwort ist abgelaufen. Bitte geben Sie jetzt ein neues Kennwort ein.“ Mit dieser oder einer ähnlichen Meldung sehen sich BenutzerInnen betrieblicher IT- Systeme in regelmäßigen Intervallen konfrontiert.¹ Für den Mitarbeiter bedeu- tet der Hinweis, dass er sein altes durch ein neues Kennwort/Passwort ersetzen muss, das sich von den zuvor genutzten unterscheidet.² Anforderungen an die Eigenschaften von und den Umgang mit Passwörtern werden in sogenannten Passwortregeln de finiert. Zu den üblichen Vorgaben gehören beispielsweise ei- ne begrenzte Gültigkeit von Passwörtern oder mindestens einzuhaltende Kom- plexitätsanforderungen. Diese Regeln sollen sicherstellen, dass Benutzer keine schwachen Passwörter verwenden (also solche, die von einem Angreifer leicht zu ermitteln sind).

Im Jahr 2004 wurde im Appendix A der Special Publication 800-63 des National Institute of Standards and Technology (NIST) die Abhängigkeit zwischen der Entropie von Passwörtern und deren Gültigkeit untersucht. [National Institute of Standards and Technology 2004, S. 52 ff.] Im Ergebnis besagte der Standard sinngemäß, dass eine geringere Entropie durch Passwortwechsel kompensiert werden könne. Dazu müsse die Gültigkeit eines Passwortes kürzer gewählt sein als der zeitliche Aufwand eines Brute Force-Angriffes, um dieses zu brechen. Dieser – im Standard allgemein gehaltene – Hinweis führte zu der Interpretation, dass Passwörter in regelmäßigen Intervallen zu ändern seien, um als sicher zu gelten.

Die erstmalige Formulierung der heute in Organisationen üblichen Vorgabe ei- ner 90-tägigen Gültigkeit von Passwörtern ist nicht mehr nachzuvollziehen. Co- Autor des im Jahr 2004 veröff entlichten Standards ist der heute 72-jährige Wil- liam E. Burr. In einem Interview mit der US-amerikanischen Tageszeitung Wall Street Journal äußerte der Autor in der Ausgabe vom 7. August 2017 nun, dass er bereue, den Zusammenhang zwischen Entropie und Gültigkeit von Passwör- tern im Rahmen des Standards formuliert zu haben.³ Da die meisten Benutzer bei einem (durch den Standard nicht vorgesehenen) erzwungenen Passwortwech- sel lediglich einzelne Zeichen änderten oder vorhersehbare Passwörter wählten, sei eine begrenzte Gültigkeit nicht sinnvoll. Vielmehr würde die Vorgabe Benut- zer dazu verleiten, schwache Passwörter wie Wörterbucheinträge einzusetzen, da sich diese besser merken ließen. [McMillan 2017, o. S.] Dieser Erkenntnis folgend wurde der NIST-Standard im Jahr 2017 grundlegend überarbeitet.

Da sich die Interpretation des ursprünglichen NIST-Standards aufgrund der ex- ponierten Stellung der Behörde weltweit in Organisationen etabliert hat, ergibt sich für Sicherheitsverantwortliche die Überlegung, ob eine Anpassung der eige- nen Passwortregeln notwendig ist. Daher steht im Mittelpunkt dieser Arbeit die Frage: Tragen die gängigen Regeln zum sicheren Umgang mit (Authentisierungs- )Passwörtern zum Sicherheitsniveau bei oder bedarf es auf Grund berechtigter Kritik an dem etablierten Standard einer grundlegenden Innovation bei der Be- nutzerauthentisierung? Außerdem soll exemplarisch aufgezeigt werden, wie eine ggfs. notwendige Innovation in diesem Kontext erfolgen könnte.

