Passwörter stellen weiterhin einen zentralen Bestandteil der Zugriffssicherung auf IT-Systeme, Online-Dienste und digitale Kommunikationsplattformen dar. Am 1. Februar wird jährlich der sogenannte „Ändere-dein-Passwort-Tag“ begangen, der zum bewussten Umgang mit Zugangsdaten sensibilisieren soll.
Wählen Sie stets starke Passwörter in Ihrem Unternehmen
Das Bundesamt für Sicherheit in der Informationstechnik weist ausdrücklich darauf hin, dass klassische Passwortpraktiken den aktuellen Bedrohungslagen nicht mehr gerecht werden. Damit sind insbesondere zu kurze, leicht merkbare Passwörter oder pauschale Wechselintervalle für Kennwörter gemeint. Vor diesem Hintergrund möchten wir beleuchten, auf welchen Wegen Passwörter in falsche Hände geraten, warum deren Qualität entscheidend ist und welche zeitgemäßen Maßnahmen geeignet sind, um ein angemessenes Schutzniveau zu gewährleisten.
Wie Phishing und Malware Ihre Passwörter abgreifen
Ein wesentlicher Angriffsvektor ist nach wie vor Phishing. Dabei werden Empfängerinnen und Empfänger gezielt durch manipulierte E-Mails, Kurznachrichten oder gefälschte Webseiten dazu verleitet, ihre Zugangsdaten einzugeben. Diese Angriffe sind häufig professionell gestaltet und nutzen aktuelle Anlässe oder bekannte Absender, um Vertrauen zu erzeugen.
Schadprogramme (Malware) stellen ein erhebliches Sicherheitsrisiko für IT-Systeme dar. Insbesondere moderne Ransomware-Varianten beschränken sich nicht auf die reine Verschlüsselung von Daten, sondern gehen häufig mit zusätzlichen Aktivitäten zur Kompromittierung von Benutzerkonten einher. Dazu zählen unter anderem das Ausspähen von Zugangsdaten durch Keylogging sowie der Zugriff auf im System oder in Anwendungen gespeicherte Anmeldeinformationen. In der Praxis werden diese Techniken häufig kombiniert, um eine möglichst weitreichende Übernahme von IT-Systemen und Benutzerkonten zu erzielen.
Starke Passwörter sind ein wichtiger Schutz gegen Kontoübernahmen
Schwache Passwörter zählen zu den häufigsten Sicherheitslücken. Kurze, leicht zu erratende oder mehrfach genutzte Passwörter können mit geringem technischem Aufwand automatisiert ermittelt oder aus bereits bekannten Datenlecks abgeleitet werden.
Ein starkes Passwort erhöht den erforderlichen Rechenaufwand für Angriffe erheblich und wirkt damit als wirksame Hürde gegen unbefugte Zugriffe. Darüber hinaus sind Passwörter häufig der erste Schutzmechanismus, auf den weitere Sicherheitsmaßnahmen aufbauen. Wird diese erste Verteidigungslinie überwunden, können Angreifer oftmals weitreichende Schäden verursachen, etwa durch Identitätsmissbrauch, Datenabfluss oder die Übernahme weiterer Systeme.
Wie wählen Sie ein möglichst starkes Passwort?
Aus fachlicher Sicht ist die Länge eines Passworts ein entscheidender Sicherheitsfaktor. Lange Zeichenfolgen sind deutlich widerstandsfähiger gegen systematisches Erraten als kurze, komplex wirkende Passwörter. Bewährt haben sich individuelle Passphrasen, die aus mehreren Elementen bestehen und keinen offensichtlichen Bezug zur Person oder zum Nutzungskontext haben.
Alternativ können aus einem selbst gewählten Satz charakteristische Zeichenfolgen gebildet werden, indem beispielsweise einzelne Buchstaben, Zahlen und Sonderzeichen kombiniert werden. Wichtig ist, dass das Passwort einzigartig ist und nicht aus bekannten Mustern, Namen oder allgemein gebräuchlichen Begriffen besteht.
Warum starke Passwörter wichtiger sind als regelmäßiger Passwortwechsel
Der lange propagierte regelmäßige und anlasslose Passwortwechsel gilt nach aktueller fachlicher Bewertung nicht mehr als zeitgemäße Schutzmaßnahme. Das BSI weist ausdrücklich darauf hin, dass pauschale Wechselintervalle häufig kontraproduktiv sind. In der Praxis führen sie dazu, dass Passwörter lediglich geringfügig verändert oder insgesamt einfacher gewählt werden, um sie sich besser merken zu können.
Ein Passwortwechsel ist daher primär dann angezeigt, wenn ein konkreter Sicherheitsvorfall bekannt wird oder der begründete Verdacht besteht, dass Zugangsdaten kompromittiert wurden. Der Fokus sollte stattdessen auf der Qualität der Passwörter und auf ergänzenden Sicherheitsmechanismen liegen.
Starke Passwörter werden mit 2FA, Passwort-Managern und Passkeys noch sicherer
Ein wirksames Sicherheitsniveau lässt sich nur durch ein Zusammenspiel mehrerer Maßnahmen erreichen. Die Zwei-Faktor-Authentifizierung stellt hierbei einen wesentlichen Baustein dar, da selbst ein bekannt gewordenes Passwort allein nicht mehr für einen Zugriff ausreicht.
Der Einsatz von Passwort-Managern ermöglicht es, für jedes Benutzerkonto ein individuelles, starkes Passwort zu verwenden, ohne dass diese manuell gespeichert oder wiederverwendet werden müssen. Ergänzend sorgen verbindliche Passwort-Regeln für ein einheitliches Sicherheitsniveau innerhalb von Organisationen.
Zunehmend gewinnen zudem Passkeys an Bedeutung, die auf kryptografischen Verfahren beruhen und klassische Passwörter perspektivisch ersetzen können. Sie reduzieren das Risiko von Phishing erheblich, da keine geheimen Zeichenfolgen mehr eingegeben werden müssen.
Starke Passwörter senken das Risiko von Missbrauch nachhaltig
Die Bewertung von Sicherheitsbehörden und Verbraucherschutzstellen zeigt deutlich, dass traditionelle Passwortregeln überholt sind. Entscheidend ist nicht der regelmäßige Wechsel, sondern die Kombination aus langen, individuellen Passwörtern und ergänzenden Schutzmechanismen. Organisationen und Nutzerinnen bzw. Nutzer sind gut beraten, ihre Passwortstrategie an den aktuellen Stand der Technik anzupassen und sich an den Empfehlungen des BSI zu orientieren. Nur so lässt sich das Risiko von Passwortmissbrauch nachhaltig reduzieren und ein angemessenes Sicherheitsniveau gewährleisten.
