Logo: Bauhaus-University Weimar Logo: Bauhaus-University Weimar
≡
  • Kontrastansicht
  • go to main menu
  • jump to page menu
  • jump to breadcrumbs and menu
  • jump to subpage menu
  • jump to main content
  • jump to contacts and information
  • Webmail
    • for students
    • for staff (OWA)
  • Moodle
  • Course Catalogue
  • Message Boards
  • DE
  • EN
Shortcuts
  • Webmail
    • for students
    • for staff (OWA)
  • Moodle
  • Course Catalogue
  • Message Boards
  • Academic Advising
  • BAUHAUS.JOURNAL ONLINE
  • Calendar
  • University Library
  • Language Centre
  • Sports Centre
  • International Office
  • Digital Studieren (E-Learning)
  • Dining Menu
  • Emergency
  • Search people
  • DE
  • EN
Bauhaus-Universität Weimar
  • University
    • News+
    • Profile+
    • Structure
      • University Management Team+
      • Committees+
      • Departments+
      • Central University Facilities
        • Alumni-Büro
        • Modernists Archive (University Archive)+
        • Bauhaus Research School
        • Career Service
        • Diversity department+
        • Equal Opportunity Office+
        • Start-Up Hub »neudeli«
        • Innenrevision
        • SCC (IT-Service)
          • Aktuelles+
          • Service+
          • IT security
            • Current news
            • IT basic protection
            • IT-Sicherheits-Leitlinie
            • Sicherheits-Management-Team
            • security certificates (PKI)+
            • password security
              • Zusätzliche Regeln für Systemadministratoren
              • Passwort-Festlegungen
              • Gültigkeit
              • Umgang mit dem Passwort
              • Fragen und Antworten
              • Sinn und Zweck unserer Passwortregeln
              • Hilfen für die Erzeugung des Passwortes
              • Passwort-Manager
              -
            • malware protection+
            • Phishing+
            • Netzsicherheit+
            • Patch and Vulnerability Management+
            • Verschlüsselung+
            • Golden rules+
            • Externe IT-Dienste
            • Informationsquellen
            -
          • Software
          • Index
          -
        • Service Center for Facility Management+
        • Service Center for Security Management+
        • Language Centre+
        • University Library+
        • Center for Institutional Development+
        • University Communications+
        • University Sports Centre+
        • University Press
        -
      • Associated Institutes+
      • Representative officers at the Bauhaus-Universität Weimar
      -
    • Studies+
    • International+
    • Research and Art+
    • Partners and Alumni+
    • Bauhaus100
    • Students Representatives
    • Services+
    -
  • Architecture and Urbanism
    • News+
    • Profile+
    • Structure+
    • Studies+
    • Research and Art+
    • International+
    • Partners and Alumni
    • Services+
    +
  • Civil Engineering
    • News+
    • Profile+
    • Structure+
    • Studies+
    • Research+
    • International+
    • Partners and Alumni+
    • Services+
    +
  • Art and Design
    • News+
    • Profile+
    • Studies+
    • Structure+
    • Research and Art
    • International+
    • Partners and Alumni+
    • Services+
    +
  • Media
    • News+
    • Structure+
    • Studies+
    • Research+
    • International+
    • Partners and Alumni
    • Services+
    +
  • {{link.title}}

nothing was found

WHAT WAS THE QUESTION?
  1. University
  2. Structure
  3. Central University Facilities
  4. SCC (IT-Service)
  5. IT security
  6. password security
  7. Sinn und Zweck unserer Passwortregeln
Contact and Information
  • Offizieller Account der Bauhaus-Universität Weimar au
  • Offizieller Account der Bauhaus-Universität Weimar auf Twitter
  • Offizieller Account der Bauhaus-Universität Weimar auf Instagramm
  • Offizieller Account der Bauhaus-Universität Weimar auf Vimeo

Sinn und Zweck unserer Passwortregeln

Erklärende Videos zum Thema

externer Link (BSI auf YouTube)

externer Link (YouTube)

 

 

Warum sollten ausreichend sichere und lange Passwörter gewählt werden?

