Seite wählen

Passwortsicherheit – Starke Passwörter und moderne Authentifizierung

Richtlinien, Best Practices und moderne Authentifizierungsmethoden für Unternehmen

Jetzt Beratung anfragen

Passwortsicherheit ist eine der grundsätzlichsten und zugleich am häufigsten vernachlässigten Säulen der IT-Sicherheit. Trotz jahrelanger Aufklärung gehören schwache und wiederverwendete Passwörter zu den häufigsten Einfallstoren für Cyberangriffe. Laut aktuellen Studien sind kompromittierte Zugangsdaten für über 80% aller Datenschutzverletzungen mitverantwortlich.

Die DATUREX GmbH unterstützt Unternehmen bei der Entwicklung und Umsetzung moderner Passwortrichtlinien und Authentifizierungsstrategien — von klassischen Passwörtern bis zu passwortlosen Verfahren.

Warum ist Passwortsicherheit so wichtig?

Passwörter schützen den Zugang zu sensiblen Systemen, Daten und Anwendungen. Ein kompromittiertes Passwort kann weitreichende Folgen haben:

Externer Informationssicherheitsbeauftragter gesucht?

Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 300 € / Monat.

→ Externen Informationssicherheitsbeauftragten anfragen
  • Datenverlust – Unbefugter Zugriff auf vertrauliche Unternehmens- und Kundendaten
  • Ransomware-Angriffe – Gestohlene Zugangsdaten als Einfallstor für Verschlüsselungstrojaner
  • Identitätsdiebstahl – Missbrauch von Benutzerkonten für weitere Angriffe
  • Finanzielle Schäden – Betrug durch kompromittierte Geschäftskonten
  • Compliance-Verstöße – DSGVO, NIS2 und ISO 27001 fordern angemessenen Zugriffsschutz
  • Reputationsschäden – Vertrauensverlust bei Kunden und Partnern nach einem Vorfall

In der Praxis zeigt sich immer wieder, dass selbst technisch ausgereifte Sicherheitsarchitekturen durch ein einziges schwaches Passwort unterwandert werden können. Das unterstreicht die Bedeutung eines umfassenden Ansatzes, der technische Maßnahmen mit organisatorischen Richtlinien und Mitarbeitersensibilisierung verbindet.

Regeln für sichere Passwörter

Die Empfehlungen für sichere Passwörter haben sich in den letzten Jahren grundsätzlich gewandelt. Das BSI und das NIST empfehlen heute:

Aktuelle Best Practices

  • Mindestlänge 12 Zeichen – Länge ist wichtiger als Komplexität. 16+ Zeichen sind ideal
  • Passphrasen verwenden – Mehrere zufällige Wörter ergeben ein langes, merkbares Passwort (z.B. „Kaffee-Brücke-Wolke-7-Pinguin“)
  • Einzigartig pro Dienst – Niemals dasselbe Passwort für mehrere Konten verwenden
  • Passwort-Manager nutzen – Einziger sicherer Weg, viele einzigartige Passwörter zu verwalten
  • Zwei-Faktor-Authentifizierung – Zusätzlicher Schutz durch einen zweiten Faktor

Veraltete Regeln (nicht mehr empfohlen)

  • Regelmäßiger Passwortwechsel – Führt nachweislich zu schwächeren Passwörtern, nur bei Verdacht auf Kompromittierung wechseln
  • Erzwungene Sonderzeichen – Führt zu vorhersagbaren Mustern wie „Passwort1!“ statt zu besserer Sicherheit
  • Maximale Passwortlänge – Moderne Systeme sollten keine obere Grenze setzen
  • Sicherheitsfragen – Antworten sind oft öffentlich bekannt oder erratbar

Entropie und Passwortstärke

Die tatsächliche Sicherheit eines Passworts wird durch seine Entropie bestimmt — ein Maß für die Unvorhersagbarkeit in Bit. Ein zufälliges 8-Zeichen-Passwort aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen erreicht etwa 52 Bit Entropie. Eine Passphrase aus vier zufälligen Wörtern erreicht etwa 55 Bit — ist aber wesentlich leichter zu merken. Für kritische Systeme empfehlen Sicherheitsexperten mindestens 80 Bit Entropie, was einer Passphrase aus sechs zufälligen Wörtern oder einem 20-Zeichen-Zufallspasswort entspricht.