Dazu werden zunächst in Kapitel 2 die zur Beantwortung der Fragestellung benötigten Grundlagen geschaffen. Weiterführende Theorien werden zum bes- seren Verständnis im Rahmen der Analyse erläutert. In Kapitel 3 werden – ba- sierend auf repräsentativen Passwortvorgaben aus (inter-)nationalen Standards – Best-Practice Passwortregeln entworfen. In Kapitel 4 werden die einzelnen Forderungen der Best-Practice hinsichtlich des Einflusses auf das Sicherheitsni- veau analysiert. Abschließend werden in Kapitel 5 Good Practices zur sicheren Authentifizierung aufgezeigt, gefolgt von einem Fazit in Kapitel 6. Ziel dieser Arbeit ist es nicht, allgemeingültige Passwortregeln oder ein neues Authenti- sierungsmittel oder -verfahren zu etablieren. Viel mehr soll aufgezeigt werden, welche Vorgaben zum Umgang mit Passwörtern nach wie vor zeitgemäß sind, an welchen Punkten ein Umdenken nötig ist und wie Organisationen dieser Heraus- forderung begegnen können. Dazu werden im Schwerpunkt etablierte Standards der Informationssicherheit als Quellen herangezogen. Punktuell werden diese durch weiterführende Publikationen ergänzt.

2 Theoretische Grundlagen

Zur Beantwortung der Frage, ob die am Markt üblichen Vorgaben zum Umgang mit und zur Komplexität von Passwörtern auch im Jahr 2017 noch zeitgemäß sind oder ob es einer (grundlegenden) Innovation bedarf, werden im folgenden Kapitel die theoretischen Grundlagen geschaffen. Zunächst werden die – fälsch- licherweise oft synonym oder ungenau verwendeten – Begriff e Authentisierung, Authentifizierung und Autorisierung gegeneinander abgegrenzt, um ein einheit- liches Verständnis der jeweiligen Funktionen zu gewinnen. Anschließend erfolgt ein kurzer Überblick über gängige Authentisierungsfaktoren und -mittel. Den Abschluss des Grundlagenteils bildet der Versuch einer De finition des Begriff s Innovationsnotwendigkeit.

2.1 Authentisierung, Authentifizierung und Autorisierung

Obwohl die Begriff e Authentisierung und Authentifizierung den gleichen Ur- sprung haben (spätlat.: authenticus bzw. griechisch: authentikós) und in der Praxis nicht selten ungenau gegeneinander abgegrenzt werden, handelt es sich bei den entsprechenden Tätigkeiten um einzelne Aktivitäten desselben Prozes- ses. [Bibliographisches Institut GmbH 2017, o. S.] Ziel ist die automatisierte Feststellung der Identität eines Benutzers durch eine Anwendung und der Ge- währung genau der für diese Person vorgesehenen Rechte (siehe Abbildung 1). Kann die Identität nicht verifiziert werden oder sind keine Rechte vorgesehen, wird dem Benutzer der Zugriff verweigert. ⁴

Authentisierung: Im Rahmen der Authentisierung weist eine Person nach, dass sie tatsächlich die Person ist, die sie vorgibt zu sein. Dazu kann sie ver- schiedene Authentisierungsmittel verwenden (siehe Kapitel 2.2). Die Wahl der einzusetzenden Mittel ist nicht beliebig, sondern wird von dem jeweili- gen Authentisierungssystem, an dem sich der Benutzer anmelden möchte, vorgegeben. In der Praxis erfolgt die Authentisierung in der Regel durch die Eingabe eines zuvor vergebenen Geheimnisses (z. B. Passwort oder PIN). [Czernik 2016, o. S.] Formal gesehen ist eine Authentisierung „das Versehen einer Identität oder anderer übermittelter Daten mit Metadaten, die es einer vertrauenden Entität ermöglicht, die Herkunft, Echtheit und Gültigkeit der Identität oder der Daten zu überprüfen.“ [Bundesamt für Sicherheit in der Informationstechnik 2016, S. 10]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Authentisierung, Authentifizierung und Autorisierung (eigene Darstellung)

Authentifizierung: Nachdem sich ein Benutzer – beispielsweise durch die Ein- gabe eines Passwortes – authentisiert hat, validiert das Authentisierungs- system im Rahmen der Authentifizierung die Echtheit der bereitgestellten Angaben. ⁵

Autorisierung: Nach dem erfolgreichen Abschluss der Authentifizierung werden dem Benutzer im Rahmen der Autorisierung die vorgesehenen Rechte ein- geräumt. Das bedeutet auch, dass eine erfolgreiche Authentifizierung nicht zwingend zu einem Zugang zu einer Anwendung oder einem IT System führt. Dazu ist zusätzlich eine erfolgreiche Autorisierung notwendig. [Czer- nik 2016, o. S.]

