Starke Passwort-Policies gelten als eine erste Verteidigungslinie in jeder Organisation, um alle wichtigen Daten und Systeme vor Angreifern zu schützen. Welche Best Practices bieten sich an? Wie muss das IT-Team das Management von der Notwenigkeit zielführender Maßnahmen überzeugen?
Passwort-Policies sind das Ergebnis der zunehmenden Besorgnis über die von User erstellten leicht zu erratenden Kennwörter.
(Bild: vinnstock - stock.adobe.com)
So wirken sich unterschiedliche Anforderungen zu Länge und Komplexität bei Passwörtern auf die Brute-Force-Zeit mit einem High-End-PC aus.
(Bild: Specops)
Passwörter sind sowohl im Privat- als auch Geschäftsumfeld allgegenwärtig. Daher muss sich heute jeder eine Vielzahl von verschiedenen Kennwörtern merken, und es erscheint für die meisten fast unmöglich, sich für jedes davon einzigartige, komplexe Passwörter zu merken.
Dies führt dazu, dass Mitarbeiter sich leicht einzuprägende Passwörter ausdenken und sie auch noch für mehrere Konten wiederverwenden“, erklärt Stephan Halbmeier, Product Specialist bei Outpost24. „Kompromittierte, schwache oder wiederverwendete Passwörter sind weltweit die Hauptursache für Datenschutzverletzungen.“
Veraltete Passwortpraktiken
Das Georgia Institute of Technology fand beispielsweise in einer Studie heraus, dass viele Websites die Mindestanforderungen an Sicherheit nicht erfüllen. Beispielsweise stellen 12 Prozent der Websites überhaupt keine Anforderungen an die Passwortlänge.
Mehr als die Hälfte der untersuchten Websites akzeptierten Passwörter mit höchstens sechs Zeichen. 75 Prozent verlangten nicht einmal die Mindestlänge von acht Zeichen. Rund 12 Prozent hatten keine Längenvorgaben und 30 Prozent unterstützten weder Leerzeichen noch Sonderzeichen.
Nur 28 Prozent der untersuchten Websites setzten eine Sperrliste für Passwörter durch. Das bedeutet, dass Tausende von Websites für Hacker anfällig sind, um mit gängigen Passwörtern in Netzwerke einzudringen. Solche Angriffe werden auch als „Password-Spraying“ bezeichnet.
IT-Teams nicht immer vorbildlich
„Kompromittierte, schwache oder wiederverwendete Passwörter sind weltweit die Hauptursache für Datenschutzverletzungen.“ erklärt Stephan Halbmeier, Product Specialist bei Outpost24.
(Bild: Outpost24)
Selbst wenn Admins Vorgaben zu Passwörtern herausgeben, wird sehr häufig noch nach überholten Mustern vorgegangen. „Es wurde dabei vielfach verstanden, dass Kennwörter länger sein müssen, was mehr Spielraum beim Faktor Komplexität bei gleichbleibender Entropie erlaubt, so Halbmeier. „Lange Kennwörter sind aber allemal besser und einfacher zu merken als kürzere, die komplexer aufgebaut sind. Doch egal ob lang oder kurz, klassische Muster bei der Kennwort-Erstellung lassen sich nur durch entsprechende Sensibilisierung verringern.
Das größte Problem ist jedoch, dass sie oftmals kompromittiert sind. Hacker müssen dann nur noch mit ein paar wenigen dieser Zugangsdaten Anmeldeversuche bei gängigen Accounts durchführen. Dann ist es im Grunde nur eine Frage der Zeit, bis ein Treffer erzielt wird. Das liegt nach Halbmeier im Wesentlichen daran, dass User gerne Kennwörter mehrfach verwenden oder ihnen erlaubt wird, mit privaten, möglicherweise mit „Infostealer-Malware“ infizierten Rechnern auf Firmendaten zuzugreifen.
„Daher ist es besonders wichtig herauszufinden, ob diese Passwörter nicht bereits kompromittiert sind“, so Halbmeier. „Wenn wir beispielsweise identische Passwörter prüfen, fällt uns nicht selten auf, dass sogar die IT-Teams für verschiedene Konten die gleichen Kennwörter benutzen. Die schlimmsten Vorfälle waren für uns, als wir kompromittierte Passwörter bei Admins gefunden haben. Und dies für Konten von Systemen oder Diensten mit privilegierten Zugriffen.“
Best Practices für Passwort-Policies
In der Folge sind einige der wichtigsten Empfehlungen zum Thema Kennwort-Richtlinien zusammengestellt:
Längere und komplexere Passwörter: Hacker nutzen gerne Methoden wie beispielsweise Brute-Force-Angriffe, um Zugriff auf Konten zu erhalten. Bei einem Brute-Force-Angriff führen Hacker ein Programm aus und prüfen alle möglichen Kombinationen aus Buchstaben, Zahlen und Symbolen, bis die richtige gefunden ist. Jedes zusätzliche Zeichen erhöht die Zeit, die zum Knacken eines Passworts benötigt wird, exponentiell. Das Hinzufügen von Zahlen, Symbolen, Groß- und Kleinbuchstaben zum Passwort macht es sehr schwer, mit Brute-Force erfolgreich zu sein.
