Eine Passwort-Richtlinie sollte es Angreifern erschweren, Konten zu kompromittieren, ohne sicheres Verhalten unnötig zu erschweren. Die besten Richtlinien sind klar, praxisnah und auf die tatsächliche Arbeitsweise von Menschen abgestimmt. Sie fördern lange, einzigartige Passwörter, unterstützen Passwort-Manager, verlangen Multi-Faktor-Authentifizierung, wo sinnvoll, und beseitigen veraltete Regeln, die Nutzer zu vorhersehbarem Verhalten verleiten.
\nDieser Artikel erklärt die Do's und Don'ts einer modernen Passwort-Richtlinie, was zu vermeiden ist, welche Best Practices zu beachten sind und bietet eine Copy-Paste-Vorlage, die Sie für Ihr Unternehmen anpassen können.
\nEine Passwort-Richtlinie ist eine Sammlung von Regeln, die definiert, wie Passwörter erstellt, gespeichert, verwendet, geteilt, geändert und geschützt werden. Sie gilt für Mitarbeitende, Auftragnehmer, Administratoren, Servicekonten und teils auch für Kunden – je nach betreffenden Systemen.
\nEine gute Passwort-Richtlinie sollte praktische Fragen beantworten:
\nDas Ziel ist nicht, das komplizierteste Regelwerk zu schaffen. Das Ziel ist, das wirkliche Risiko zu senken.
\nLänge ist einer der stärksten Schutzmechanismen gegen Rateangriffe und erraten von Passwörtern. Eine einheitliche, organisationsweite Mindestlänge ist für Benutzer einfacher verständlich und für IT-Teams leichter durchzusetzen als verschiedene Regeln für normale Nutzer, Administratoren oder Sonderfälle. Ein praktischer Standard ist mindestens 16 Zeichen für alle menschlichen Nutzerkonten. Länger ist besser, insbesondere, wenn Benutzer Passwort-Manager oder zufällig erzeugte Passphrasen nutzen.
\nBenutzer sollten Passwörter erstellen dürfen, die deutlich länger als das Mindestmaß sind. Vermeiden Sie niedrige Maximalgrenzen wie 16 oder 20 Zeichen. Ein Maximum von mindestens 64 Zeichen ist ein sinnvoller Ausgangspunkt und viele Systeme unterstützen noch mehr sicher.
\nPassphrasen sollen erlaubt sein, sofern sie lang sind und nicht auf bekannten Zitaten, Songtexten, Firmennamen oder vorhersehbaren Phrasen basieren. Zum Beispiel ist eine Passphrase aus mehreren zufälligen Wörtern in der Regel besser als ein kurzes Passwort mit erzwungenen Ersetzungen.
\nJedes Konto sollte ein einzigartiges Passwort besitzen. Die Wiederverwendung von Passwörtern ist einer der Hauptgründe, warum ein Leak bei einem Dienst schnell zur Übernahme anderer Konten führt. Ein Passwort-Manager macht einzigartige Passwörter praktikabel, denn Nutzer müssen sich nicht mehr alle Zugangsdaten merken.
\nIhre Richtlinie sollte ausdrücklich die Verwendung zugelassener Passwort-Manager erlauben und fördern. Benutzer sollten Passwörter in Login-Formulare einfügen, die Autofill-Funktion und die Generierung zufälliger Passwörter nutzen dürfen. Das Blockieren von Einfügefunktionen wirkt zwar schützend, behindert aber oft die sinnvolle Nutzung von Passwort-Managern.
\nPasswörter sollen abgelehnt werden, wenn sie in bekannten Leak-Listen, häufig genutzten Passwort-Listen oder organisationsspezifischen Verbotslisten stehen. Das ist deutlich hilfreicher, als Benutzer zu zwingen, einen Großbuchstaben, eine Zahl und ein Sonderzeichen einzubauen.
\nMulti-Faktor-Authentifizierung soll überall aktiviert werden, wo es technisch möglich ist, besonders für Administratoren, Zugriffe von außen, Cloud-Dienste, E-Mail, Passwort-Manager, Finanzsysteme und andere kritische Systeme. MFA ersetzt keine starken Passwörter, verringert jedoch das Risiko gestohlener Zugangsdaten erheblich.