2.2 Authentisierungsfaktoren und -mittel

Um sich erfolgreich an einer Anwendung oder einem IT-System zu authentisie- ren, muss ein Benutzer zunächst seine Identität nachweisen. Dazu können einer oder mehrere der folgenden Authentisierungsfaktoren eingesetzt werden:

Wissen: Zum Faktor Wissen gehören Informationen, die (bestenfalls) nur dem sich authentisierenden Benutzer bekannt sind. Häu fig verwendete Mittel des Faktors sind Passwörter und PINs.

Besitz: Um sich unter Verwendung eines Besitzes zu authentisieren, muss der Benutzer über einen Gegenstand verfügen, der ihm direkt und eindeutig zugeordnet werden kann. Beispielsweise können ID-Karten, Ausweise oder Hardwarekeys eingesetzt werden.

Körperliches Merkmal: Zur Authentisierung auf Basis eines körperlichen Merk- males können z. B. Fingerabdrücke oder andere biometrische Daten ein- gesetzt werden.[National Institute of Standards and Technology 2017a, S. 18]

Wird lediglich ein einzelner dieser Faktoren zur Authentifizierung eingesetzt, spricht man von Ein-Faktor-Authentifizierung (engl. Single-Factor Authentica- tion (SFA)). [National Institute of Standards and Technology 2017a, S. 60] In der Vergangenheit hat sich das Passwort als Authentisierungsmittel der Wahl etabliert. Das Hauptargument für den Einsatz von Passwörtern ist die vergleichs- weise unkomplizierte Umsetzung dieser Sicherheitsmaßnahme. Nachdem der Be- nutzer bei der erstmaligen Anmeldung ein Passwort gewählt hat, wird dieses durch den Anbieter gespeichert und bei jeder weiteren Anmeldung mit der Ein- gabe verglichen. Stimmen die beiden Werte überein, gilt die Authentifizierung als erfolgreich.

Passwörter sollten grundsätzlich in Form sogenannter Hashes gespeichert wer- den. Beim Hashing werden Nachrichten in Form von Strings einer vorde finierten Länge gespeichert. Der Hashwert ist – ähnlich wie der Fingerabdruck bei einem Menschen – für jede gegebene Nachricht unterschiedlich, aber für dieselbe Nach- richt bei Verwendung des selben Hash-Algorithmus immer identisch. Schon die Änderung eines einzelnen Zeichens verändert den gesamten Hash-Wert. Ein si- cherer Hash-Algorithmus muss mindestens die folgenden Eigenschaften erfüllen:

Ein-Wege-Funktion: Es muss einfach sein, eine Funktion auszuführen. Gleich- zeitig muss es unmöglich sein, die Funktion umzukehren.

Kollisionsfreiheit: Unter einer Kollision versteht man ein Event, bei dem zwei unterschiedliche Nachrichten den gleichen Hash-Wert erzeugen. Ein siche- rer Algorithmus muss so gestaltet sein, dass Kollisionen ausgeschlossen werden. [Paar et al. 2010, S. 293 ff.]

Werden Passwörter nicht als Hash, sondern im Klartext (also ungeschützt) ge- speichert, können Angreifer diese im Falle eines erfolgreichen Angriffs umgehend verwenden. Angesichts von Schlagzeilen wie „BKA fi ndet 500 Millionen gestoh- lene Datensätze“ vom 07. August 2017 auf der Internetseite Spiegel Online ist es ratsam, diese Sicherheitsmaßnahme grundsätzlich umzusetzen. [SPIEGELnet GmbH 2017, o. S.]

Werden mehrere Authentisierungsmittel eingesetzt, spricht man von Multi-Factor Authentication (MFA). [National Institute of Standards and Technology 2017a, S. 54] Ziel der MFA ist die Steigerung des Sicherheitsniveaus dadurch, dass ein potentieller Angreifer nicht nur ein Geheimnis – wie beispielsweise ein Passwort – kennen muss. Zusätzlich muss er für eine erfolgreiche Authentisierung über einen Gegenstand oder ein körperliches Merkmal verfügen. Dieser Ansatz fin- det immer mehr Beachtung in der Praxis. Beispielsweise führte Apple bei der Veröffentlichung des Betriebssystems iOS 11 am 19. September 2017 folgende Neuerung ein: MFA wurde automatisch auf allen iPhones aktiviert. Eine An- meldung mit der Apple ID für kritische Funktionen ist fortan nur noch möglich, wenn zusätzlich zu den statischen Benutzerdaten ein direkt auf ein vertrauens- würdiges Gerät gesendeter Code eingegeben wird. [Apple Inc. 2017, o. S.] Diese Entwicklung legt nahe, dass sich MFA als Authentifizierungsmethode weiter verbreiten wird.