Moderne Passwort-Hashing-Algorithmen wie Argon2, bcrypt oder scrypt sind speziell dafür entwickelt, Brute-Force-Angriffe zu verlangsamen. Sie nutzen absichtlich hohen Speicher- und Rechenaufwand, sodass selbst mit spezialisierten Grafikprozessoren (GPUs) oder anwendungsspezifischen Schaltkreisen (ASICs) das Durchprobieren von Millionen Kombinationen Stunden oder Tage dauert statt Sekunden.

Passwort-Manager für Unternehmen

Ein Passwort-Manager ist das wichtigste Werkzeug für professionelle Passwortsicherheit. Er generiert, speichert und füllt starke, einzigartige Passwörter automatisch ein.

Empfohlene Enterprise-Passwort-Manager

  • Bitwarden – Open Source, Self-Hosting möglich, sehr gutes Preis-Leistungs-Verhältnis
  • 1Password Business – Exzellente Benutzerfreundlichkeit, starke Sicherheitsarchitektur
  • KeePass / KeePassXC – Vollständig offline, Open Source, lokale Kontrolle
  • Keeper Enterprise – Umfangreiche Admin-Funktionen, Compliance-Reporting
  • Dashlane Business – Integriertes VPN und Dark-Web-Monitoring

Auswahlkriterien

  • Zero-Knowledge-Architektur – Der Anbieter kann Ihre Passwörter nicht einsehen
  • Ende-zu-Ende-Verschlüsselung – AES-256 als Mindeststandard
  • Self-Hosting-Option – Für maximale Datenkontrolle
  • SSO-Integration – Anbindung an bestehende Identity Provider
  • Audit-Funktionen – Übersicht über schwache und wiederverwendete Passwörter
  • DSGVO-Konformität – Datenverarbeitung in der EU

Rollout-Strategie für Unternehmen

Die Einführung eines Passwort-Managers im Unternehmen erfordert einen strukturierten Ansatz. Erfahrungsgemäß scheitern viele Implementierungen nicht an der Technik, sondern an mangelnder Akzeptanz der Mitarbeiter. Ein bewährter Rollout-Plan umfasst:

  1. Pilotgruppe – Zunächst die IT-Abteilung und technikaffine Mitarbeiter einbinden
  2. Schulung – Praxisnahe Workshops zur Bedienung und zum Verständnis der Vorteile
  3. Migration – Bestehende Passwörter aus Browsern und Notizen systematisch übertragen
  4. Richtlinie – Verbindliche Nutzung für alle geschäftlichen Zugangsdaten festlegen
  5. Monitoring – Passwort-Gesundheitsberichte regelmäßig auswerten und schwache Passwörter adressieren

Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung ergänzt das Passwort um einen zweiten Nachweis der Identität. Selbst wenn ein Passwort kompromittiert wird, bleibt das Konto geschützt.

2FA-Methoden im Vergleich

  • TOTP-Apps (Authenticator) – Google Authenticator, Microsoft Authenticator, Authy. Sicher und weit verbreitet
  • Hardware-Tokens – YubiKey, SoloKey. Höchste Sicherheit, Phishing-resistent
  • Passkeys / FIDO2 – Passwortlose Authentifizierung, der neue Gold-Standard
  • SMS-Codes – Besser als nichts, aber anfällig für SIM-Swapping. Nicht empfohlen für kritische Systeme
  • E-Mail-Codes – Schwächste Methode, da E-Mail selbst oft unzureichend geschützt ist

Für Unternehmen empfehlen wir FIDO2/Passkeys oder Hardware-Tokens für privilegierte Konten und TOTP-Apps als Mindeststandard für alle Mitarbeiter.

MFA-Umgehungsangriffe und Schutzmaßnahmen

Obwohl Multi-Faktor-Authentifizierung die Sicherheit erheblich erhöht, gibt es fortgeschrittene Angriffsmethoden, die auch MFA umgehen können. Unternehmen sollten diese Risiken kennen:

  • Adversary-in-the-Middle (AiTM) – Angreifer leiten den gesamten Authentifizierungsvorgang über einen Proxy-Server um und fangen dabei Session-Cookies ab. Tools wie Evilginx2 automatisieren diesen Angriff. Schutz: FIDO2/Passkeys, die an die Domain gebunden sind
  • MFA Fatigue / Push Bombing – Angreifer lösen wiederholt MFA-Push-Benachrichtigungen aus, bis der ermüdete Benutzer eine versehentlich bestätigt. Schutz: Number Matching (Zahlenabgleich) in der Push-Benachrichtigung aktivieren
  • SIM-Swapping – Angreifer übernehmen die Mobilfunknummer des Opfers durch Social Engineering beim Provider. Schutz: Keine SMS als zweiten Faktor verwenden
  • Token-Diebstahl – Nach erfolgreicher Authentifizierung werden Session-Tokens gestohlen (z.B. durch Malware). Schutz: Token-Binding, kurze Session-Laufzeiten, EDR-Lösungen

