Viele Unternehmen halten an der IT-Richtlinie fest, Passwörter regelmäßig – meist alle 90 Tage – zu ändern. Was einst als Schutzmaßnahme galt, entpuppt sich heute als Sicherheitsrisiko.
Sicherheitsillusion durch Pflichtwechsel
Die Intention hinter dem regelmäßigen Passwortwechsel war nachvollziehbar: Angreifer sollen durch häufige Änderungen keine Chance haben. Doch in der Praxis hat sich das Gegenteil gezeigt:
- Nutzer entwickeln vorhersehbare Muster: Aus „Sommer2023!“ wird „Sommer2024!“
- Komplexe Vorgaben führen zu kreativen, aber schwachen Umgehungen
- Passwörter werden auf Zetteln notiert oder in unsicheren Dateien gespeichert
- Der tatsächliche Schutz nimmt ab, die Frustration steigt
Eine FTC-Studie sowie Empfehlungen des NIST (800-63b) zeigen klar: Regelmäßiger Passwortwechsel ohne konkreten Anlass bringt kaum Mehrwert – und kann die IT-Sicherheit sogar schwächen.
Was moderne IT-Sicherheit heute empfiehlt
Internationale Sicherheitsexperten und Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI // Deutschland) empfehlen einen Paradigmenwechsel:
Verzicht auf starre Wechselintervalle
→ Passwortwechsel nur bei Verdacht auf Kompromittierung
Verzicht auf erzwungene Sonderzeichenkombinationen
→ Fokus auf lange, leicht merkbare Passphrasen
Beispiel: RoterHundMitGummistiefeln
Einsatz moderner Sicherheitsmaßnahmen:
- Passwort-Manager zur sicheren Speicherung und Verwaltung
- Zwei-Faktor-Authentifizierung (2FA) für zusätzliche Absicherung
- Sperre bekannter, geleakter Passwörter (1234)
Passwort-Manager: Ein Werkzeug für echte Sicherheit
Statt auf menschliches Erinnerungsvermögen zu setzen, setzen führende Unternehmen heute auf Passwort-Manager. Sie bieten:
- Automatische Generierung starker, einzigartiger Passwörter
- Verschlüsselte Speicherung und Schutz vor Phishing
- Synchronisierung über alle Geräte hinweg
- Unterstützung von 2FA und Sicherheitswarnungen bei Datenlecks
- u.U. 2FS-Schlüssel in Form von USB-Sticks mit Fingerabdruckscanner
Fazit:
Die Kombination aus Passwort-Manager und 2FA bietet mehr Schutz als jede veraltete Richtlinie. Sie stärkt nicht nur die IT-Sicherheit, sondern auch die Nutzerfreundlichkeit – und reduziert menschliche Fehler.
Im Kontext moderner Markenführung bedeutet das: Unternehmen, die auf veraltete Sicherheitspraktiken setzen, riskieren nicht nur Datenpannen, sondern auch einen Vertrauensverlust. Wer Innovation und Leadership ernst nimmt, hinterfragt bestehende Prozesse – auch im IT-Alltag.
Denn digitale Sicherheit ist nicht nur Technik – sie ist Teil einer ganzheitlichen Kommunikationsstrategie.
Unternehmen, welche einen guten Passwort-Manager suchen, sollte primäre darauf achten, dass dieser Unterkonten unterstützt. So kann die IT-Abteilung für jeden Mitarbeiter und Mitarbeiterin einen Unteraccount für persönliche Passwörter anlegen (oder auch deaktivieren) und gleichzeitig teamübergreifende Passwörter teilen.
Mögliche Passwort-Manager für Teams:
Lastpass
1password
Nordpass
StickyPassword
Bitwarden
Wichtig ist an dieser Stelle zu erwähnen, dass es immer wieder Sicherheitsprobleme bei dem einen oder anderen Passwort-Manager gibt. Die Liste ist also nur ein erster Hinweis und jedes Unternehmen muss seine eigenen Recherchen anstellen.
Spartipp:
Für sehr kleine Teams besteht auch die Möglichkeit entweder auf einen cloudbasierten Passwort-Manager zurückzugreifen, oder einen Passwort-Manager wie KeePassXC zu verwenden. Beim Letzteren installiert jeder Nutzer die Software lokale auf dem eigenen Rechner und alle greifen auf die gleiche Passwortdatenbankdatei zurück, welche sich zentral auf einem Firmenserver (oder Cloudserver – natürlich komplett verschlüsselt) befindet. Diese Vorgehensweise ist zwar schnell und (meistens) kostenlos, birgt aber das Risiko, dass Änderungen an der Datei (neue Passwörter oder veränderte Passwörter) nicht zeitgleich an alle Teammitglieder ausgespielt werden. Eigentlich müsste man jedes Mal die Datei schließen und neu öffnen bzw. neu vom Server laden, da man nie weiß, ob in der Zwischenzeit Änderungen vorgenommen wurden.
Hier muss sich jedes Team/Unternehmen die Frage stellen, ob nicht rund 5,- bis 8,- Euro pro Nutzer pro Monat ein akzeptabler Preis für Datensicherheit und Usability sind?!