2.3 Innovationsnotwendigkeit

Unter einer Innovation versteht man im Allgemeinen eine „mit technischen, so- zialen und wirtschaftlichen Wandel einhergehende [. . . ] (komplexe) Neuerung [. . . ]“. [Möhrle et al. 2017, o. S.] Der BegriffInnovation leitet sich von dem la- teinischen Wort novus ab, das soviel wie neu, jung oder frisch bedeutet. [PONS GmbH 2017, o. S.] Um als Innovation zu gelten, müssen Entwicklungen (neben der Eigenschaft der Neuheit) mindestens die folgenden beiden Voraussetzungen erfüllen:

Relevanz/Zweck: Eine Entwicklung muss in einem gegebenen Kontext relevant sein, um als Innovation zu gelten. Darüber hinaus muss sie einem definier- ten Zweck folgen. Sind diese Aspekte nicht gegeben, spricht man von einer Neuerung, nicht aber von einer Innovation. ⁶

Umsetzung: Damit aus einer Idee eine Innovation wird, muss diese umgesetzt werden. Anderenfalls verbleibt die potentielle Innovation im Ideenstadi- um. [Marmer et al. 2012, S. 4 ff.]

Eine Innovation wird notwendig, wenn vorhandene Methoden oder Technologien nicht mehr oder in nicht ausreichendem Maß dazu geeignet sind, den Anforde- rungen eines Marktes zu entsprechen. [Möhrle et al. 2017, o. S.]

Auch die Erschließung neuer Märkte gilt als innovativ. [Uehlecke 2012, o. S.] Die Gründung von Facebook im Februar 2004 an der Cambridge Universität bei- spielsweise folgte keiner erkennbaren Innovationsnotwendigkeit. Vielmehr hatten die Studenten Mark Zuckerberg, Eduardo Saverin, Dustin Moskovitz und Chri- stopher Hughes die Idee, jeweils zwei Bilder von Studentinnen aus den Akten der Universität auf einer Website zu veröffentlichten und Benutzer darüber ent- scheiden zu lassen, wer von beiden attraktiver sei. Aus dieser Idee entwickelte sich das bislang größte soziale Netzwerk der Weltgeschichte. [Online Marketing Solutions AG 2014, o. S.]

Andererseits ist nicht grundsätzlich eine Innovation notwendig, um sich ver- ändernden Anforderung zu begegnen. Im Rahmen des Renovate-to-Innovate - Ansatzes beispielsweise versuchen Organisationen, neue Herausforderungen an- zunehmen, indem sie bestehende Technologien und Strukturen so modernisieren, dass diese dazu geeignet sind, vormals angenommene Innovationsnotwendigkeit zu kompensieren. [Daitan Group 2016, S. 4]

Da keine allgemein gültige Definition für den BegriffInnovationsnotwendigkeit existiert, wird diese – basierend auf den dargestellten Eigenschaften von Inno- vationen – im Rahmen dieser Analyse wie folgt formuliert:

„Innovationsnotwendigkeit liegt vor, wenn den Anforderungen eines Marktes unter Einsatz der verfügbaren Methoden oder Technologi- en auch nach einer angemessenen Modernisierung derselben nicht hinreichend begegnet werden kann.“

3 Passwortvorgaben in (inter-)nationalenStandards

Kaum ein Standard aus dem Themenfeld der Informationstechnologie und insbe- sondere aus dem Informationssicherheitsmanagement (ISM) kommt ohne mehr oder weniger explizite Anforderungen an den Umgang mit und die Komplexi- tät von Passwörtern aus. Repräsentative Standards und die darin formulierten Anforderungen an sichere Passwörter werden im Folgenden exemplarisch vor- gestellt. Das Vorgehen dient zur Vorbereitung der Definition von Best-Practice Passwortregeln in Kapitel 3.6.