Das meistgenutzte Verfahren zur Authentifizierung von Benutzern ist der Einsatz von Passwörtern. Ihre Aufgabe ist primär der Schutz vor unbefugtem Zugriff und Missbrauch. Damit sie diese Aufgabe wirksam erfüllen können, sind verschiedene Regeln zu beachten, die sie auch in unseren Passwortfestlegungen finden. Hier sind Sie als Nutzer gefragt. Die Masse der Missbrauchsfälle wurde und wird durch (berechtigte) Nutzer durch Unkenntnis oder leichtfertiges Verhalten (mit-)verschuldet. Um Ihnen hier Handlungssicherheit zu geben haben wir die notwendigen Handlungsanweisungen publiziert.

Viele fragen sich, was das alles eigentlich soll, halten die Maßnahmen für schier übertrieben und verweisen darauf, dass Sie nichts besonders Schützenswertes auf Ihrem Rechner hätten. Beim Passwortdiebstahl geht es aber nicht nur um die spezifischen Daten des jeweiligen Nutzers, sondern auch um eine unautorisierte Nutzung von Ressourcen.

Mögliche Folgen eines erfolgreichen Passwortdiebstahls sind:

  • ein unbefugter Informationsgewinn durch das Lesen Ihrer Mails und Dokumente
  • das Verfälschen oder Löschen Ihrer Daten
  • das Ändern Ihres Passworts, mit der Folge, dass Sie keinen Zugriff mehr auf das System haben.
  • die Nutzung Ihrer Zugangsdaten zur Verschleierung der eigenen Identität, um unerlaubte oder strafbare Handlungen zu begehen, denkbar sind hier:
    • die Publikation von rechtswidrigen, beleidigenden oder obszönen Inhalten per Mail in Ihrem Namen
    • der Zugriff auf strafbare Inhalte im Internet mit Ihrem Login
    • das Herunterladen oder der Tausch von urheberrechtlich geschützten Werken (Musik, Software, elektronische Publikationen)
    • das Einschleusen von Viren, Würmern und Trojanischen Pferden und dadurch die Beeinträchtigung weiterer Nutzer oder auch externer Stellen, mit einem möglichen Imageschaden für die Universität
    • Versand von Spam- und Phishing-E-Mails
    • betrügerische Aktionen auf Handelsplattformen im Internet
    • terroristische oder extremistische Aktionen
    • ...
  • das absichtliche Platzieren von illegalen Inhalten in Ihrem Verzeichnis mit der Gewährung eines öffentlichen Zugriffs und der gleichzeitigen Information verantwortlicher Stellen um Ihnen bewusst zu schaden.
    Der Verdacht der Strafverfolgungsbehörden würde automatisch auf Sie fallen und Sie müssten beweisen, dass Sie die Straftatbestände nicht begangen haben.

Bei unseren Vorgaben orientieren wir uns an den Empfehlungen des BSI: Link

Warum müssen die Passwörter alle 365 Tage geändert werden und sollen aureichend komplex sein?

Die Wahl eines ausreichend sicheren und langen Passwortes erschwert es einem Angreifer das Passwort zu entschlüsseln. Einfache Entschlüsselungsverfahren werden wirkungslos, dass heißt aber nicht, dass Ihr Passwort gar nicht entschlüsselt werden kann.
Sollte Ihr Passwort einmal entschlüsselt sein, kann ein Angreifer es nur im Zeitraum seiner Gültigkeit nutzen, hier also maximal 365 Tage (= eine schon sehr lange Zeitspanne), danach ist es wertlos.
Die Zeit die ein jemand benötigt, um Ihr Passwort zu entschlüsseln, hängt neben der Wahl des Passwortes (d.h. dem nutzbarem Zeichenvorrat und der Länge), von dem Verfahren und der eingesetzten Technik ab.

