Compliance-Lexikon · Governance
Password Policy
[ˈpɑːswɜːd ˈpɒlɪsi] · auch: Passwortrichtlinie, Kennwortrichtlinie
Eine Password Policy ist eine verbindliche Richtlinie, die Mindestanforderungen an die Qualität und Verwaltung von Passwörtern festlegt – einschließlich Mindestlänge, Komplexität, Rotation, Wiederverwendungsverbote und die Kombination mit MFA für privilegierte Zugaenge.
Warum Password Policy ein Governance-Kernbegriff ist
Password Policy ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen Password Policy als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.
Wo Password Policy gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.5.17 | Authentifizierungsinformationen: Passwortverwaltung als explizite Kontrollanforderung. |
| NIS-2 / BSIG | § 30 Abs. 2b | Starke Authentifizierung als technische Mindestmassnahme – Passwortrichtlinie als Grundlage. |
| BSI TL-03141 | vollständig | Technische Leitlinie Zwei-Faktor-Authentifizierung enthält Empfehlungen für Passwortanforderungen. |
| NIST SP 800-63B | vollständig | Digital Identity Guidelines: Aktuelle NIST-Empfehlungen für Passwortrichtlinien (kein regelmäßiger Wechsel ohne Kompromittierungshinweis). |
| CIS Controls v8 | Control 5 | Account Management: Passwortrichtlinie als Teil des Kontenmanagements. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht formal dokumentiert
- Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
- Keine regelmäßige Überprüfung der Umsetzung
- Fehlende Evidence für den Auditor
Kernelemente in der Praxis
Ein wirksames Password Policy-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.
Abgrenzung und Einordnung
Password Policy steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein Password Policy-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.
Nächste Ebene
Password Policy in der Praxis: Umsetzung, Nachweise und Evidence
Was Auditoren bei Password Policy konkret prüfen und welche Evidence benötigt wird.