3.1 NIST Special Publication 800-63B

Das NIST wurde im Jahr 1901 gegründet und ist heute Teil des Handelsmi- nisteriums der USA. Der Auftrag des Institutes ist die Schaffung belastbarer Standards zum Einsatz durch Forschung, Wirtschaft und Regierung.⁷ Im Kon- text der Informationssicherheit veröffentlicht das NIST zyklisch die so genannten Federal Information Processing Standards (FIPS), die für alle US-Behörden als Richtlinien zur Aufrechterhaltung der Informationssicherheit gelten.

Die erstmals im Jahr 2004 veröffentlichte NIST Special Publication 800-63 be- schrieb im Appendix A der Version 1.0 allgemeine Hinweise zur Entropie von Passwörtern. Die Version aus dem Jahr 2017 fasst Umsetzungshinweise zur siche- ren Authentifizierung in der separaten Special Publication 800-63B zusammen. Hier formuliert der Standard folgende Anforderungen an sichere Passwörter: Sie sollten

-nicht aus Begriffen bestehen, die sich in einem Wörterbuch finden,
-nicht aus einer Reihe sich wiederholender Zeichen bestehen und
-keine kontextspezifischen Wörter enthalten.
- Außerdem sollten Passwörter möglichst lang sein.⁸

Es werden keine expliziten Vorgaben zur Frequenz von Passwortänderungen gemacht. Auch sind keine Rahmenbedingungen definiert, bei deren Eintreten Passwörter grundsätzlich umgehend geändert werden müssen.

3.2 ISO/IEC 27002:2013 und ISO/IEC 15408:2009

Die International Organization for Standardization (ISO) ist eine unabhängige, internationale Organisation mit dem Ziel, nationale Normierungsorganisatio- nen zusammenzubringen und international gültige Standards zu schaffen, um nationale Vorgaben vergleichbar zu machen. Gemeinsam mit der International Electrotechnical Commission (IEC) und der International Telecommunication Union (ITU) ist sie Teil der World Standards Cooperation (WSC). Diese wur- de im Jahr 2001 gegründet, um Standardisierung basierend auf Konsens weiter voranzutreiben.⁹

Der gemeinsam durch ISO und IEC veröffentlichte Standard ISO/IEC 27002 in der Version aus dem Jahr 2013 umfasst Empfehlungen zur Integration von Kontrollmechanismen zur Aufrechterhaltung der Informationssicherheit im Rah- men eines ISMS. Der Standard ergänzt bzw. spezifiziert die Anforderungen des ISO/IEC 27001-Standards, der grundlegende Anforderungen an ein Manage- mentsystem für Informationssicherheit definiert. Er beschreibt folgende Anfor- derungen an sichere Passwörter: Ein Passwort sollte

- für Benutzer leicht zu merken sein,
- eine ausreichende Länge besitzen,
-nicht leicht zu erraten sein,
-keine aufeinanderfolgenden, identischen Zeichen beinhalten und
-nicht aus Begriffen aus einem Wörterbuch bestehen.
- Außerdem sollten gleiche Passwörter nicht für private und geschäftliche Zwecke genutzt werden.

Darüber hinaus wird vorgegeben, dass Passwörter in regelmäßigen Interval- len zu ändern sind. Im Fall von Benutzerkonten mit Sonderrechten sollten sie häufiger geändert werden. Darüber hinaus sind umgehend Änderungen vorzu- nehmen, wenn ein Hinweis darauf vorliegt, dass Passwörter oder das System an sich kompromittiert wurden sowie bei Beendigung oder Änderung der An- stellung/Vereinbarung, des Vertrages mit einem Dritten oder einem Angestell- ten. [International Organization for Standardization 2013, S. 25.]

Der ISO/IEC 15048-Standard in der Version aus dem Jahr 2009 (umgangs- sprachlich auch als Common Criteria (CC) bekannt) befasst sich ebenfalls mit dem Themenfeld der IT-Sicherheit. Der Schwerpunkt liegt im Gegensatz zu der ISO/IEC 27000-Reihe auf der Bereitstellung von Evaluationskriterien zur Beurteilung des Sicherheitsniveaus von Hard- und Softwareprodukten. Die Zer- tifizierung eines Produktes nach CC dient in der Regel internen oder externen Interessensparteien als (möglichst) unabhängiger Nachweis über den Reifegrad eingesetzter Sicherheitsmechanismen. In diesem Zusammenhang werden auch hier Vorgaben zum sicheren Umgang mit Passwörtern gemacht. Gemäß diesen sollten Passwörter:

-nicht trivial sein,
- eine gewisse Mindestlänge aufweisen,
-nicht aus Begriffen aus einem Wörterbuch bestehen und
- noch nie benutzt worden sein.

