/
PASSWORDEXPIRATIONPERIODMONTH - Detailbeschreibung

PASSWORDEXPIRATIONPERIODMONTH - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:PASSWORDEXPIRATIONPERIODMONTH
Kategorie: Login
Standardwert: 0 (keine Überprüfung)
Produkt: eTASK.Login

Was macht dieser Parameter?

Dieser Parameter legt fest, nach wie vielen Monaten Benutzer ihr Passwort zwingend ändern müssen. Nach Ablauf der festgelegten Periode fordert das System die Benutzer automatisch auf, ein neues Passwort zu setzen.

Die Funktion dient der Erhöhung der Passwortsicherheit durch regelmäßige Erneuerung und hilft dabei, Compliance-Anforderungen bezüglich Passwortrichtlinien zu erfüllen.

Greift nicht bei Domänenkennwörtern, nur für Kennwörter von Personen mit lokaler Anmeldung im eTASK Portal.

Wofür wird dieser Parameter verwendet?

  • Erzwungene Passworterneuerung: Verhindert unbegrenzte Nutzung desselben Passworts

  • Compliance-Erfüllung: Unterstützt Sicherheitsrichtlinien wie ISO 27001, BSI IT-Grundschutz

  • Risikominimierung: Begrenzt den Schaden bei kompromittierten Passwörtern

  • Sicherheitskultur: Fördert regelmäßiges Passwortbewusstsein

  • Audit-Trail: Dokumentiert Passwortänderungen für Sicherheitsprüfungen

Technische Details (für Administratoren)

Format: Ganzzahl (Anzahl Monate)
Standardwert: 0 (keine automatische Ablaufprüfung)

Gültige Werte:

  • 0 = Keine Ablaufprüfung – Passwörter laufen niemals ab (Standardwert)

  • 1 = Passwort muss jeden Monat geändert werden

  • 3 = Passwort muss alle 3 Monate geändert werden

  • 6 = Passwort muss alle 6 Monate geändert werden

  • 12 = Passwort muss jährlich geändert werden

  • Beliebige positive Ganzzahl für andere Intervalle

Funktionsweise: - Das System berechnet das Ablaufdatum basierend auf dem Datum der letzten Passwortänderung - Bei der Anmeldung wird geprüft, ob die Periode überschritten ist - Benutzer werden zur Passwortänderung aufgefordert, bevor sie sich anmelden können - Gilt nur für Portal-Logins, nicht für Active Directory-Authentifizierung

Zusammenspiel mit anderen Parametern: - PASSWORDHISTORYLENGTH: Verhindert Wiederverwendung alter Passwörter - PASSWORDMINLENGTH: Legt Mindestlänge für neue Passwörter fest - PASSWORDPOLICY: Definiert Komplexitätsanforderungen

Wann sollten Sie diesen Wert ändern?

Wert erhöhen (z.B. auf 3, 6 oder 12), wenn:

  • Compliance-Vorgaben regelmäßige Passwortänderungen vorschreiben (z.B. ISO 27001, DSGVO-Anforderungen)

  • Die Organisation mit sensiblen Daten arbeitet (Finanzen, Gesundheit, personenbezogene Daten)

  • Branchenspezifische Vorschriften dies erfordern (z.B. Banken, Versicherungen)

  • Ein Sicherheitsvorfall zeigt, dass Passwörter zu lange gültig waren

  • Die IT-Sicherheitsrichtlinie der Organisation dies festlegt

  • Externe Audits regelmäßige Passwortänderungen empfehlen

Wert auf 0 belassen (Standard), wenn:

  • Moderne Sicherheitsansätze verfolgt werden (NIST empfiehlt seit 2017 keine erzwungenen regelmäßigen Änderungen mehr)

  • Passwortmanager genutzt werden und komplexe Passwörter garantiert sind

  • Die Organisation Benutzerfreundlichkeit priorisiert

  • Keine spezifischen Compliance-Anforderungen bestehen

Wichtige Hinweise

  1. Moderne Sicherheitsempfehlungen widersprechen häufigen Änderungen
    Das US-amerikanische NIST (National Institute of Standards and Technology) empfiehlt seit 2017, keine erzwungenen regelmäßigen Passwortänderungen mehr zu implementieren, da Benutzer oft schwächere Passwörter wählen oder vorhersehbare Muster verwenden (z.B. Passwort1 → Passwort2).

  2. Nur für Portal-Logins wirksam
    Dieser Parameter betrifft ausschließlich Benutzer, die sich mit Portal-Passwörtern anmelden. Bei Active Directory-Authentifizierung greift die AD-Passwortrichtlinie.

  3. Kombination mit Passworthistorie
    Setzen Sie gleichzeitig PASSWORDHISTORYLENGTH auf einen sinnvollen Wert (z.B. 5-10), um zu verhindern, dass Benutzer zwischen denselben Passwörtern wechseln.

  4. Kommunikation ist entscheidend
    Informieren Sie Benutzer rechtzeitig über neue Passwortrichtlinien. Unangekündigte Änderungen führen zu Frustration und Helpdesk-Tickets.

  5. Compliance vs. moderne Best Practices
    Prüfen Sie, ob Ihre Compliance-Anforderungen tatsächlich regelmäßige Änderungen verlangen oder ob alternative Maßnahmen (MFA, Passwortmanager) akzeptiert werden.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, dieser Parameter ist sicherheitsrelevant – jedoch ist der Nutzen umstritten.

