Bundesamt für Sicherheit in der Informationstechnik

M 4.7 Änderung voreingestellter Passwörter

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, TK-Anlagen-Verantwortlicher, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Viele IT -Systeme, TK -Anlagen und Netzkoppelelemente (beispielsweise ISDN -Router, Sprach-Daten-Multiplexer etc.) besitzen nach der Auslieferung durch den Hersteller noch voreingestellte Standardpasswörter. Von Herstellern oder Administratoren voreingestellte Passwörter sind direkt nach der Installation, spätestens bei erstmaliger Inbetriebnahme von Hard- oder Software zu ändern. Hierbei sind die einschlägigen Regeln für Passwörter zu beachten (siehe M 2.11 Regelung des Passwortgebrauchs ).

Achtung: Bei einigen TK-Anlagen werden vorgenommene Änderungen der Konfiguration nur im RAM abgelegt. Dies gilt auch für Passwortänderungen. Daher ist nach einer solchen Operation stets eine Datensicherung vorzunehmen und eine neue Sicherungskopie zu erstellen. Unterbleibt dies, so ist nach einem "Restart" der Anlage wieder das Standardpasswort gültig. Weiterhin sollte überprüft werden, ob nach Einrichten eines neuen Passworts das Standardpasswort tatsächlich seine Gültigkeit verloren hat und nicht weiterhin für den Systemzugang genutzt werden kann.

Prüffragen:

  • Werden Standardpasswörter durch ausreichend starke Passwörter ersetzt und vordefinierte Logins geändert, bevor IT -Systeme in Betrieb genommen werden?

  • Wird überprüft, ob tatsächlich kein Systemzugang mit Standardpasswörtern oder schwachen Passwörtern möglich ist?

Stand: 13. EL Stand 2013