Bewährte Passwortpraktiken für regulierte Branchen: Ein praktischer Sicherheitsleitfaden

Die besten Passwortpraktiken lassen sich auf eine kurze, fast schon langweilige, aber wirksame Liste reduzieren: Verwenden Sie einen Passwort-Manager, um lange, einzigartige Passwörter für jedes Konto zu generieren, aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) und verwenden Sie niemals dasselbe Passwort für mehrere Dienste. Für Teams im Gesundheitswesen, im Rechtswesen und im Finanzsektor ist das größte Risiko selten ein zu einfaches Passwort, sondern ein wiederverwendetes oder gestohlenes Passwort. Die meisten Kontoübernahmen beginnen heutzutage mit Zugangsdaten, die Angreifer bereits besitzen, nicht mit erratenen. Daher ist es entscheidend, die Wiederverwendung von Passwörtern zu verhindern und einen zweiten Faktor hinzuzufügen.

‍

Wichtigste Erkenntnisse

• Ein Passwortmanager in Kombination mit MFA blockiert die überwiegende Mehrheit der automatisierten Kontoübernahmeangriffe. Diese Kombination, nicht das Auswendiglernen komplexer Zeichenfolgen, ist der Kern der Passwortsicherheit.
• Die Wiederverwendung ist die größte Schwachstelle. Branchenstudien zeigen übereinstimmend, dass die meisten Menschen Passwörter wiederverwenden, sodass ein einzelner Datenverlust sich auf alle Konten auswirken kann, die dieses Passwort verwenden.
• Schwache Passwörter sind in der Regel vorhersehbar, nicht zufällig. Saisonale Änderungen, Haustiernamen und Firmennamen sind genau das, was Angreifer als Erstes testen.
• Die Bedrohung hat sich vom Erraten von Passwörtern zum Stehlen verlagert, weshalb Einzigartigkeit und MFA wichtiger sind als die reine Zeichenkomplexität.
• Berufliche und private Daten sollten niemals vermischt werden. Eine strikte Trennung begrenzt den Schaden, falls einer der beiden Bereiche kompromittiert wird.

‍

Was sind die besten Vorgehensweisen für Passwörter?

Bewährte Verfahren für Passwörter umfassen Verhaltensweisen und Kontrollmechanismen, die verhindern, dass Zugangsdaten erraten, geknackt, wiederverwendet oder gestohlen werden. Dazu gehören die Erstellung (Länge und Zufälligkeit), die Speicherung (ein Passwort-Manager statt eines Haftzettels, einer Tabellenkalkulation oder des Browsers), der Schutz (Zwei-Faktor-Authentifizierung) und die Weitergabe (ausschließlich über sichere Kanäle). Moderne Richtlinien von Normungsorganisationen raten von komplizierten Zeichenregeln und häufigen Änderungen ab und setzen stattdessen auf Länge, Einzigartigkeit und einen starken zweiten Faktor.

‍

Warum Passwortsicherheit wichtiger denn je ist

Die Vorgehensweise von Angreifern hat sich verändert. Vor zehn Jahren bestand die größte Sorge darin, dass jemand schwache Passwörter durch Ausprobieren zahlreicher Kombinationen knackte. Heute ist die größere Bedrohung der Diebstahl von Zugangsdaten: Angreifer erlangen funktionierende Passwörter durch Datenlecks, Phishing und Infostealer-Malware (Software, die unbemerkt gespeicherte Passwörter und Anmeldesitzungen von einem infizierten Gerät sammelt) und melden sich dann einfach an. Laut dem Verizon Data Breach Investigations Report ist der Diebstahl von Zugangsdaten eine der häufigsten Methoden, mit denen Angreifer sich Zugang verschaffen, und IBM X-Force hat einen hohen Anteil an Eindringversuchen gemeldet, bei denen gültige, gestohlene Zugangsdaten anstelle von Sicherheitslücken ausgenutzt wurden.

‍

Dies ist aus einem praktischen Grund wichtig: Wenn ein Angreifer ein bereits funktionierendes Passwort kaufen oder stehlen kann, bietet dessen Stärke keinen Schutz mehr. Schutz bietet dann die Einzigartigkeit des Passworts (sodass es keine weiteren Konten entsperren kann) und ein zweiter Faktor, der das gestohlene Passwort vom Konto trennt. Für regulierte Teams, die sensible Daten verarbeiten, ist genau diese Änderung der entscheidende Punkt für die unten beschriebenen Vorgehensweisen.

‍

Was macht ein sicheres Passwort aus?

Drei Eigenschaften machen ein sicheres Passwort aus: Länge, Zufälligkeit und Einzigartigkeit. Die Länge ist am wichtigsten. Das US-amerikanische Nationale Institut für Standards und Technologie (NIST) empfiehlt in seiner Sonderveröffentlichung 800-63B-4 mindestens 15 Zeichen für Passwörter, die als Einzelfaktor verwendet werden (und unterstützt Längen bis mindestens 64 Zeichen), während die Cybersecurity and Infrastructure Security Agency (CISA) mindestens 16 Zeichen empfiehlt. Zufälligkeit bedeutet, Wörter aus dem Wörterbuch und persönliche Daten zu vermeiden. Einzigartigkeit bedeutet, für jedes Konto ein anderes Passwort zu verwenden.

‍

Eine sinnvolle Alternative zu einer zufälligen Zeichenkette ist eine Passphrase: vier bis sieben zusammenhängende Wörter, die aneinandergereiht werden. Sie ist lang, schwer zu knacken und viel leichter zu merken. CISA nennt Beispiele wie eine Handvoll zusammenhangloser Wörter, die zu einer einzigen Phrase kombiniert werden.

‍

‍

Hier der Unterschied in der Praxis:

‍

‍

Wie man ein sicheres Passwort erstellt

Die schnellste und zuverlässigste Methode ist die Verwendung eines Passwort-Managers zur Generierung eines Passworts. Wenn Sie dennoch manuell ein Passwort erstellen müssen (z. B. das Master-Passwort zum Entsperren Ihres Passwort-Managers), verwenden Sie eine Passphrase.

‍

1. Wählen Sie vier bis sieben beliebige, nicht zusammenhängende Wörter. Vermeiden Sie alles, was mit Ihnen, Ihrem Arbeitgeber oder dem Datum zu tun hat.
2. Fassen Sie sie zu einem Satz zusammen. Sie können die Leerzeichen beibehalten oder entfernen.
3. Mehr Länge als Komplexität. Ein längerer Satz ist besser als eine kurze Zeichenkette mit Symbolen.
4. Stellen Sie sicher, dass es genau an einem Ort und nirgendwo sonst verwendet wird.
5. Speichern Sie es niemals im Klartext. Merken Sie sich das Masterpasswort und überlassen Sie den Rest dem Manager.

‍

Vermeiden Sie vorhersehbare Passwörter unbedingt. Angreifer nutzen Wörterbuchangriffe (automatisiertes Raten anhand von Listen gängiger Wörter und bekannter Passwörter) und Credential Stuffing (die Verwendung von Benutzernamen und Passwörtern, die bei anderen Sicherheitslücken erbeutet wurden). Häufig kompromittierte Passwörter wie 123456, admin und password (die regelmäßig in NordPass-Untersuchungen auftauchen) lassen sich sofort nicht knacken, ebenso wenig wie kontextbezogene Passwörter wie der Name eines Haustiers, der Name eines Unternehmens oder eine Jahreszeit und ein Jahr.

‍

Passwörter nicht wiederverwenden: Die wichtigste Lösung

Wenn Sie eine Gewohnheit ändern wollen, dann diese. Studien, die in Sicherheitsforschern zitiert werden, zeigen, dass die meisten Menschen Passwörter für mehrere Konten wiederverwenden (Forbes Advisor berichtet von rund 78 Prozent). Auch SpyClouds Analyse von Datenlecks hat ergeben, dass ein Großteil der Betroffenen ein bereits zuvor kompromittiertes Passwort wiederverwendet hatte. Diese Wiederverwendung von Passwörtern löst eine Kettenreaktion aus: Ein kompromittierter Dienst liefert Angreifern den Schlüssel zu Ihrem E-Mail-Konto, und Ihr E-Mail-Konto dient als Ausgangspunkt für alle weiteren Zugriffe.

‍

Daraus ergeben sich zwei Regeln. Erstens: Verwenden Sie für jeden Dienst ein eigenes Passwort – ohne Ausnahme. Zweitens: Trennen Sie Ihre geschäftlichen und privaten Zugangsdaten strikt. Ihr Passwort für den Streaming-Dienst hat nichts in der Nähe von Firmensystemen zu suchen, und ein Firmenpasswort sollte niemals ein privates Konto schützen. Betrachten Sie diese Trennung als Sicherheitsmaßnahme, nicht als Frage der Etikette: Sie begrenzt den potenziellen Schaden, sodass eine Kompromittierung auf einer Seite nicht auf die andere übergreifen kann.

‍

Was ist ein Passwort-Manager und sollte man einen verwenden?

