Der regelmäßige Passwortwechsel entsprich nach dem aktuellen IT-Grundschutzkompendium nicht mehr dem Stand der Technik. Das Positive: Bei Verwendung von sicheren Passwörtern sparen Sie
sich also künftig Arbeitsaufwände.

Im entsprechenden Baustein ORP.4.A8 heißt es:

„IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.“

Die DSK hatte bereits im März 2019 klargestellt, dass ein regelmäßiger Passwortwechsel  nicht mehr erforderlich ist, sofern starke Passwörter verwendet werden.

Um eine Kompromittierung zu erkennen, sollten Nutzer-Passworte mit Blacklists abgeglichen werden, z.B. über https://haveibeenpwned.com/ oder https://sec.hpi.de/ilc/search?lang=de.

Rechtsanwalt Robert Harzewski