Passwort-Richtlinien für Unternehmen — BSI-Empfehlungen und Best Practices
Für Unternehmen ist die Passwort-Sicherheit eine zentrale IT-Sicherheitsmaßnahme. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt klare Empfehlungen für Passwort-Richtlinien. Doch was genau empfiehlt das BSI, und wie unterscheiden sich moderne Empfehlungen von veralteten Richtlinien (z.B. erzwungene monatliche Passwortänderungen)? In diesem Artikel fassen wir die wichtigsten Unternehmensempfehlungen zusammen.
BSI-Empfehlungen für Passwörter
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktualisiert regelmäßig seine Passwort-Empfehlungen im Grundschutz-Kompendium. Aktuelle Empfehlungen: Mindestlänge 8 Zeichen für normale Konten (12+ empfohlen). Mindestlänge 25 Zeichen bei reinen Passwörtern ohne weitere Faktoren. Zeichenkomplexität: Kombination aus Groß/Kleinbuchstaben, Ziffern, Sonderzeichen empfohlen. Keine erzwungenen regelmäßigen Passwortänderungen mehr (das führt zu schwächeren Passwörtern). Sofortige Änderung bei Verdacht auf Kompromittierung. Passwort-Manager ausdrücklich empfohlen. Keine Passworthinweise (die geben Angreifern Informationen). Zwei-Faktor-Authentifizierung wo immer möglich.
Passwort-Richtlinien technisch umsetzen
IT-Administratoren setzen Passwort-Richtlinien über verschiedene Mechanismen durch. Active Directory (Windows): Gruppenrichtlinien (GPO) definieren Mindestlänge, Komplexitätsanforderungen und Sperrrichtlinien. PowerShell: Set-ADDefaultDomainPasswordPolicy für detaillierte Konfiguration. Linux/Unix: PAM (Pluggable Authentication Modules) mit pam_pwquality oder pam_cracklib. Webanwendungen: Serverseitige Validierung bei Passwortregistrierung und -änderung. API-Sicherheit: Rate Limiting und Account Lockout nach fehlgeschlagenen Anmeldeversuchen. Passwort-Hashing: bcrypt, Argon2id oder PBKDF2 mit ausreichend Iterationen (Argon2id empfohlen). Unser Passwort-Generator hilft IT-Admins, schnell konforme Beispielpasswörter zu erstellen und Richtlinien zu testen.
Passwortsicherheit auditen: Bekannte Schwachstellen prüfen
Regelmäßige Passwort-Audits sind ein wichtiger Bestandteil der Unternehmenssicherheit. Tools für Passwort-Audits: Hashcat: Open-Source-Tool für Passwort-Recovery-Tests, nutzt GPU-Beschleunigung. John the Ripper: Klassisches Passwort-Cracking-Tool für Sicherheitsaudits. Have I Been Pwned API: Prüft Passwort-Hashes gegen Datenbanken bekannter Passwörter (k-Anonymity-Protokoll sicher). LAPS (Local Administrator Password Solution): Automatische Verwaltung lokaler Admin-Passwörter auf Windows-Systemen. PingCastle: Active-Directory-Sicherheitsaudit-Tool. Diese Audits sollten nur von autorisierten Sicherheitsbeauftragten oder externen Penetrationstestern durchgeführt werden.
Mitarbeiterschulung: Passwort-Awareness im Unternehmen
Technische Maßnahmen allein reichen nicht — Mitarbeiter müssen für Passwort-Sicherheit sensibilisiert werden. Wirksame Schulungsmaßnahmen: Phishing-Simulationen: Regelmäßige gefälschte Phishing-E-Mails, um Mitarbeiter zu schulen, ohne echten Schaden anzurichten. Security Awareness Training: Online-Kurse und Workshops zu sicheren Passwörtern, Social Engineering und 2FA. Klare Richtlinien: Schriftliche IT-Sicherheitsrichtlinien, die einfach zu verstehen und umzusetzen sind. Passwort-Manager bereitstellen: Unternehmen können Lizenzen für 1Password for Business, Bitwarden Business oder LastPass Enterprise bereitstellen. Single Sign-On (SSO): Weniger Passwörter durch zentrale Anmeldung, stärker geschützt durch 2FA.
Häufig gestellte Fragen
- Was empfiehlt das BSI für die Mindest-Passwortlänge?
- Das BSI empfiehlt mindestens 8 Zeichen als absolutes Minimum, 12+ Zeichen für normale Konten. Für administrative Konten und bei Verwendung ohne 2FA mindestens 20–25 Zeichen. Wichtiger als Komplexität ist die Länge — längere Passwörter sind schwerer zu knacken.
- Sollten Mitarbeiter-Passwörter regelmäßig geändert werden?
- Nein — das BSI und NIST empfehlen keine regelmäßigen Passwortänderungen mehr ohne konkreten Anlass. Erzwungene Änderungen führen nachweislich zu schwächeren Passwörtern (z.B. Anhängen einer Nummer). Änderung nur bei Verdacht auf Kompromittierung oder bekanntem Datenleck.
- Wie wird ein Datenleck mit gestohlenen Passwörtern behandelt?
- Sofortmaßnahmen: Betroffene Passwörter sofort sperren und zurücksetzen. Nutzer informieren. Art des Datenlecks untersuchen (welche Daten gestohlen?). Strafanzeige bei der Polizei und Meldung an den Datenschutzbeauftragten (DSGVO-Pflicht bei personenbezogenen Daten: 72-Stunden-Frist). Sicherheitslücke schließen und Audit durchführen.