Passwörter: Neue BSI-Empfehlung sorgt für Umdenken
Im aktuellen Grundschutz-Kompendium 2024 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verzichtet die Behörde erstmals auf die bisherige Empfehlung zur regelmäßigen Änderung von Passwörtern sowie zu deren Komplexitätsstandards. Damit folgt das BSI dem internationalen Kurs, unter anderem des US-amerikanischen National Institute of Standards and Technology (NIST), und orientiert sich an aktuellen Erkenntnissen zur Praxistauglichkeit solcher Vorgaben.
Veraltete Vorgaben aus der Zeit der 1980er
Die alte Empfehlung des NIST aus dem Jahr 2003 basierte auf Annahmen über Nutzerverhalten aus den 1980er Jahren. Heute verwalten viele private und geschäftliche Nutzer Dutzende verschiedener Passwörter. Die Empfehlung, alle 90 Tage komplexe Zeichenkombinationen zu ändern, wurde vielfach als unpraktisch eingestuft und kann unter Umständen sogar kontraproduktiv wirken.
Studien zeigen, dass zu häufige Passwortwechsel ohne tatsächlichen Anlass eher zu einer Verwässerung der Sicherheitsstrategie führen. Nutzer wählen tendenziell einfachere Varianten oder schreiben Zugangsdaten auf – ein bekanntes Einfallstor für Angreifer.
Komplexität war gestern, Länge ist heute
Laut BSI sollte heute der Fokus auf der Länge des Passworts liegen. Statt komplexer Zeichen wird empfohlen, ganze Sätze zu verwenden, die schwer erratbar sind. Laut Studien kann sogenanntes „Target Guessing“ durch öffentlich zugängliche Informationen wie Social Media Profile die Erfolgswahrscheinlichkeit von Angriffen deutlich erhöhen.
Das BSI rät daher zu einem Paradigmenwechsel: Ein langes, individuell geprägtes Passwort bietet in der Praxis mehr Sicherheit als ein kurzes, schwer merkbares mit Sonderzeichen. Wichtig bleibt, dass es nicht offensichtlich ist – etwa der Name des Haustiers oder Geburtsdaten sind ungeeignet.
Ein Passwort pro Account
Das BSI empfiehlt weiterhin, für jeden Dienst ein separates Passwort zu nutzen. Die Wiederverwendung identischer Zugangsdaten erhöht das Risiko deutlich. Auch das unverschlüsselte Speichern – etwa auf Notizzetteln – sollte vermieden werden. Als technische Unterstützung gelten Passwortmanager als geeignete Lösung. Tipps zur sicheren Integration finden Sie auch: Hier
Passwortrichtlinien sinnvoll umsetzen
Viele Unternehmen setzen auf eigene Richtlinien zur Passwortsicherheit. In der Praxis werden diese zunehmend automatisiert in IT-Systeme integriert, etwa durch Richtlinien in der Benutzerverwaltung oder technische Umsetzung in Passwortmanagern. Diese Systeme verhindern aktiv Verstöße gegen Vorgaben wie Länge oder Wiederverwendung.
In der Umsetzung sollten jedoch auch die individuellen Risiken des Unternehmens berücksichtigt werden. Passwortrichtlinien, die zu rigide sind, werden in der Regel umgangen. Ein praxisnaher Mittelweg aus Usability und Sicherheit ist daher essenziell.
Hinweis: Der Zugang zum Passwortmanager muss besonders geschützt sein, da bei Verlust oder Kompromittierung ein vollständiger Zugang zu sensiblen Daten möglich ist.
Zwei-Faktor-Authentifizierung (2FA) als zusätzliche Absicherung
Zusätzlich zur Wahl sicherer Passwörter empfiehlt das BSI in sicherheitsrelevanten Bereichen die Einführung einer Zwei-Faktor-Authentifizierung (2FA). Sie kann den Zugriffsschutz erheblich erhöhen, insbesondere bei Zugriffen auf Cloud-Dienste oder kritische Anwendungen.
Passwörter als potenzielle Schwachstelle
Laut einer Studie des Verizon Data Breach Investigations Report von 2017 waren rund 80 % der sicherheitsrelevanten Vorfälle mit kompromittierten Zugangsdaten verbunden. Dies unterstreicht die Relevanz individueller, starker Passwörter sowie ergänzender Schulungs- und Sensibilisierungsmaßnahmen in Unternehmen.
Empfehlung für Unternehmen
- Keine Mehrfachverwendung von Passwörtern
- Lange, aber leicht zu merkende Sätze statt schwer merkbarer Zeichenfolgen
- Verwendung zertifizierter Passwortmanager
- Einsatz von 2FA bei besonders sensiblen Zugriffen
- Passwortrichtlinien systemisch im Unternehmen verankern – z. B. über ein ISMS
- Regelmäßige Awareness-Schulungen und interne Tests
Fazit
Die neue BSI-Empfehlung zum Umgang mit Passwörtern steht exemplarisch für den Wandel in der Cybersicherheitsstrategie. Weniger Komplexität, mehr Praxistauglichkeit, höhere individuelle Verantwortung. Unternehmen sind gut beraten, diese Entwicklung aufzugreifen und gemeinsam mit ihrer IT- und Datenschutzabteilung sichere Prozesse zu etablieren. Auch bei kleineren Betrieben mit hohem Digitalisierungsgrad sollte das Passwortkonzept regelmäßig auf Schwachstellen geprüft und dokumentiert werden.
Weiterführende Informationen
- BSI: Empfehlungen für sichere Passwörter
- NIST Special Publication 800-63B
- ISO/IEC 27001 Norm für Informationssicherheit
Disclaimer:
Die von uns verwendeten Links sind am 22.4.2025 gesetzt worden und enthielten zu diesem Zeitpunkt keine rechtswidrigen Inhalte. Sie können nach diesem Datum jedoch zu fremden Inhalten führen, die wir nicht regelmäßig überprüfen können und für die wir keine Verantwortung übernehmen.