Mitbestimmung bei Einführung von Regeln zu Passwortnutzung

Question

Hallo, Ihr Lieben,

heute hat unser Chef eine Rundmail an "ALLE" geschickt, mit welcher Verhaltensregeln über das Anlegen von Passwörtern unters Volk gebracht wurde. Das Passwort muss so und so lang sein, muss diese und jene Buchstaben enthalten, muss Ziffern oder nicht enthalten, muss alle X Tage geändert werden, muss mindestens y Tage alt sein, bevor es geändert wird, dass mindestens 2 Passwörter genutzt werden müssen, bevor ein Passwort erneut verwendet werden kann ...   ...   ... 

Sind wir (BR) bei solchen Regelungen mit im Boot (Mitbestimmung nach § 87?) Es gibt bei uns noch keine BV über Nutzung von Kommunikationsmitteln etc. (haben wir auf der To-Do-Liste ganz unten...)

Danke und Gruß!

rkoch · Answer

Man könnte einen Anspruch auf Mitbestimmung nach §87 (1) Nr. 1 ableiten.

Tatsächlich sind derartige Regeln aber nicht dazu gedacht die MA zu ärgern sondern entspringen tatsächlich den Anforderungen an Passwortsicherheit. (Wikipedia: Passwort)

Insofern solltet Ihr Euch nicht allzusehr aus dem Fenster lehnen sondern nur darauf beschränken ein übertriebenes Sicherheitskonzept zu hinterfragen und lieber den Kollegen helfen, sich Konzepte für sichere Kennwörter auszudenken. Eine entsprechende Einweisung wäre von Nutzen (siehe auch Tips in der Wikipedia), schließlich hilft dem AG seine Anweisung nicht weiter wenn die Kollegen ihre kryptischen Kennwörter dauernd vergessen, aufschreiben oder sich gegenseitig die Kennwörter verraten damit die Kollegen einen an das Passwort erinnern können. 

Was das hinterfragen angeht: 
Besteht die Gefahr, das Hacker von außen überhaupt in die Passwortdatenbank einbrechen können?
Wie hoch ist das Sicherheitsrisiko eines verratenen Kennworts?
Wie oft muss das Kennwort wirklich geändert werden, damit die Sicherheit nicht darunter leidet?
etc.
Insbesondere der Hinweis auf das Risiko, das aufgeschriebene Kennwörter schlimmer sind als statische Kennwörter sollte bei den Gesprächen Tür und Tor öffnen.

geploeg · Answer

Ich bitte hier auch zu bedenken, dass hier auch Belange des Bundesdatenschutzgesetzes zu berücksichtigen sind....

Pfälzer · Answer

wichtig wäre auch zu hinterfragen, was denn AG-seitig vorgesehen ist für den Fall der Zuwiderhandlung durch den MA; wenn dann disziplinarische Maßnahmen (Abmahnung,  Kündigung) ins Spiel kommen, sollte der BR die Vorschriften schon im Interesse der MA entsprechend mitbestimmen;

rkoch · Answer

@Pfälzer

Diese Frage ist zwar interessant, wird sich aber IMO gar nicht stellen. Passwortsyteme sind heute so ausgeklügelt, das man diese Regeln softwareseitig hinterlegen kann. Sprich: Wenn das Kennwort abläuft fordert der Rechner automatisch ein neues Kennwort beim Benutzer an, prüft es nach den aufgestellten Regeln und verweigert weitere logins bis der Benutzer ein neues, den Regeln entsprechendes Kennwort vergeben hat.
Also KANN faktisch ein Verstoß nicht eintreten, da der Mitarbeiter ansonsten gar nicht mehr arbeiten könnte - und das wird selbst der dümmste MA nicht riskieren. Er wird sich diesen Regel beugen müssen ob er will oder nicht.