Ein weiterer häufig übersehener Aspekt ist die gerade in jüngster Zukunft gehäuft publik gewordenen Diebstähle sensibler Daten in erheblichen Größenordnungen durch Hacks prominenter Online-Dienste (Dropbox, LinkedIn, Yahoo etc.). Zwischen dem eigentlichen Datendiebstahl und der öffentlichen Verbreitung der gestohlenen Daten lagen mitunter Jahre. Wurde das zum Zeitpunkt des Datendiebstahls aktive Passwort bereits geändert sind die gestohlenen Daten heute wertlos, wenn nicht, können die gewonnen Informationen für alle möglichen kriminellen Handlungen im Internet missbraucht werden. Wurden bei dem externen kompromittierten IT-Dienst - entgegen der verbindlichen Vorgaben - die gleichen Zugangsdaten, wie an der Bauhaus-Universität verwendet, ist auch hier ein Missbrauch möglich. Die Wahl des gleichen Passwortes für verschiedenen IT-Dienste lässt sich technisch nicht verhindern, hier müsste an andere Authentifizierungsart (Mehr-Faktor-Authentifizierung = technisch anspruchsvoll, wenn für alle Dienste wirksam und Ressourcenintensiv) gewählt werden. Dass sich alle Nutzer durch Vereinfachungen der Regeln bzw. Anforderungen oder Sensibilisierung stets sicherheitsbewusst und regelkonform verhalten, ist unrealistisches Wunschdenken.

Die Verringerung der Komplexität zu Gunsten der Passwortlänge könnte im ungünstigsten Fall dazu führen, dass das verwende Passwort einfach erraten werden kann. Die theoretisch berechenbare Passwortgüte wäre damit hinfällig.

Ein einzelner kompromittierter Uni-Account reicht aus, um beispielsweise den E-Mail-Verkehr der gesamten Universität empfindlich zu stören.

Wie kann der Passwortschutz ausgehebelt werden?

  1. Ausprobieren/ Erraten
    Durch das Eingeben eines geratenen Passwortes wird versucht sich Zugang zu verschaffen. Das Verfahren ist wenig effizient und bietet nur bei leicht zu erratenden Passwörtern Aussicht auf Erfolg und wird daher eher weniger genutzt. Diese Methode erfordert kein technisches Know-How und keine zusätzlichen Tools. Gerade bei weniger einfallsreichen bzw. für das Thema kaum sensibilisierten Personen in Verbindung mit fehlenden technischen Restriktionen kann diese Methode bereits ausreichen.
  2. Einsatz von Passwort-Crack-Programmen
    Effizienter und somit wahrscheinlicher ist die Nutzung von frei verfügbaren und leicht zu bedienenden Passwort-Crack-Programmen, die mit verschiedenen Methoden versuchen an das verschlüsselt abgelegte Passwort zu kommen.
    • Wörterbuch-Attacke
      Hier werden Crack-Programme eingesetzt, die auf eine Wortliste zurückgreifen, in der viele bekannte Wörter hinterlegt sind. Das Programm probiert die enthaltenen Wörter nacheinander durch. Ein leistungsfähiger Rechner kann selbst eine sehr mächtige Liste (eine Textdatei die mehrere MB groß ist) in wenigen Stunden abarbeiten und alle Passwörter finden, die in der Wortliste enthalten sind. Denkbar ist auch das aneinanderreihen von bekannten Wörtern, um so längere Passwörter die entsprechend gebildet wurden zu ermitteln. Einen wirkungsvollen Schutz erreicht man dadurch, dass man keine bekannten Wörter und Namen benutzt.
    • Brute-Force-Attacke
      Bei diesem Verfahren werden ausgehend von einem bestimmten Zeichenvorrat alle möglichen Kombinationen der Zeichen durchprobiert. Das Programm ist theoretisch in der Lage jedes beliebige Passwort zu finden. Die benötigte Zeit um zum Erfolg zu kommen ist abhängig von der Länge des Passwortes und dem verwendeten Zeichenvorrat und kann so extrem lange dauern. Das ist der Grund, warum die Passwörter an der Bauhaus-Universität acht Zeichen lang sein sollen und mindestens ein Sonderzeichen und eine Ziffer enthalten müssen.
    • Kombinierte Wörterbuch- und Brute-Force-Attacke
      Die hier benutzen Programme werden Hybrid-Cracker genannt. Zusätzlich zum Durchsuchen einer Wortliste werden den Wörtern alle Kombinationen aus einem bestimmten zuvor festgelegten Zeichensatz vorangestellt bzw. angehängt. Möglich ist auch das Ersetzen bestimmter Buchstaben durch Ziffern oder Sonderzeichen (beispielsweise "O" wird in "0" oder "E" wird in "3" geändert. Es genügt also nicht als Passwort ein bekanntes Wort oder einen Namen zu wählen und eine Ziffer und ein Sonderzeichen anzuhängen.
  3. Nutzen von Daten aus (veröffentlichten) Datendiebstählen
  4. Preisgabe vertraulicher Informationen durch Social Engineering oder Phishing
  5. Ausspähen des Passwortes bei Eingabe oder wenn es sichtbar notiert wurde 
  6. ...

