M 2.11 Regelung des Passwortgebrauchs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer, IT-Sicherheitsbeauftragter

Werden in einem IT-System oder einer Anwendung Passwörter zur Authentisierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass die Passwörter korrekt gebraucht werden. Dafür ist es empfehlenswert, eine Regelung zum Passwortgebrauch einzuführen und die IT-Benutzer diesbezüglich zu unterweisen.

Vorgaben für die Passwortgestaltung müssen immer einen praktikablen Kompromiss zwischen folgenden Sicherheitszielen darstellen:

Folgende Regeln zum Passwortgebrauch sollten deshalb beachtet werden:

Falls IT-technisch möglich, sollten folgende Randbedingungen eingehalten werden:

Prüffragen: