Gerne werden Mitarbeitern Wechselintervalle als auch Länge und Komplexität der Passwörter vorgeschrieben oder nahegelegt. Das kommt – dank zusätzlichem Aufwand – bei diesen eher mäßig an und immer häufiger fragen sich Sicherheitsexperten: „Sind derartige Richtlinien überhaupt wirksam?“ Wir sagen ganz klar: „Jein!“ Warum es einerseits ratsam und andererseits sogar gefährlich sein kann, sich beim Passwortschutz an fest definierte Regeln zu halten …


Wenn Regeln mehr schaden als nützen

Längst herrscht nicht nur unter Anwendern Unklarheit darüber, was ein starkes Passwort ausmacht und wie dieses zu pflegen ist. Nun hat das Bundesinnenministerium für Sicherheit (BSI) die Textpassage gestrichen, in der zu einem regelmäßigen Passwortwechsel aufgerufen wurde. Auch der Absatz zu Komplexität und Länge ist verschwunden. Sicherheitsexperten raten dazu, sich langfristig lieber ein wirklich sicheres Passwort zu merken und sich dabei nicht mit Mindestangaben aufzuhalten.

„Passwort, wechsel dich!“ Oder doch nicht?

Aber warum Passwortwechsel auch Sinn machen, obwohl schon ein starkes Passwort verwendet wird? Grund ist: In Unternehmen können sich bereits Angreifer befinden, die noch nicht aufgespürt wurden. Häufige Passwortwechsel sperren diese erfolgreich aus. Wenn der Austausch des Passworts aber auf Kosten der Qualität durchgeführt wird, kann sich das Sicherheitsrisiko sogar erhöhen. Dazu kommt: Je länger ein Passwort unverändert genutzt wird – im Zweifel sogar für mehrere Anwendungen oder Dienste – umso größer wird das Risiko einer Kompromittierung.

„Nicht ohne mein altes Passwort!“

Trotzdem empfinden Mitarbeiter oft zu großen Trennungsschmerz, um sich ganz von ihren mühsam einstudierten Eselsbrücken und Zeichenfolgen zu trennen. Man kann es ihnen nicht verübeln – gleicht es doch einer extremen Mammutaufgabe, sich für jeden Account ein einzigartiges Passwort zu merken – und dieses dann auch noch alle x Wochen auszutauschen. Kein Wunder also, dass Mitarbeiter zu unsicheren Taktiken greifen, um auch noch die letzte Regel ihrer Password Policies zu erfüllen. Sie tauschen das Passwort also nicht aus, sondern verändern es nur teilweise, um es sich weiterhin merken zu können. Beliebt hierbei sind …

  • Sonderzeichen anhängen oder austauschen: Passw0rd!
  • Zahlen anhängen: Password1
  • Groß- und Kleinschreibung ändern: PaSSword
  • Ziffern ersetzen: Passw9rd

Diese gängigen Muster kennen aber auch Hacker und können auf Basis von Algorithmen derartige Veränderungen leicht vorhersagen und das neu gesetzte Passwort sogar noch schneller knacken. In der Folge sind vorgeschriebene Passwortänderungen für Unternehmen eher ineffektiv und sogar kontraproduktiv.

Password Manager als Lösung

Dass Passwort-Richtlinien passé wären, ist also eine falsche Schlussfolgerung, die aus unsicheren Methoden zur Passwort-Erstellung resultiert. Unternehmen zu empfehlen, auch starke Passwörter bestehen zu lassen, kann deshalb ein fataler Ratschlag sein, der nicht wirklich die Ursache des Problems bekämpft.

Geben Sie Ihren Mitarbeitern lieber nützliche Tipps mit auf den Weg, wie ein sicheres Passwort aussehen sollte und lassen Sie diese beim Austauschen nicht alleine! Bestenfalls entkoppeln Sie den Prozess des Passwortwechsels komplett von Ihren Mitarbeitern, indem sie diese mit einem Password Manager automatisiert vornehmen lassen. Mithilfe eines Password Generators können Zeichenanzahl, Sonderzeichen und Co. vorab eingestellt werden und der Anwender muss sich beim Erstellen des Passworts gar nicht mehr damit befassen.


Mit Password Safe können unternehmensweit Passwortrichtlinien vorgegeben sowie selbst erstellt und geändert werden. Passwörter werden sowohl automatisch als auch manuell nach selbst definierten Auslösern auf einen neuen, unbekannten Wert gesetzt – Ihren Passwort-Richtlinien entsprechend. Wenn ein Mitarbeiter etwa ein Passwort aufdeckt oder herauskopiert, reagiert Password Safe sofort, indem es ein neues Passwort setzt und Ihre Zugänge bleiben geschützt.