Rund um das Thema “Sichere Passwörter” kursieren hartnäckige Missverständnisse und Mythen. Es ist Zeit, sie über Bord zu werfen – mit einer modernen Passwort-Richtlinie, die deine Systeme wirklich schützt.
Ein einziges Passwort – und alles steht still
Eigentlich hättest du gleich einen wichtigen Kundentermin. Eigentlich. Doch statt dich auf die Präsentation vorzubereiten, erlebst du einen Schock, dem ein Super-GAU folgt. Du öffnest dein Notebook und loggst dich in dein E-Mail-System ein. Es erscheint eine Fehlermeldung. Du willst die Office-Suite öffnen. Fehlermeldung. Du startest das CRM. Fehlermeldung.
Wenige Sekunden später klingelt dein Telefon. Dein IT-Leiter berichtet dir von einem gewaltigen Chaos. Keiner in deiner Firma kann sich in die Onlinetools einloggen. Die Zugänge zu wichtigen Systemen sind gesperrt. Nichts geht mehr.
Ein IT-Forensiker findet schließlich den Grund für das Chaos: Einer deiner ranghohen Mitarbeiter hat für einen privaten Dienst dasselbe Passwort wie für sein Firmenkonto genutzt. Dieser wurde von einem Hacker gestohlen und missbraucht, um ins Firmennetzwerk einzudringen und es mitsamt aller Systeme zu übernehmen.
Was hätte dagegen geholfen? Eine sichere Konfiguration der Systeme (aka Systemhärtung). Ebenso eine Passwort-Richtlinie, die das Risiko solcher Vorfälle deutlich minimiert.
Was eine Passwort-Richtlinie wirklich leistet
Auf den ersten Blick wirkt eine Passwort-Richtlinie ziemlich „unsexy“ und wie ein bürokratischer Akt. Doch sie ist extrem wichtig – in kleinen wie auch großen Unternehmen.
Weshalb?
➡ Klare Passwort-Regeln
Du legst fest, wie Mitarbeiter Passwörter erstellen, speichern und einsetzen. So werden schwache oder wiederverwendete Login-Daten vermieden. Dadurch wird es für Angreifer mühsamer oder gar unmöglich, in Systeme einzudringen.
➡ Besserer Datenschutz
Du erfüllst die DSGVO. Diese besagt, unter anderem, dass du Kundendaten bestmöglich schützen musst. Auch andere IT-Regularien schreiben vor, dass Unternehmen alle ihre Systeme und Daten abzusichern haben. Bei Verstößen drohen hohe Bußgelder.
➡ Weniger Risiken
Brute-Force-Angriffe und Phishing-Attacken sind weniger erfolgreich. Auch das Lateral Movement, also die Ausbreitung von Angreifern im Netzwerk und in deinen Systemen, wird erschwert.
...............
Anzeige:
...............
Weg mit den alten Passwort-Ansagen!
Viele Unternehmen arbeiten noch mit Passwort-Regeln, die auf veralteten Annahmen und Aussagen beruhen. Deine Passwort-Richtlinie braucht jedoch moderne, nutzerfreundliche Vorgaben, sonst umgeht dein Team sie im Alltag.
Zwei typische “Passwort-Mythen” sind:
🛑 „Je mehr Sonderzeichen, desto sicherer“
Ja, es macht Sinn, Sonderzeichen einzusehen. Aber nicht, wenn das Passwort an sich einfach ist. Ein Klassiker sind Login-Daten wie “Sommer2024!” oder “#123456!”. Solche Kombinationen können Hacker und ihre KI-Systeme schnell erraten.
🛑 „Passwörter müssen alle 90 Tage wechseln“
Dieser Zwang erzeugt faule Kompromisse. Aus “Sommer2024!” wird dann “Sommer2025” oder “Herbst2025!” – was für ein Witz! Ein häufiger Wechsel von schwachen Login-Daten ist somit mehr IT-Homöopathie als ein echter Schutz.
Nutze neue, verständlich Passwort-Vorgaben
Was hilft gegen diese Passwort-Mythen? Dein Unternehmen braucht wirklich starke, schwer knackbare Codes. Und deine Mitarbeiter brauchen Regeln, die sie verstehen und leicht umsetzen können. Dafür gibt es zwei einfache Vorgaben:
💪 Passwort-Phrasen
Das sind kurze Sätze oder Wortketten, die sich leicht merken lassen, aber schwer zu knacken bleiben. Sie bestehen aus mindestens 25 Zeichen. Beispiel: “Ich_mache_um_900_Uhr_als_Erstes_meinen_Kaffee!”
