Jahrelang galt die Devise: Passwort alle 90 Tage wechseln, Sonderzeichen, Großbuchstaben, Zahlen — und bloß kein Wort aus dem Wörterbuch. Das Ergebnis: Mitarbeiter klebten Post-its an den Monitor oder variierten minimal: Sommer2024! → Herbst2024! → Winter2025!.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese Praxis längst korrigiert. Die aktuellen Empfehlungen aus dem BSI-Grundschutz-Kompendium 2024 sind in Teilen kontraintuitiv — aber sie basieren auf Evidenz.
Was das BSI heute wirklich empfiehlt
Kein erzwungener regelmäßiger Passwortwechsel mehr. Das BSI empfiehlt Passwortwechsel nur noch dann, wenn ein Verdacht auf Kompromittierung besteht. Der Grund: Erzwungene Wechsel führen zu vorhersehbaren Mustern und schwächeren Passwörtern, nicht zu stärkeren.
Länge schlägt Komplexität. Ein langes Passwort ohne Sonderzeichen ist kryptographisch stärker als ein kurzes mit allen Zeichenklassen. Das BSI empfiehlt:
- Normale Konten: mindestens 8 Zeichen (besser 12+)
- Privilegierte Konten (Admin, Root): mindestens 12 Zeichen
- Bei Passwortmanager-Einsatz: 20+ Zeichen, zufällig generiert
Prüfung gegen bekannte kompromittierte Passwörter. Datenbanken wie HaveIBeenPwned enthalten Milliarden geleakter Passwörter. Moderne Identitätsmanagementsysteme können Passwörter beim Setzen gegen diese Listen prüfen und blockieren.
Komplexitätsregeln sind optional, wenn die Länge stimmt. Wer einen Passwortmanager nutzt und 20-Zeichen-Zufallspasswörter generiert, braucht keine Sonderzeichen-Vorgaben.
Warum Passwortmanager in Unternehmen Pflicht sind
Laut Bitkom Studie 2024 nutzen rund 33 Prozent der deutschen Unternehmen keinen zentralen Passwortmanager. Das bedeutet: Passwörter in Excel-Tabellen, Post-its, E-Mails oder "ich kenn's auswendig".
Ein Unternehmens-Passwortmanager löst mehrere Probleme gleichzeitig:
- Einzigartige Passwörter für jeden Dienst — das wichtigste Prinzip überhaupt
- Sichere Freigabe innerhalb von Teams ohne Weitergabe im Klartext
- Audit-Trail: Wer hat wann auf welches Passwort zugegriffen?
- Offboarding: Wenn ein Mitarbeiter geht, werden geteilte Zugangsdaten einfach rotiert
- Passwortgenerierung: Keine schwachen Passwörter mehr durch menschliche Kreativität
Wichtig: Wählen Sie eine Lösung mit Ende-zu-Ende-Verschlüsselung, die Ihre Passwörter nicht im Klartext auf fremden Servern speichert. Der Hauptpasswort/Masterkey muss besonders stark und mit MFA gesichert sein.
Multi-Faktor-Authentifizierung: Nicht optional
MFA ist der wirksamste einzelne Schutz gegen kompromittierte Zugangsdaten. Selbst wenn ein Passwort geleakt wird — ohne den zweiten Faktor kommt ein Angreifer nicht rein.
Laut BSI-Lagebericht 2024 werden kompromittierte Zugangsdaten in über 80 Prozent der erfolgreichen Angriffe als Einstiegspunkt genutzt. MFA eliminiert diesen Angriffsvektor weitgehend.
MFA-Methoden im Vergleich:
| Methode | Sicherheit | Komfort | Empfehlung |
|---|---|---|---|
| SMS/TAN | Niedrig | Hoch | Nicht empfohlen (SIM-Swapping) |
| TOTP (Authenticator App) | Mittel-hoch | Mittel | Gut für die meisten Fälle |
| Hardware-Token (FIDO2) | Sehr hoch | Mittel | Ideal für privilegierte Konten |
| Passkeys | Sehr hoch | Hoch | Zukunft der Authentifizierung |
Empfehlung: Für normale Mitarbeiter ist eine TOTP-App (wie ein gängiger Authenticator) ein guter Kompromiss. Für Administratoren und privilegierte Konten sollten Hardware-Token (FIDO2/WebAuthn) eingesetzt werden.
Passkeys: Die Zukunft der Anmeldung
Passkeys sind der nächste Evolutionsschritt über Passwörter hinaus. Statt eines Geheimnisses, das eingegeben wird, basieren Passkeys auf asymmetrischer Kryptografie: Ein privater Schlüssel bleibt auf dem Gerät des Nutzers (und verlässt es nie), ein öffentlicher Schlüssel liegt beim Dienst.
Vorteile von Passkeys:
- Kein Passwort, das geleakt werden kann
- Phishing-resistent (der Schlüssel ist an die spezifische Domain gebunden)
- Kein Credential Stuffing möglich
- Bequemer als Passwort + MFA zusammen
Passkeys werden von allen großen Betriebssystemen (Windows, macOS, iOS, Android) und zunehmend von Enterprise-Diensten unterstützt. Die Verbreitung in Unternehmensumgebungen wächst, aber für eine vollständige Ablösung von Passwörtern braucht es noch einige Jahre.
Moderne Passwort-Richtlinie für Unternehmen: Vorlage
Eine zeitgemäße Unternehmensrichtlinie sollte folgende Punkte enthalten:
Passwort-Anforderungen:
- Mindestlänge 12 Zeichen für alle Konten
- Mindestlänge 16 Zeichen für privilegierte Konten
- Prüfung gegen bekannte kompromittierte Passwörter beim Setzen
- Kein erzwungener periodischer Wechsel (nur bei Kompromittierungsverdacht)
- Verbot von Passwort-Wiederverwendung (History: 10 Passwörter)
Passwortmanager:
- Nutzung eines genehmigten Unternehmens-Passwortmanagers verpflichtend
- Passwörter dürfen nicht außerhalb des Passwortmanagers gespeichert werden (kein Excel, kein Browser-Speicher ohne Unternehmensgerät)
MFA:
- MFA für alle externen Zugänge (VPN, Web-Apps, E-Mail) verpflichtend
- MFA für alle internen privilegierten Konten verpflichtend
- FIDO2-Token für IT-Administratoren
Schulung:
- Jährliche Sensibilisierung für Phishing und Social Engineering
- Sofortmeldepflicht bei Verdacht auf Kompromittierung
Fazit
Passwort-Sicherheit 2026 bedeutet: Länge statt Komplexität, kein erzwungener Wechsel, Passwortmanager für alle, MFA überall. Wer diese drei Grundpfeiler umsetzt, ist gegen die weitaus meisten Angriffe gewappnet.
Passkeys werden Passwörter langfristig ersetzen — aber der Übergang dauert. Bis dahin: Passwortmanager + MFA sind die effektivste Kombination, die Sie heute haben können.
Lesen Sie auch: Incident Response Plan — was tun, wenn Zugangsdaten trotzdem kompromittiert werden?