Woher stammen unsere Passwortregeln?

Die an der Bauhaus-Universität Weimar verbindlichen Passwortregeln orientieren sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), einer anerkannten, zentralen, unabhängigen und neutralen Institution in Deutschland, sich mit Fragen zur IT-Sicherheit befasst:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02011.html

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2011/Passwortsicherheit_27012011.html 

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html 

Ein anerkannter internationaler Standard, der unsere Forderungen stützt, ist die ISO/IEC 27002 Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management, Abschnitt 11.3.1 Passwortverwendung.

Die Einschränkungen nutzbarer Sonderzeichen sind festgestellten Problemen bei einzelnen verarbeitenden Systemen geschuldet. 

  • Aktuelles
  • Service
  • IT security
    • Current news
    • IT basic protection
    • IT-Sicherheits-Leitlinie
    • Sicherheits-Management-Team
    • security certificates (PKI)
    • password security
      • Zusätzliche Regeln für Systemadministratoren
      • Passwort-Festlegungen
      • Gültigkeit
      • Umgang mit dem Passwort
      • Fragen und Antworten
      • Sinn und Zweck unserer Passwortregeln
      • Hilfen für die Erzeugung des Passwortes
      • Passwort-Manager
    • malware protection
    • Phishing
    • Netzsicherheit
    • Patch and Vulnerability Management
    • Verschlüsselung
    • Golden rules
    • Externe IT-Dienste
    • Informationsquellen
  • Software
  • Index

Kontakt

Bauhaus-Universität Weimar
Servicezentrum für Computersysteme und -kommunikation
Steubenstraße 6a
D-99423 Weimar

Hotline
Tel.: +49 (0) 36 43/58 24 24
E-Mail: hotline[at]scc.uni-weimar.de

Quicklinks

  • Outlook for staff (OWA)
  • Password Self Service
  • VPN-Zugang
  • How to find us
  • Offizieller Account der Bauhaus-Universität Weimar au
  • Offizieller Account der Bauhaus-Universität Weimar auf Twitter
  • Offizieller Account der Bauhaus-Universität Weimar auf Instagramm
  • Offizieller Account der Bauhaus-Universität Weimar auf Vimeo
  • The Bauhaus-Universität Weimar uses Matomo for web analytics.
  • Contrast view
  • Print
  • Send by e-mail
  • Feedback this Page
  • Studies

    • Academic Programmes
    • Advising
    • EINBLICK.Bauhaus
    • Application
    • New Students
    • Course Catalogue
    • Moodle
  • Information

    • Alumni
    • Employees
    • Researchers
    • Visitors and Guests
    • Academic Staff
    • Emergency Information
    • Press and Media
    • Doctoral candidates
    • Students
    • Businesses
  • Services

    • Message Boards
    • Campus Maps
    • Sitemap
    • Media Service
    • Legal Notice
    • Data Protection Policy
    • Accessibility Statement
  • Kontakt

    • Contact form
  • Contact
  • Legal Notice
  • Data protection policy
  • Accessibility Statement
  • Sitemap
  • Internal
  • TYPO3
  • The Bauhaus-Universität Weimar uses Matomo for web analytics.
© 1994-2021 Bauhaus-Universität Weimar
  • Contact
  • Legal Notice
  • Data protection policy
  • Accessibility Statement
  • Sitemap
  • Internal
  • TYPO3

Accessibility panel

Set contrast read more about this setting

changes from color to monochrome mode

contrast active

contrast not active

Darkmode for the lightsensitive read more about this setting

Changes the background color from white to black

Darkmode active

Darkmode not active

click- and focus-feedback read more about this setting

Elements in focus are visually enhanced by an black underlay, while the font is whitened

Feedback active

Feedback not active

Animations on this Website read more about this setting

halts animations on the page

Animations active

Animations not active