💪 Kurz und kompliziert
Du verwendest nur acht bis 12 Zeichen, aber eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Beispiel: “Baum9Nase!Stuhl!”
Was deine Passwort-Richtlinie verbieten muss
Eine gute Passwort-Richtlinie sagt nicht nur, was erlaubt ist, sondern auch, was nie vorkommen darf. Dazu gehören diese Dinge bei der Passwort-Erstellung:
🛑 Klassiker wie “password”, “admin” oder “123456”
🛑 Einfache Tastaturmuster wie “qwertz” oder “asdfgh”
🛑 Familiennamen, Hobbys oder der Firmenname
🛑 Geburtsdatum, Hochzeitstag oder Lieblingszahl
Was bei der Umsetzung noch sehr wichtig ist
War es das? Nein! In deiner Passwort-Richtlinie müssen noch diese essentiellen “Must Haves” verankert werden:
✅ Passwörter werden niemals mehrfach verwendet
✅ Private und geschäftliche Accounts teilen sich niemals einen Code
✅ Passwörter werden werden weder auf einen Zettel geschrieben, …
✅ … noch in Word- oder Excel-Dokumenten gespeichert
✅ Es wird eine professionelle Passwortverwaltung für Unternehmen genutzt
✅ Wenn möglich, ist eine Zwei-Faktor-Authentisierung zu verwenden
✅ Eine andere Alternative sind Passkeys, da sie als sehr sicher gelten
FAQ: Wichtige Fragen rund um deine Passwort-Richtlinie
Sicherlich hast du noch ein paar offene Fragen, oder? Hier bekommst du kurz und knapp weitere Informationen:
Gilt meine Passwort-Richtlinie auch für externe Dienstleister?
Ja, sie sollte Regeln für externe Zugriffe enthalten. Es gilt: Wer mit deinen Systemen arbeitet, folgt denselben Sicherheitsstandards wie interne Kollegen. Am besten hältst du die Einhaltung der Passwort-Richtlinie direkt in den Dienstleister-Verträgen fest.
Wie sollte man mit privaten Geräten umgehen?
Folgt deine Firma dem BYOD-Credo (bring Your Own Device)? Dann gilt: Wenn Mitarbeiter mit privaten Geräten auf Unternehmensdaten zugreifen, braucht deine Passwort-Richtlinie zusätzliche Vorgaben. Dazu gehören zum Beispiel ein Zwang zur Multifaktor-Authentifizierung und der verpflichtende Einsatz eines Passwort-Managers.
Sollten eine Passwort-Richtlinie auch Verantwortlichkeiten nennen?
Ja! Sie definiert Rollen und nennt Verantwortliche: Wer verwaltet beispielsweise die Konten, wer entscheidet über Freigaben, wer setzt Passwort-Richtlinien technisch um? So entsteht kein Graubereich, in dem sich niemand zuständig fühlt.
Wie oft muss man eine Passwort-Richtlinie überarbeiten?
Plane mindestens einmal im Halbjahr eine kurze Überprüfung ein. Denn Systeme, Tools oder Regularien verändern sich ständig. Passe daher, wenn nötig, die Passwort-Richtlinie an und informiere dein Team. Und veranlasse, wenn es viele Fragen gibt, eine interne Passwort-Weiterbildung.
Fazit
“Passwort-Richtlinie” – Das Wort klingt nach viel Papierkram. Doch dieses Dokument kann deinem Unternehmen im Ernstfall den Hals retten. Damit schützt du Kundendaten, Geschäftsgeheimnisse, Umsätze und den Ruf deiner Firma.
Wenn es in deinem Unternehmen keine Passwort-Richtlinie gibt, gehen deine Angestellten und Freelancer wahrscheinlich zu locker mit ihren Login-Daten um. Das kann im schlimmsten Fall zu einem Szenario wie in der Einleitung führen. Willst du das? Wahrscheinlich nicht, oder?
...............
💪 Willst du weitere erstklassige Tipps und tolle Inspirationen für dein Business bekommen?
👉 Dann abonniere den kostenlosen StartUpWissen-Newsletter!
Bilder: Freepik, NotebookLM