Passkeys — Die Zukunft der Authentifizierung

Passkeys ersetzen Passwörter durch kryptografische Schlüsselpaare. Der private Schlüssel verlässt nie das Gerät des Nutzers, was Phishing-Angriffe technisch unmöglich macht.

  • Phishing-sicher – Kein Geheimnis wird übertragen, das abgefangen werden könnte
  • Benutzerfreundlich – Authentifizierung per Fingerabdruck, Gesichtserkennung oder PIN
  • Keine Passwörter mehr – Kein Vergessen, kein Zurücksetzen, kein Credential Stuffing
  • Branchenstandard – Unterstützt von Apple, Google, Microsoft und dem FIDO Alliance Standard

Die Umstellung auf Passkeys sollte schrittweise erfolgen — beginnend mit kritischen Systemen und privilegierten Konten.

Technische Funktionsweise von Passkeys

Passkeys basieren auf dem WebAuthn-Standard (Web Authentication API) und nutzen asymmetrische Kryptografie. Bei der Registrierung generiert das Gerät des Benutzers ein Schlüsselpaar: Der öffentliche Schlüssel wird beim Dienst hinterlegt, der private Schlüssel verbleibt geschützt im Secure Element oder TPM-Chip des Geräts. Bei der Anmeldung signiert das Gerät eine Challenge des Servers mit dem privaten Schlüssel — der Server prüft die Signatur mit dem öffentlichen Schlüssel. Da der private Schlüssel das Gerät niemals verlässt und an die konkrete Domain des Dienstes gebunden ist, können weder Phishing noch Man-in-the-Middle-Angriffe die Authentifizierung kompromittieren.

Für Unternehmen ist besonders die Synchronisation von Passkeys über mehrere Geräte relevant. Apple iCloud Keychain, Google Password Manager und Microsoft Authenticator ermöglichen die verschlüsselte Synchronisation von Passkeys zwischen Geräten desselben Ökosystems. Für unternehmenskritische Anwendungen empfiehlt sich jedoch der Einsatz gerätegebundener Passkeys auf Hardware-Tokens, die keine Synchronisation erlauben und damit ein höheres Sicherheitsniveau bieten.

Passwortrichtlinie für Unternehmen

Eine wirksame Passwortrichtlinie sollte folgende Punkte abdecken:

  1. Mindestlänge – Mindestens 12 Zeichen, empfohlen 16+
  2. Passwort-Manager – Verpflichtende Nutzung eines zugelassenen Passwort-Managers
  3. 2FA-Pflicht – Für alle geschäftlichen Konten, insbesondere E-Mail, VPN und Cloud-Dienste
  4. Einzigartigkeit – Jedes Konto muss ein eigenes Passwort haben
  5. Kein erzwungener Wechsel – Passwörter nur bei Verdacht auf Kompromittierung ändern
  6. Verbotsliste – Bekannt kompromittierte Passwörter blockieren (Have I Been Pwned Integration)
  7. Privilegierte Konten – Erhöhte Anforderungen für Admin-Accounts (Hardware-Token, 20+ Zeichen)
  8. Schulungspflicht – Regelmäßige Security Awareness Trainings

Technische Durchsetzung der Passwortrichtlinie

Eine Passwortrichtlinie ist nur wirksam, wenn sie technisch durchgesetzt wird. Moderne Unternehmen setzen auf folgende Mechanismen:

  • Active-Directory-Gruppenrichtlinien (GPO) – Mindestlänge, Komplexitätsanforderungen und Kontosperrung nach fehlerhaften Anmeldeversuchen konfigurieren
  • Azure AD / Entra ID Password Protection – Globale und benutzerdefinierte Verbotslisten für Passwörter, die häufig in Datenlecks auftauchen
  • Conditional Access Policies – MFA-Erzwingung basierend auf Benutzerrolle, Standort, Gerätezustand und Risikobewertung
  • Passwort-Audit-Tools – Regelmäßige Prüfung vorhandener Passwort-Hashes gegen bekannte Leak-Datenbanken mit Tools wie Specops Password Auditor oder DSInternals