\nBevorzugen Sie phishing-resistente MFA wie Passkeys, Hardware-Sicherheitsschlüssel oder Plattform-Authentifikatoren. App-basierte Authenticatoren sind in der Regel besser als SMS. SMS-basierte MFA darf nicht verwendet werden, wenn eine andere MFA-Variante technisch möglich ist, weil Telefonnummern abgefangen, durch SIM-Swapping erlangt, portiert oder über Verfahren zur Konto-Wiederherstellung missbraucht werden können.
\nDas ist keine Theorie. 2018 berichtete Reddit, dass Angreifer SMS-basierte Zwei-Faktor-Authentifizierung abgefangen und Zugriff auf interne Systeme erhalten hatten: https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/. 2021 meldete Coinbase, dass Angreifer Kryptowährungen von mindestens 6.000 Kunden stahlen, nachdem sie Zugangsdaten und eine Schwachstelle im SMS-Kontoerholungsprozess von Coinbase ausnutzten: https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/.
\nPasswörter müssen geändert werden, wenn konkrete Hinweise oder fundierter Verdacht auf eine Kompromittierung bestehen. Beispiele sind Phishing, Malware auf dem Gerät eines Nutzers, Offenlegung der Anmeldedaten bei einem Datenleck, verdächtige Anmeldeaktivitäten oder unbeabsichtigte Weitergabe.
\nGeteilte Passwörter sollten, wo immer möglich, zugunsten individueller Konten vermieden werden. Wenn geteilte Zugangsdaten unvermeidbar sind, sollten sie in einem zugelassenen Passwort-Manager gespeichert, der Zugang auf autorisierte Personen beschränkt und das Teilen – wo möglich – protokolliert werden.
\nDas Zurücksetzen des Passworts ist häufig die größte Schwachstelle in der Kontosicherheit. Prozesse zum Zurücksetzen sollten die Identität verifizieren, Links rasch ablaufen lassen, Einmal-Tokens verwenden und Nutzer informieren, wenn ihr Passwort geändert wurde.
\nRegelmäßige Passwortwechsel alle 30, 60 oder 90 Tage führen oft zu unsicheren Passwörtern. Benutzer neigen dazu, einfache, vorhersehbare Änderungen vorzunehmen, etwa eine Zahl anzuhängen oder eine Jahreszeit zu wechseln. NISTs Digital Identity Guidelines lehnen regelmäßige Passwortwechsel ab und verlangen Änderungen nur bei Verdacht auf Kompromittierung. Siehe Abschnitt 3.1.1.2: https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver. Verlangen Sie Passwortänderungen nach vermuteter Kompromittierung, bei Rollenwechseln, Konto-Wiederherstellung oder wenn ein Passwort nicht mehr den Anforderungen entspricht.
\nRegeln wie „muss Großbuchstaben, Kleinbuchstaben, Zahl und Sonderzeichen enthalten“ garantieren keine Stärke. Password1! erfüllt viele Komplexitätsregeln, bleibt aber schwach. Priorisieren Sie Länge, Einzigartigkeit, Zufälligkeit und Prüfung gegen Leaks.
Wenn das Einfügen von Passwörtern blockiert wird, wird die Verwendung von Passwort-Managern erschwert. Nutzer weichen oft auf kürzere, leichter tippbare Passwörter aus. Erlauben Sie das Einfügen und Autofill, außer es gibt einen spezifischen, dokumentierten sicherheitsrelevanten Grund dagegen.
\nPassworthinweise geben oft zu viel preis. Wenn ein Benutzer die Antwort vom Hinweis weiß, kann ein Angreifer es möglicherweise auch erraten. Nutzen Sie stattdessen sichere Prozesse zum Zurücksetzen.
\nPasswörter dürfen niemals im Klartext oder mit reversibler Verschlüsselung gespeichert werden. Passwörter müssen mit einem modernen, langsamen, gesalzenen Passwort-Hashing-Algorithmus gespeichert werden, wie Argon2id, bcrypt, scrypt oder PBKDF2, abhängig von System und Regulatorik.