Ähnlich wie die NIST Special Publication 800-638 macht auch dieser Standard keine expliziten Vorgaben zur Frequenz von Passwortänderung. Auch sind kei- ne Rahmenbedingungen definiert, bei deren Eintreten Passwörter grundsätzlich umgehend geändert werden müssen. [International Organization for Standardi- zation 2009, S. 173–182]

3.3 CAB Forum Network Security Controls

Das Certification Authority Browser Forum (CABForum) ist ein freiwilliger Zu- sammenschluss von Zertifizierungsstellen (engl. Certification Authority (CA)) und Softwareherstellern, insbesondere aus dem Bereich der Browser-Technologie. Ziel der Vereinigung ist die Bereitstellung und Weiterentwicklung von Best Prac- tices zum Umgang mit Zertifikaten im Rahmen der Absicherung digitaler Kom- munikationsverbindungen. [Certification Authority Browser Forum 2017, o. S.] Die in diesem Zusammenhang entwickelten Vorgaben sind in themenspezifischen Richtlinien dokumentiert und unterliegen regelmäßigen Aktualisierungen. In den CABForum Network Security Controls v 1.1 aus dem Jahr 2012 sind Maßnah- men zur Netzwerksicherheit zusammengefasst. Dazu gehören unter anderem die folgenden Anforderungen an Passwörter:

-Passwörter für Benutzerkonten, die nicht von außerhalb eines sicheren Netzwerkes erreichbar sind, müssen mindestens zwölf Zeichen lang sein.
-Passwörter für Benutzerkonten, die von außerhalb einer sicheren Zone oder Hochsicherheitszone erreichbar sind, müssen mindestens acht Zeichen lang sein, alle drei Monate gewechselt werden, numerische und alphabetische Zeichen verwenden, nicht leicht zu erraten sein oder aus Begriffen aus einem Wörterbuch bestehen. Sie sollten nicht den letzten vier verwendeten Passwörtern entsprechen.

[...]

¹ Im Folgenden ist bei der Verwendung von Rollen- und Funktionsbezeichnungen stets so- wohl die weibliche als auch die männliche Form gemeint. Von einer geschlechtsneutralen Ausdrucksweise wird daher abgesehen.

² Die Begriffe Kennwort und Passwort werden synonym verwendet. Im weiteren Verlauf die- ser Arbeit wird zum Zweck der Vereinheitlichung der Begriff Passwort (Plural: Passwörter) verwendet.

³ Nachdem die Version 1.0 der NIST Special Publication 800-63 in dem Artikel des Wall Street Journals fälschlicherweise auf das Jahr 2003 datiert wurde, wurde diese Jahreszahl durch andere Medien aufgegriffen. Tatsächlich wurde die erste Version des Standards erst im Jahr 2004 veröffentlicht. Auch war William E. Burr nicht der Autor des Standards, sondern lediglich einer von drei Co-Autoren.

⁴ Auch die Begriffe Zutritt, Zugang und Zugriff werden immer wieder ungenau verwendet. Zutritt meint die Möglichkeit, physischen Zutritt zu einem Raum zu erlangen, also bei- spielsweise ein Büro zu betreten. Zugang beschreibt die Möglichkeit der Nutzung eines IT Systems im Allgemeinen. Im Rahmen der Zugriffskontrolle erhält ein Benutzer schließlich Zugriff auf bestimmte Daten.

⁵ [ Lhotka2004 ] & [Bundesamt für Sicherheit in der Informationstechnik 2016, S. 11].

⁶ [Möhrle et al. 2017, o. S.] & [Smith 2005, S. 2].

⁷ Unter anderem wird hier die NIST-F1 - eine Caesium-Fontänen Atomuhr - betrieben, die als primäre Quelle für Referenz-Uhrzeiten im U.S.-amerikanischen Raum genutzt wird. [Na- tional Institute of Standards and Technology 2016, o. S.]

⁸ [National Institute of Standards and Technology 2017b, S. 24]

⁹ [International Organization for Standardization 2017, o. S.], [International Electrotechnical Commission 2017, o. S.], [International Telecommunication Union 2017, o. S.] & [World Standards Cooperation 2017, o. S.]