Passwortsicherheit und Compliance

Verschiedene Standards und Gesetze stellen Anforderungen an die Passwortsicherheit:

  • ISO 27001 – Anhang A.9 fordert Zugangssteuerung und sichere Authentifizierung
  • BSI IT-Grundschutz – ORP.4 Identitäts- und Berechtigungsmanagement
  • NIS2 – Fordert angemessene Maßnahmen für Zugangskontrolle
  • DSGVO – Art. 32 verlangt angemessene technische Maßnahmen zum Schutz personenbezogener Daten
  • TISAX – Automotive-Standard mit spezifischen Anforderungen an Passwortrichtlinien
  • PCI DSS 4.0 – Requirement 8 fordert Mindestlänge von 12 Zeichen und MFA für alle administrativen Zugänge

Häufige Angriffe auf Passwörter

  • Brute Force – Systematisches Durchprobieren aller Kombinationen. Schutz: Lange Passwörter, Account-Lockout
  • Credential Stuffing – Verwendung gestohlener Zugangsdaten aus Datenlecks. Schutz: Einzigartige Passwörter, 2FA
  • Phishing – Manipulation zur Preisgabe von Zugangsdaten. Schutz: Awareness Training, Passkeys
  • Keylogger – Aufzeichnung von Tastatureingaben durch Malware. Schutz: Endpoint Protection, Passwort-Manager
  • Shoulder Surfing – Abschauen bei der Passworteingabe. Schutz: Passwort-Manager, biometrische Authentifizierung
  • Rainbow Tables – Vorberechnete Hash-Tabellen. Schutz: Salted Hashing (bcrypt, Argon2)
  • Password Spraying – Wenige häufige Passwörter gegen viele Konten gleichzeitig testen. Schutz: Verbotslisten für gängige Passwörter, intelligente Kontosperrung
  • Dictionary Attacks – Systematisches Durchprobieren von Wörterbucheinträgen und deren Variationen. Schutz: Keine echten Wörter als Passwort, Passphrasen aus mindestens vier zufälligen Wörtern

Passwort-Hygiene im Unternehmensalltag

Neben den technischen Aspekten spielt die tägliche Praxis im Umgang mit Zugangsdaten eine wichtige Rolle. Häufige Fehler in der Praxis umfassen:

  • Passwörter auf Haftnotizen – Auch im Homeoffice ein Risiko, da Bildschirme in Videokonferenzen sichtbar sein können
  • Geteilte Konten – Mehrere Mitarbeiter nutzen dasselbe Konto, was die Nachvollziehbarkeit zerstört. Lösung: Individuelle Konten mit rollenbasierter Zugriffskontrolle
  • Private Passwörter im Unternehmen – Mitarbeiter verwenden berufliche Passwörter auch privat. Lösung: Getrennte Passwort-Manager-Vaults für beruflich und privat
  • Unsichere Passwortübermittlung – Zugangsdaten per E-Mail oder Chat senden. Lösung: Einmalige Freigabe-Links über den Passwort-Manager
  • Fehlende Offboarding-Prozesse – Beim Ausscheiden eines Mitarbeiters werden geteilte Passwörter nicht geändert. Lösung: Automatisierte Passwort-Rotation bei Personalwechsel

DATUREX GmbH — Passwortsicherheit für Ihr Unternehmen

Die DATUREX GmbH unterstützt Sie vollständig bei der Verbesserung Ihrer Passwortsicherheit:

  • Passwortrichtlinien – Entwicklung unternehmensweiter Richtlinien nach BSI/NIST-Standard
  • Passwort-Manager – Auswahl, Implementierung und Rollout (Bitwarden, 1Password, KeePass)
  • 2FA/MFA-Einführung – Implementierung von Zwei-Faktor-Authentifizierung für alle Systeme
  • Passkey-Migration – Schrittweise Umstellung auf passwortlose Authentifizierung
  • Security Awareness – Schulungen zu sicherem Umgang mit Zugangsdaten
  • ISMS-Integration – Einbettung in Ihr Informationssicherheits-Managementsystem
  • Passwort-Audit – Überprüfung bestehender Passwörter gegen Leak-Datenbanken und Compliance-Anforderungen
  • SIEM-Integration – Überwachung verdächtiger Anmeldeaktivitäten und automatische Alarmierung bei Brute-Force-Versuchen
📞 0351 / 79 59 35 13 Angebot anfragen