\nSchnelle, allgemeine Hash-Algorithmen wie MD5, SHA-1, SHA-256 oder SHA-512 sind alleine nicht geeignet. Sie sind auf Geschwindigkeit ausgelegt, was Brute-Force-Angriffe nach einem Datenbank-Leak erleichtert. Mehr Hintergründe im Artikel über die Evolution des Passwort-Hashings.
\nPasswörter dürfen nicht per E-Mail, Chat, Tickets, Dokumente oder Screenshots verschickt werden. Nutzen Sie zur Freigabe ein Passwort-Manager-System mit sicheren Freigabeeinstellungen und Zugriffskontrolle.
\nPasswörter dürfen keine Namen, Geburtstage, Firmennamen, Tastenmuster, Wiederholungen oder gängige Ersetzungen wie @ für a oder 0 für o enthalten. Angreifer testen diese Muster zuerst.
Verwenden Sie verständliche Anforderungen:
\nAdministrator-, Service- und Produktionskonten verlangen strengere Kontrolle. Verlangen Sie stärkere Passwörter, MFA, begrenzten Zugriff, Monitoring und sofortige Änderung der Zugangsdaten bei Rollenwechsel.
\nStarke Passwörter ersetzen keine angemessene Rechtevergabe. Nutzer sollten nur auf die Systeme und Geheimnisse Zugriff haben, die für ihre Rolle notwendig sind.
\nUngewöhnliche Login-Muster, unmögliche Reisen, wiederholte Fehlversuche, Anmeldeversuche aus neuen Ländern oder außerhalb der üblichen Arbeitszeiten sollten erkannt werden. Die Passwort-Richtlinie wird durch Monitoring und Notfallprozesse gestützt.
\nSchulungen sollen auf Passwort-Wiederverwendung, Phishing, gefälschte Login-Seiten, MFA-Fatigue, sicheres Teilen und das Melden von Verdacht eingehen. Machen Sie sicheres Verhalten einfach, ohne Nutzende zu beschuldigen.
\nEine Passwort-Richtlinie sollte verständlich und umsetzbar sein. Wenn sie zu lang, ungenau oder zu streng ist, umgehen Menschen sie. Die beste Richtlinie ist eine, die tatsächlich durchsetzbar und wahrnehmbar ist.
\nNutzen Sie folgende Vorlage als Ausgangspunkt. Passen Sie die Inhalte in eckigen Klammern an Ihr Unternehmen, Ihre Systeme, Ihr Risikoprofil und rechtliche Anforderungen an.
\nPasswort-Richtlinie\n\nVersion: [1.0]\nVerantwortlich: [Security / IT-Abteilung]\nGültig ab: [JJJJ-MM-TT]\nÜberprüfungszyklus: [Alle 12 Monate]\n\n1. Zweck\n\nDiese Richtlinie definiert die Anforderungen für die Erstellung, Nutzung, Speicherung, Weitergabe und Änderung von Passwörtern in [Organisationsname]. Sie dient der Risikominimierung von unbefugtem Zugriff, Diebstahl von Zugangsdaten, Kontenübernahme und Datenverlust.\n\n2. Geltungsbereich\n\nDiese Richtlinie gilt für alle Mitarbeitenden, Auftragnehmer, temporäre Beschäftigte, Dienstleister und Nutzer, die Zugriff auf Systeme, Anwendungen, Netzwerke, Cloud-Dienste oder Daten von [Organisationsname] haben.\n\nSie gilt für Standardnutzer-, privilegierte, Dienst- und gemeinsame Konten sowie alle Systeme, bei denen Passwörter zur Authentifizierung genutzt werden.\n\n3. Anforderungen an die Passwort-Erstellung\n\nAlle Passwörter müssen folgende Anforderungen erfüllen:\n\n- Nutzerkonten müssen Passwörter mit mindestens 16 Zeichen verwenden.\n- Passwörter müssen einzigartig sein und dürfen nicht für mehrere Arbeits- oder Privatkonten wiederverwendet werden.\n- Passwörter dürfen keine Namen, Benutzernamen, Firmennamen, Geburtstage, Tastenmuster, Wiederholungen oder anderweitig leicht erratbare Informationen enthalten.\n- Passwörter dürfen nicht auf gängigen Phrasen, Zitaten, Songtexten oder vorhersehbaren Ersetzungen basieren.