Während früher das regelmäßige Ändern von Passwörtern als Goldstandard galt, rät das BSI inzwischen davon ab. Stattdessen heißt es: Qualität vor Häufigkeit.
Was bedeutet das konkret für Unternehmen? Wie sollten Passwort-Richtlinien heute aussehen – und wo braucht es mehr als nur ein Passwort? Wir klären auf.
BSI ändert Kurs: Kein pauschaler Passwortwechsel mehr
Bereits seit einiger Zeit verzichtet das BSI auf die Empfehlung zum regelmäßigen Passwortwechsel – trotzdem sind viele Unternehmensrichtlinien noch nicht auf dem aktuellen Stand.
„Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.“
(Quelle: BSI-Grundschutz-Kompendium, Stand 2023)
Ein regelmäßiger präventiver Wechsel kann mehr schaden als nützen. Warum?
- Er führt zu vorhersehbaren Mustern („Winter2024“, „Passwort5“)
- Er erhöht das Risiko der Passwort-Wiederverwendung
- Er verursacht unnötigen Aufwand im IT-Support
Die Empfehlung heute: Starke Passwörter – und diese nur bei tatsächlichem Bedarf ändern.
Lassen Sie sich unverbindlich beraten!
Sie haben Fragen oder möchten die beste Lösung für Ihr Unternehmen finden? Unsere Experten stehen Ihnen zur Seite.
Was macht ein gutes Passwort aus?
Das hängt vom Schutzbedarf ab. Die ISO/IEC 27001 empfiehlt eine Risikobewertung pro Anwendung. Beispiel:
- Kritische Systeme mit hoher Vertraulichkeit (z. B. Kundendatenbanken): lange, komplexe Passwörter + Zwei-Faktor-Authentifizierung
- Systeme mit hoher Verfügbarkeit (z. B. medizinische Geräte in Notaufnahmen): pragmatische Lösung mit zusätzlichen Schutzmaßnahmen
Unternehmen sollten Komplexitätsregeln flexibel und risikobasiert gestalten – statt auf starre Pauschalen zu setzen.
So gestalten Sie eine moderne Passwort-Richtlinie
Ein aktuelles Passwortkonzept sollte folgende Anforderungen erfüllen – nach den aktuell gültigen Empfehlungen des BSI:
- Ein Passwort darf nicht mehrfach verwendet werden
- Passwörter müssen geheim gehalten und unbeobachtet eingegeben werden
- Kein Speichern auf Funktionstasten von Tastatur oder Maus
- Schriftlich nur in Ausnahmefällen und sicher verwahrt
- Einsatz von Passwort-Managern wird empfohlen
Zusätzlich sollten Awareness-Maßnahmen in der Belegschaft verankert werden, um z. B. Phishing-Angriffe frühzeitig zu erkennen.
Passwort allein reicht nicht: MFA als neuer Standard
Besonders bei sensiblen Anwendungen sollte ein Passwort niemals das einzige Schutzmerkmal sein. Multi-Faktor-Authentifizierung (MFA) ist heute unverzichtbar.
Effektive zweite Faktoren sind:
- FIDO-Hardware-Token
- Biometrie (z. B. Fingerabdruck, Gesichtserkennung)
- App-basierte Authentifizierung (z. B. OTP, Push-Bestätigung)
- Smartcards mit PIN
Standards wie TISAX oder ISO 27001 verlangen explizit MFA für schutzbedürftige Daten.
Verdachtsfall? Reagieren – nicht rotieren
Wenn ein Passwort kompromittiert wurde oder ein Verdacht besteht, muss es sofort geändert werden.
Typische Anzeichen für ein kompromittiertes Passwort oder einen Sicherheitsvorfall sind zum Beispiel:
- Auffällige Login-Versuche oder fremde IP-Adressen
- Phishing-E-Mails mit echten persönlichen Daten
- Geräteinfektion durch Malware
Ein gutes Informationssicherheits-Managementsystem (ISMS) sorgt dafür, dass solche Vorfälle erkannt und Maßnahmen automatisiert eingeleitet werden können.
Fazit: Passwortsicherheit im Jahr 2025
Das BSI hat seine Strategie angepasst – und Unternehmen sollten es auch.
Die Anforderungen an Passwortsicherheit haben sich nicht verringert, sie sind differenzierter und praxistauglicher geworden:
- Weg vom blinden Passwortwechsel
- Hin zu starken, individuellen Passwörtern mit ergänzender Mehr-Faktor-Authentifizierung
- Monitoring, Awareness und passgenaue Sicherheitsmaßnahmen je nach Anwendungsfall
Lassen Sie sich unverbindlich beraten!
MTRIX unterstützt Sie auf dem Weg zu einer modernen Authentifizierungsstrategie – von der Analyse über die Auswahl bis zur Implementierung und dem langfristigen Support.
Auch die sichere, vorkonfigurierte Verteilung von Hardware-Tokens an Mitarbeitende und Partner übernehmen wir für Sie.