Traditionelle Sicherheitsargumentation (PRO regelmäßige Änderungen):

  • Zeitlich begrenzte Kompromittierung: Selbst wenn ein Passwort gestohlen wird, ist es nach X Monaten ungültig

  • Compliance-Erfüllung: Erfüllt traditionelle Sicherheitsstandards

  • Reduziert Risiko bei unentdeckten Lecks: Kompromittierte Passwörter werden regelmäßig ungültig

Moderne Sicherheitsargumentation (CONTRA regelmäßige Änderungen):

  • Schwächere Passwörter: Benutzer wählen oft einfachere, leicht zu merkende Passwörter

  • Vorhersehbare Muster: Passwort1 → Passwort2 → Passwort3 ist leicht zu erraten

  • Passwörter aufschreiben: Frustrierte Benutzer notieren komplexe Passwörter auf Post-Its

  • Helpdesk-Belastung: Erhöhte Anzahl von Passwort-Resets

  • Bessere Alternativen: MFA, Passwortmanager, verhaltensbasierte Überwachung

Empfehlung führender Sicherheitsorganisationen:

NIST (USA): Keine erzwungenen periodischen Änderungen mehr
NCSC (UK): Nur bei Verdacht auf Kompromittierung ändern
BSI (Deutschland): Akzeptiert beide Ansätze, präferiert aber moderne Methoden

Fazit: Der Parameter erhöht die Sicherheit nur dann, wenn: 1. Benutzer trotz erzwungener Änderung starke Passwörter wählen 2. Keine Passwortmanager genutzt werden 3. Compliance-Anforderungen dies vorschreiben

Andernfalls kann der Parameter die Sicherheit sogar verschlechtern.

Praktisches Beispiel

Szenario 1: Traditioneller Ansatz (Compliance-getrieben)

Ausgangssituation:
Eine Bank muss die Anforderungen der BaFin erfüllen, die regelmäßige Passwortänderungen vorschreiben. Die Sicherheitsabteilung hat entschieden, dass Passwörter alle 6 Monate geändert werden müssen.

Konfiguration:
Sie setzen PASSWORDEXPIRATIONPERIODMONTH auf 6 und PASSWORDHISTORYLENGTH auf 10.

Nach der Änderung:

  1. Benutzer, die sich am 1. Januar 2025 anmelden, müssen bis zum 1. Juli 2025 ihr Passwort ändern

  2. Am 1. Juli wird die Anmeldung verweigert mit: "Ihr Passwort ist abgelaufen. Bitte ändern Sie es."

  3. Nach der Änderung können die letzten 10 Passwörter nicht wiederverwendet werden

  4. Das neue Passwort ist bis zum 1. Januar 2026 gültig

Ergebnis:
Die Bank erfüllt die Compliance-Anforderungen. Jedoch steigen die Helpdesk-Tickets um ca. 20% in den Monaten mit vielen Passwortabläufen.

Szenario 2: Moderner Ansatz (Best Practice)

Ausgangssituation:
Ein Technologieunternehmen nutzt einen unternehmensweiten Passwortmanager. Die Sicherheitsabteilung hat die NIST-Richtlinien geprüft.

Konfiguration:
Sie belassen PASSWORDEXPIRATIONPERIODMONTH auf 0 (keine automatischen Änderungen).

Stattdessen implementiert:

  • Obligatorische Passwortmanager (z.B. 1Password) mit starken, generierten Passwörtern

  • Monitoring für verdächtige Anmeldeaktivitäten

  • Sofortige Passwortänderung bei Sicherheitsvorfällen

Ergebnis:

  • Höhere Sicherheit durch starke Passwörter

  • Zufriedenere Benutzer (keine erzwungenen Änderungen)

  • 60% weniger Helpdesk-Tickets bezüglich Passwörtern

  • Keine Compliance-Probleme, da moderne Methoden akzeptiert werden

Szenario 3: Hybrider Ansatz

Ausgangssituation:
Eine Behörde muss ISO 27001 erfüllen, möchte aber benutzerfreundlich bleiben.

Konfiguration:
Sie setzen PASSWORDEXPIRATIONPERIODMONTH auf 12 (jährliche Änderung).

Zusätzlich: - Passwortrichtlinie mit hoher Komplexität - Schulungen zu Passwort-Best-Practices

Ergebnis:
Ausgewogener Kompromiss zwischen Compliance, Sicherheit und Benutzerfreundlichkeit.

Empfohlene Einstellung

Für moderne Organisationen: 0 (keine erzwungenen Änderungen)

Begründung:

  • Entspricht aktuellen Sicherheitsempfehlungen (NIST, NCSC)

  • Höhere Benutzerfreundlichkeit

  • Stärkere Passwörter durch Passwortmanager

  • Weniger Helpdesk-Belastung

Voraussetzungen:

  • Passwortmanager werden genutzt oder empfohlen

  • Starke Passwortrichtlinien (PASSWORDPOLICY) sind aktiv

  • Monitoring für verdächtige Aktivitäten ist vorhanden

Für Compliance-getriebene Organisationen: 6 oder 12

Begründung:

  • Erfüllt traditionelle Sicherheitsstandards

  • Genügt Audit-Anforderungen

Empfohlene Werte:

  • 12 Monate = Ausgewogener Kompromiss (jährlich)

  • 6 Monate = Höhere Sicherheit bei erhöhten Anforderungen

  • 3 Monate = Nur bei sehr hohen Sicherheitsanforderungen (nicht empfohlen wegen Benutzerbelastung)

NIEMALS verwenden: 1 (monatlich)

Monatliche Passwortänderungen führen fast immer zu:

  • Extrem schwachen Passwörtern

  • Massen-Passwort-Resets

  • Aufgeschriebenen Passwörtern

  • Massiver Benutzerfrustration

Tipp: Prüfen Sie Ihre Compliance-Anforderungen genau – oft erlauben sie moderne Alternativen anstelle erzwungener Passwortänderungen.

IC2881