Fragen und Antworten zu computergestützten Systemen

In unregelmäßigen Abständen beantworten Inspektoren Fragen zu computergestützten Systemen. Zu den folgenden Fragen finden Sie Antworten von Klaus Feuerhelm vom Regierungspräsidium Tübingen.

1. Wie sieht ein GMP-konformes Passwort und der Umgang damit (Aktualisierung) aus Behördensicht aus?

Grundvoraussetzung ist, dass man ein dokumentiertes Passwortkonzept hat. So heißt es zum Beispiel in PIC/S PI 011:
"Basic rules exist and are documented to ensure security related to personal passwords or pass cards and related system/data security requirements are not reduced or negated."

In einem solchen Passwortkonzept sollte geregelt sein, wie ein Passwort aufgebaut ist. Dazu gehört die Zahl und Art der Zeichen sowie Regelungen zum Umgang mit verloren gegangenen, gestohlenen oder zweifelhaften Passwörtern. Weitere Hinweise zu Passwortkonzepten findet man unter anderem in der ISO IEC 27002:

• Passwörter sollen geheim gehalten werden.
• Aufzeichnungen sollten vermieden werden, außer eine sichere Verwahrung ist gewährleistet.
• Eine Änderung von zweifelhaften Passwörtern sollte zu jeder Zeit möglich sein.
• Passwörter sollten leicht zu merken sein.
• Es sollte kein Bezug zu personenspezifischen Daten vorhanden sein (Name, Geburtstag, Telefonnummer)
• Es sollten keine rein numerischen oder alphabetischen Zeichenfolgen verwendet werden.
• Passwörter sollten in regelmäßigen Zeitabständen geändert werden.
• Die Benutzung bereits verwendeter Passwörter sollte vermieden werden.
• Keine Verwendung von Gemeinschaftspasswörtern.
• Nicht das gleiche Passwort für private und geschäftliche Zwecke nutzen.

Hinweise zur Länge eines Passwortes sind kaum zu finden. So empfehlen aber immerhin die IT-Grundschutzkataloge des BSI mindestens acht Zeichen zu verwenden. Die Länge des Passworts hat allerdings nur dann wesentlichen Einfluss auf die Sicherheit, wenn es sich um ein starkes Passwort handelt. Ein starkes fünfstelliges Passwort ist deutlich sicherer als ein schwaches achtstelliges Passwort. Gespeicherte bzw. über das Netz übertragene Passwörter sollten gut geschützt werden (sichere Verschlüsselungsmethode).

Die verwendeten Passwörter sollten regelmäßig geändert werden. So findet sich im PICS PI 011 folgender Hinweis:
"The system should be capable of enforcing regular changes of passwords".
Ein konkretes Zeitinterval für die Änderung des Passworts ergibt sich aus dem Einzelfall. Die IT-Grundschutzkataloge nennen hier beispielsweise 90 Tage.

2. Was erwartet die Behörde zur Validierung der Statistikfunktionen bei Excel?
3. Was erwartet die Behörde an Validierung wenn die Graphikfunktionen von Excel zur Erstellung von PQRs eingesetzt werden

Es gibt keine GMP-Vorgaben hinsichtlich der Nutzung bestimmter Programme. Grundsätzlich können zunächst einmal alle Applikationen verwendet werden. In der Validierung muss man dann zeigen, dass das Programm richtig rechnet bzw. graphische Darstellungen auch richtig wiedergibt. Ist dies nicht der Fall, kann das Programm nicht verwendet werden.

Literatur:
PICs PI 011
Bundesamt für Sicherheit in der Informationstechnik : IT Grundschutz

Zusammengestellt von
Dr. Andreas Mangel
CONCEPT HEIDELBERG