\n- Passwörter dürfen nicht in bekannten Leak-Listen oder gängigen Passwortlisten enthalten sein.\n- Passwörter dürfen Leerzeichen, Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben beinhalten.\n- Passphrasen sind erlaubt, wenn sie lang, einzigartig und nicht vorhersehbar oder öffentlich sind.\n\n4. Passwort-Manager\n\n[Organisationsname] verlangt oder empfiehlt dringend die Verwendung eines zugelassenen Passwort-Managers für Erstellung, Speicherung und Teilen von Passwörtern.\n\nNutzer können den Passwortgenerator, Autofill- und Copy-Paste-Funktionalität des zugelassenen Passwort-Managers nutzen. Passwörter dürfen nicht in Browsern, Tabellen, Dokumenten, Notiz-Apps, E-Mails, Chats, Screenshots oder nicht zugelassenen Tools gespeichert werden.\n\n5. Multi-Faktor-Authentifizierung\n\nMulti-Faktor-Authentifizierung ist überall zu aktivieren, wo es technisch möglich ist, insbesondere:\n\n- E-Mail-Konten\n- Remote-Zugriffssysteme\n- Passwort-Manager-Konten\n- Cloud-Dienste\n- Administratorkonten\n- Finanz-, HR- und andere sensible Systeme\n- Alle als [vertraulich / kritisch] klassifizierten Systeme\n\nWo möglich, müssen Benutzer phishing-resistente MFA wie Passkeys, Hardware-Sicherheits-Schlüssel oder Plattform-Authentifikatoren verwenden. Authenticator-Apps sind besser als SMS. SMS-basierte MFA ist verboten, sofern eine stärkere MFA technisch verfügbar ist und darf nur dann zum Einsatz kommen, wenn nichts anderes möglich ist.\n\n6. Passwortänderungen\n\nPasswörter müssen unverzüglich geändert werden, wenn:\n\n- Ein Passwort als kompromittiert bekannt oder verdächtigt wird.\n- Ein Benutzer ein Passwort auf einer verdächtigen Phishing-Seite eingegeben hat.\n- Das Passwort einer unbefugten Person bekannt wurde.\n- Malware oder unautorisierter Zugriff auf dem Gerät des Benutzers erkannt wurde.\n- Das Passwort in einem bekannten Datenleck erscheint.\n- Die Rolle bzw. der Beschäftigungsstatus eines privilegierten Nutzers sich ändert.\n- IT oder Security dazu auffordern.\n\nRegelmäßige Passwortänderungen sind nicht erforderlich, außer gesetzliche Vorschriften, Verträge oder Systembeschränkungen verlangen dies. Passwörter dürfen nicht durch kleine, vorhersehbare Änderungen am vorherigen Passwort aktualisiert werden.\n\n7. Passwort-Weitergabe\n\nPasswörter dürfen nicht per E-Mail, Chat, Ticket, Dokument, Screenshot, Telefon oder mündlich weitergegeben werden.\n\nGemeinsame Zugangsdaten sind nur zulässig, wenn individuelle Konten technisch unmöglich sind oder explizit durch [Security / IT] genehmigt wurden. Solche Zugangsdaten müssen im zugelassenen Passwort-Manager gespeichert und mit Zugriffsbeschränkung auf autorisierte Nutzer ausschließlich dort geteilt werden.\n\n8. Privilegierte Konten\n\nPrivilegierte Konten müssen einzigartige Passwörter verwenden, die nicht für andere Nutzerkonten gelten. Für privilegierte Konten muss MFA wo technisch möglich verwendet und regelmäßig überprüft werden.\n\nPasswörter für privilegierte Konten müssen gewechselt werden, wenn Administratoren das Unternehmen verlassen, die Rolle wechseln, Interna keinen Zugang mehr benötigen oder ein Verdacht auf Kompromittierung besteht.\n\n9. Dienstkonten und Anwendunggeheimnisse\n\nPasswörter von Dienstkonten, API-Keys, Tokens und Anwendunggeheimnisse müssen in einem zugelassenen Geheimnismanagement-System oder Passwort-Manager gespeichert werden.