Das Präsidium der Universität Göttingen und der Vorstand der Universitätsmedizin Göttingen (UMG) haben den Zwang zur Passwortänderung für den Einheitlichen Mitarbeiter*innen-Account (EMA) nach einem Jahr (oder schon nach 90 Tagen, wenn Zugriff auf SAP besteht) abgeschafft.

Es werden daher zukünftig keine Aufforderungen zur Änderung des Passwortes mehr per E-Mail verschickt und eine Sperrung von Konten nach Fristversäumnis findet nicht mehr statt. Erinnerungen, die vor Umsetzung dieses Beschlusses am 19. Januar 2021 noch verschickt wurden, können ignoriert werden.

Die Änderung wurde möglich, weil die Forderungen nach einer zeitabhängigen Passwortänderung aus nationalen und internationalen Standards gestrichen wurden, zuletzt im Jahr 2020 auch durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), und die Universität daher auch solche Standards nicht mehr einhalten muss. Das BSI empfiehlt jetzt sogar ausdrücklich, auf solche zeitabhängigen Änderungen zu verzichten.

Trotz dieser sicherlich von den meisten als Erleichterung empfundenen Änderung ist es wichtig, auf Passwortsicherheit zu achten.

Jetzt ist der richtige Zeitpunkt, für den EMA noch einmal ein sicheres Passwort zu setzen, das dann länger Bestand haben kann. Prüfen Sie daher bitte, ob Ihr aktuelles Passwort wirklich geeignet ist.

Alle anderen Regeln für den Passwortgebrauch, die Sie in der Informationssicherheitsrichtlinie der Universität in der Maßnahme A.10 finden, behalten ihre Gültigkeit.

Auf eine Regel soll hier besonders hingewiesen werden, weil die Aufhebung des Zwangs zur regelmäßigen Passwortänderung hier zu falschem Umgang und erhöhten Risiken verleiten könnte: EMA-Passwörter dürfen auf keinen Fall zusätzlich für andere Dienste (wie private E-Mail-Konten oder Online-Shops) verwendet werden. Die Unterschiede zwischen EMA-Passwörtern und anderen Passwörtern (und sinnvollerweise überhaupt zwischen Passwörtern für verschiedene Dienste) müssen signifikant sein, insbesondere dürfen keine systematischen Zusammenhänge bestehen, über die aus einem Passwort das andere erschlossen werden könnte.

Außerdem sei darauf hingewiesen, dass Sie jetzt definitiv von der Universität, der UMG oder der GWDG keine Aufforderungen mehr per E-Mail erhalten, Ihr Passwort zu ändern. Das sollte es Ihnen erleichtern, gefälschte E-Mails mit solchen Aufforderungen (sogenanntes Phishing) als Fälschung zu erkennen. Universität, UMG oder GWDG werden Sie auch nie auffordern, sich über irgendwelche in E-Mails verschickte Links anzumelden, weil angeblich Quota überschritten, Sicherheitsfunktionen verbessert oder Systeme umgestellt wurden oder ähnliches. Solche E-Mails stammen immer von Cyberkriminellen, die Sie verleiten wollen, Ihr Passwort auf einer gefälschten Seite einzugeben und somit den Kriminellen zu verraten.