Passwörter nicht wiederverwenden: Bei groß angelegten Datendiebstählen werden E-Mail-Adressen und Passwörter häufig online weitergegeben. Wenn Anmeldeinformationen für mehrere Konten wiederverwendet werden und eines davon kompromittiert wird, können Hacker problemlos auch auf anderen Konten zugreifen.
Keine persönlichen Daten verwenden: Viele Menschen binden Namen, Geburtsdaten, Telefonnummern und andere persönliche Daten in ihren Passwörtern mit ein. Diese sind zwar leicht zu merken, aber solche Daten sind online leicht verfügbar und für Hacker zugänglich.
Passwörter überprüfen: Eine der wichtigsten Empfehlungen in den NIST SP800-63B –Passwort-Richtlinien besteht darin, die potenziellen Passwörter mit Listen zu vergleichen, die bekanntermaßen häufig verwendete, erwartete oder kompromittierte Werte enthalten.
Passwörter niemals per SMS oder E-Mail versenden: Bei der Weitergabe von Benutzernamen und Passwörter per E-Mail oder SMS können Anmelde-Informationen offengelegt werden, wenn das E-Mail-Konto oder Gerät der betreffenden Person kompromittiert wird, selbst wenn diese Person diese Daten sonst niemandem mitteilt. Es empfiehlt sich, sichere Methoden wie Passwort-Manager zu nutzen, um Passwörter weiterzugeben.
Passwort-Audits durchführen: Die Einhaltung der Kennwort-Richtlinien müssen von Zeit zu Zeit immer wieder überprüft werden. Dadurch wird sichergestellt, dass schwache Kennwörter identifiziert und sofort geändert werden.
MFA implementieren: Die Multi-Faktor-Authentifizierung (MFA) bietet zusätzliche Sicherheitsebenen. Für den Zugriff auf ein Konto sind dadurch mindestens zwei Authentifizierungsfaktoren erforderlich. Das heißt, es kommen beispielsweise ein Kennwort, ein generierter einmaliger Authentifizierungscode und ein Fingerabdruck zum Einsatz.
Passwort-Policies implementieren
Die IT-Welt steht klar hinter einer MFA-Lösung. Für eine Implementierung muss jedoch das Management ein Budget freigeben. Solche Budgets für ein verbessertes Risikomanagement erfordern je nach Unternehmensgröße und Anforderungen größere Summen.
„Somit ist es angezeigt, dass die IT nicht nur mit Mitgliedern der Geschäftsführungsebene kommunizieren sollte, die auch letztlich Entscheidungen treffen können, sondern auch in der Lage sein muss, mögliche Risiken en detail zu qualifizieren und quantifizieren“, betont Halbmeier. „Dies sollte in einer für das Management angepassten und möglichst ‚technisch-reduzierten‘ Präsentation erfolgen. Das heißt, die IT muss die Sprache des Managements sprechen!“
Dabei kann die IT-Abteilung laut Halbmeier vieles falsch machen. Beispielsweise wird dafür gerne ein Horrorszenario herangezogen, das durchaus plausibel sein kann, dagegen aber selten eintritt. „Auf diese Weise wird mit Angst versucht, ein Budget zu erhalten“, so Halbmeier. „Eine solche Vorgehensweise ist dann häufig zum Scheitern verurteilt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Fazit
Die genannten Empfehlungen stellen einen guten Ausgangspunkt für die Gewährleistung der Informationssicherheit dar. Halbmeier rät mindestens zu einer 2-Faktoren-Athentifizierung – auch im AD. Bei einer Cloud-Lösung muss aber der zweite Faktor in jedem Falle gesetzt sein.
Wenn MFA aus Kostengründen nicht möglich ist, müssen die Kennwörter entsprechend stark sein. Dafür ist sicher zu stellen, dass sie nicht kompromittiert, also nicht erratbar sind. Damit sind schon mal viele Probleme vom Tisch.
Benennung der größten Risikofaktoren. Beispielsweise Ransome oder Datenabfluss? Jedes Unternehmen muss das jedoch selber bewerten. Es gibt keine allgemeingültige Empfehlung. Für Websites können Password-Manager zum Einsatz kommen. Aber die wichtigsten Passwörter muss der User immer im Kopf haben.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f0/06/f006c07ee7dff98aa187192876d10df3/0127446601v2.jpeg "Gestohlene Zugangsdaten werden in Foren des Darknets gehandelt, oft bevor betroffene Unternehmen überhaupt von dem Leck erfahren. (Bild: © Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/7e/b37eda00b5f1b9844dc7c3981f2fb98a/0124976389v2.jpeg "Cyberkriminelle, die auf fortschrittliche Taktiken setzen, erscheinen besonders bedrohlich und einschüchternd. Warum trotzdem kein Grund zu übertriebener Sorge besteht, erklärt dieser Beitrag. (Bild: © Gorodenkoff - stock.adobe.com)")