\n\nDienstkonto-Zugangsdaten dürfen nicht im Quellcode, Konfigurationsdateien, Images, Dokumentationen oder Skripten abgelegt werden, es sei denn, sie sind durch ein genehmigtes Geheimnismanagement abgesichert.\n\n10. Passwort-Zurücksetzen und Kontowiederherstellung\n\nZurücksetz-Prozesse müssen die Identität des Nutzers verifizieren, bevor Zugriff gewährt wird. Links und temporäre Passwörter müssen einmalig, kurzlebig und nur über genehmigte Kanäle versendet werden.\n\nNutzer werden beim Zurücksetzen oder Ändern des Passworts informiert. Temporäre Passwörter sind beim ersten Login zwingend zu ändern.\n\n11. Technische Maßnahmen\n\nSysteme, die Passwörter speichern oder verarbeiten, müssen:\n\n- Niemals Passwörter im Klartext speichern.\n- Für Passwörter einen zugelassenen modernen gesalzenen Passwort-Hashing-Algorithmus nutzen: PBKDF2, scrypt, bcrypt oder Argon2.\n- MD5, SHA-1, SHA-256, SHA-512 oder andere schnelle, allgemeine Hashing-Algorithmen nicht alleine als Passwort-Hashing verwenden.\n- Authentifizierungsendpunkte mit Rate-Limiting o. Ä. absichern.\n- Häufig genutzte, schwache und bekannte kompromittierte Passwörter ablehnen.\n- Nutzern das Einfügen von Passwörtern aus Passwort-Managern erlauben.\n- Passwörter mit mindestens 64 Zeichen Länge unterstützen, sofern technisch möglich.\n- Sicherheitsrelevante Authentifizierungsereignisse protokollieren.\n\n12. Melden verdächtiger Vorfälle\n\nNutzer müssen vermutete Passwortkompromittierung, Phishing, ungewöhnliche Login- oder MFA-Aufforderungen oder unbeabsichtigte Passwortweitergabe umgehend an [Security / IT-Kontakt] melden.\n\n13. Ausnahmen\n\nAusnahmen von dieser Richtlinie sind zu dokumentieren, risikobewertet, zeitlich begrenzt und von [Security / IT-Leitung] zu genehmigen. Kompensierende Maßnahmen sind – soweit möglich – zu ergreifen.\n\n14. Durchsetzung\n\nMissachtung dieser Richtlinie kann zur Zugriffsentziehung, verpflichtender Schulung, arbeitsrechtlichen Maßnahmen oder sonstigen Konsequenzen gemäß den Richtlinien von [Organisationsname] und geltendem Recht führen.\n\n15. Überprüfung\n\nDiese Richtlinie ist mindestens jährlich oder nach wesentlichen Änderungen an Systemen, Bedrohungslage, gesetzlichen Vorgaben oder Geschäftsprozessen zu überprüfen.\nEine starke Passwort-Richtlinie soll keine Strapaze sein. Sie dient dazu, schlechte Gewohnheiten zu verhindern, Passwort-Manager zu unterstützen, MFA zu nutzen und im Fall exponierter Zugangsdaten schnell reagieren zu können. Halten Sie die Richtlinie praktisch, durchsetzbar und auf echte Bedrohungen wie Phishing, Credential-Stuffing, Passwort-Wiederverwendung und kompromittierte Konten ausgerichtet.
","frontmatter":{"date":"May 07, 2026","slug":"password-policy-dos-donts-best-practices","title":"Passwort-Richtlinie: Was tun, was vermeiden, Best Practices und eine Copy-Paste-Vorlage","description":"Erfahren Sie, was eine moderne Passwort-Richtlinie verlangen sollte, welche veralteten Regeln zu vermeiden sind und kopieren Sie eine praktische Vorlage für Ihr Unternehmen.","author":"Sascha Pfeiffer","featuredImage":null}}},"pageContext":{"slug":"password-policy-dos-donts-best-practices","lang":"de","langPathPrefix":"/de"}},"staticQueryHashes":["2149092236","3128451518","3192060438"]}