Passwortsicherheit neu gedacht: Das schwächste Glied stärken
Kevin Hofius | 10.10.2025
Lesedauer: 5 min
Passwörter sind nach wie vor die wichtigste Zugangskontrolle zu allen Unternehmenssystemen. Gleichzeitig sind sie nach wie vor das schwächste Glied in der IT-Sicherheit vieler KMU. Zu kurze Passwörter, Wiederverwendung, schlecht verwaltete Shared Accounts – all das erleichtert Angreifern den Zugriff.
In diesem Artikel erfahren Sie, wie Sie Passwörter in Ihrem Unternehmen wirksam sichern, welche Tools dabei helfen und welche Prozesse notwendig sind, damit Passwortsicherheit kein Lippenbekenntnis bleibt.
Typische Herausforderungen bei KMU
Mitarbeitende nutzen das gleiche Passwort für mehrere Dienste.
Passwortänderungen erfolgen selten oder nur auf Anforderung, nicht präventiv.
Passwörter sind zu kurz, leicht zu erraten oder folgen simplen Mustern (Geburtsdaten, „Firmenname123“).
Shared Accounts („buchhaltung@firma.de”) haben nur ein bekanntes Passwort, das nie geändert wird.
Passwortlisten auf Notizzetteln oder Excel-Dateien kursieren im Unternehmen.
Diese Schwachstellen führen dazu, dass Angreifer schnell Zugriff auf mehrere Systeme erhalten, wenn nur ein Konto kompromittiert wird.
Richtige Passwortgestaltung
Ein gutes Passwort muss nicht kompliziert sein, es muss sicher und eindeutig sein.
- Länge vor Komplexität: Lieber ein 32-stelliges, einfach zu merkendes Passwort als ein kurzes, extrem komplexes.
- Keine Wiederverwendung: Jedes Konto benötigt ein eigenes Passwort.
- Einprägsame Konstruktion: Phrasen oder Kombinationen aus Wörtern, Zahlen und Symbolen sind besser als kryptische Buchstabenfolgen.
- Regelmäßige Kontrolle: Überprüfen Sie, ob Passwörter in bekannten Leaks aufgetaucht sind z. B. über Have I Been Pwned.
Werkzeuge, die helfen
Passwortmanager für Teams
Speichern Passwörter sicher verschlüsselt.
Erlauben das Teilen von Zugängen ohne Klartextweitergabe.
Zugriffe lassen sich zentral entziehen, wenn jemand das Unternehmen verlässt.
Automatisch generierte Passwörter
Viele Passwortmanager erzeugen sichere, zufällige Passwörter.
Diese Passwörter müssen nicht gemerkt werden – der Manager erledigt das.
Regelmäßige Sicherheitsüberprüfungen
Passwortmanager können prüfen, ob Passwörter mehrfach genutzt oder schwach sind.
Alerts bei kompromittierten Accounts helfen, schnell zu reagieren.
Prozesse im Unternehmen
- Standard für Passwortlänge und -qualität festlegen: Legen Sie fest, dass alle Unternehmensaccounts mindestens 12 bis 16 Zeichen enthalten müssen und keine offensichtlichen Muster wie Geburtsdaten oder einfache Wörter genutzt werden. So schaffen Sie eine grundlegende Sicherheitsebene, die das Erraten oder Ausprobieren von Passwörtern deutlich erschwert.
- Regelmäßige Passwortänderungen planen: PInsbesondere für Shared Accounts oder Administrator-Zugänge sollten Passwörter regelmäßig erneuert werden. Eine gute Faustregel ist, sie alle sechs bis zwölf Monate zu ändern. Dadurch minimieren Sie das Risiko, dass ein altes Passwort irgendwann kompromittiert wird und unbemerkt Zugriff auf Ihre Systeme gewährt.
- Zugriff auf Passwortmanager beschränken: Nur Mitarbeitende, die den Zugang wirklich benötigen, sollten Zugriff auf den Passwortmanager erhalten. Die Zuweisung von Administratorrechten sollte klar dokumentiert und auf ein Minimum beschränkt sein. So verhindern Sie unnötige Sicherheitsrisiken und behalten die Kontrolle über sensible Unternehmenszugänge.
| Bereich | Maßnahme | Intervall |
| Passwortlänge & Qualität | Minimum 12–16 Zeichen, keine Muster | fortlaufend |
| Passwortmanager für Teams | Alle Unternehmenspasswörter zentral verwalten | fortlaufend |
| Shared Accounts | Passwort regelmäßig ändern, Zugriffe prüfen | 6–12 Monate |
| Wiederverwendung vermeiden | Jedes Konto eigenes Passwort | fortlaufend |
| Leaks prüfen | "Have I Been Pwned" oder ähnliches nutzen | 1× Quartal |
| Admin-Zugriffe kontrollieren | Nur notwendige Mitarbeitende, Rechte dokumentieren | 1 × jährlich |
Sofortmaßnahmen bei verdächtigen Passwörtern
Wenn ein Passwort kompromittiert scheint:
Sofort ändern.
Mitarbeitende sensibilisieren, damit ähnliche Vorfälle vermieden werden.
IT-Verantwortliche oder Dienstleister informieren.
Zugriffe auf sensible Daten kontrollieren.
Prüfen, auf welchen Diensten dasselbe Passwort genutzt wurde, und auch dort ändern.
Fazit
Passwörter bleiben das schwächste Glied in der IT-Sicherheit. Die richtige Kombination aus sicheren Passwörtern, Tools wie Passwortmanagern und klaren Prozessen schützt Ihr Unternehmen erheblich. Besonders für KMU gilt: es geht nicht um maximale Sicherheit, sondern um praktikable Maßnahmen, die im Alltag umsetzbar sind.
Die Digitalagentur Berlin unterstützt Sie dabei: In einem kostenfreien Orientierungsgespräch prüfen wir Ihre Passwortpraxis, zeigen Schwachstellen und geben konkrete Empfehlungen.
Jetzt kostenfreies DAB Orientierungsgespräch vereinbaren.