Ein Passwort-Manager ist eine Anwendung, die Ihre Passwörter in einem verschlüsselten Tresor generiert, speichert und automatisch ausfüllt. Sie merken sich ein sicheres Master-Passwort, der Manager speichert alle anderen, auch lange, zufällige Passwörter, die Sie sich niemals merken könnten. Er markiert außerdem schwache oder doppelt verwendete Passwörter, damit Sie diese korrigieren können. CISA und die meisten Sicherheitsteams betrachten einen Passwort-Manager als die einfachste Möglichkeit, für jedes Konto sichere und einzigartige Passwörter zu erstellen.

‍

Es gibt zwei große Kategorien. Personal Passwortmanager dienen einzelnen Benutzern und kleinen Teams. Enterprise Lösungen, die häufig Teil des Privileged Access Management (PAM, der Praxis der Sicherung und Überwachung wichtiger administrativer Zugangsdaten) sind, bieten zentrale Kontrolle, Zugriffsbeschränkungen, Auditierung und Single Sign-On (SSO, wodurch sich Benutzer einmal authentifizieren können, um auf mehrere genehmigte Anwendungen zuzugreifen). Ein wichtiger Hinweis: Vermeiden Sie es, wichtige Zugangsdaten im Browser-Speicher zu speichern, da im Browser gespeicherte Passwörter leichter von einem kompromittierten oder gestohlenen Gerät extrahiert werden können als solche in einem dedizierten, verschlüsselten Passwortmanager.

‍

Multi-Faktor-Authentifizierung (MFA) aktivieren

Die Multi-Faktor-Authentifizierung (MFA) erfordert neben Ihrem Passwort einen zweiten Identitätsnachweis, beispielsweise einen Code einer Authentifizierungs-App, einen Hardware-Schlüssel oder eine biometrische Überprüfung. Da ein gestohlenes oder erratenes Passwort allein nicht ausreicht, um sich Zugang zu verschaffen, blockiert MFA die große Mehrheit automatisierter Massenangriffe. Sowohl CISA als auch Microsoft empfehlen sie als grundlegende Sicherheitsmaßnahme.

‍

Nicht alle Faktoren sind gleichwertig. Wo immer möglich, sollten Sie Phishing-resistente Methoden auf Basis der FIDO2- und WebAuthn-Standards bevorzugen, einschließlich Passkeys (kryptografische Schlüssel, die an Ihr Gerät gebunden sind, das Passwort vollständig ersetzen und als eigenständige Anmeldemethode fungieren, nicht nur als zweiter Faktor). Einmalcodes per SMS sind der schwächste gemeinsame Faktor, da sie anfällig für SIM-Swapping und SS7-Protokollangriffe sind, die SMS-Nachrichten auf Netzwerkebene abfangen können. Sowohl NIST als auch CISA raten daher davon ab, sich auf Einmalcodes zu verlassen, wenn stärkere Alternativen verfügbar sind.

‍

Sollte man seine Passwörter regelmäßig ändern?

Nein, nicht nach einem festen Zeitplan, zumindest nicht für normale Benutzerkonten. Das NIST rät mittlerweile von obligatorischen regelmäßigen Passwortänderungen ab, da eine erzwungene Rotation zu vorhersehbaren Mustern führt (aus Sommer 2025 wird Sommer 2026) und dazu, Passwörter aufzuschreiben. Ändern Sie Ihr Passwort stattdessen nur, wenn ein triftiger Grund vorliegt: eine bekannte oder vermutete Kompromittierung, eine Benachrichtigung über einen Sicherheitsvorfall oder wenn Sie die Zugangsdaten nicht mehr kontrollieren können. Selbst wenn Sie sich „ziemlich sicher“ sind, dass Ihr Passwort in Ordnung ist, ist eine bestätigte Gefährdung Grund genug, es zu ändern. (Hochprivilegierte administrative Zugangsdaten bilden eine Ausnahme und werden häufig routinemäßig geändert.)

‍

So teilen Sie Passwörter sicher

Manchmal ist es wirklich notwendig, Zugangsdaten weiterzugeben. In diesem Fall ist der Kanal genauso wichtig wie das Passwort selbst. Senden Sie Passwörter niemals über Slack, E-Mail oder SMS, da sie dort im Verlauf gespeichert, weitergeleitet oder bei einem Sicherheitsvorfall offengelegt werden können. Nutzen Sie stattdessen die sichere Freigabefunktion eines Passwortmanagers. So bleiben die Zugangsdaten verschlüsselt und Sie können den Zugriff später widerrufen. Sollte ein Passwort jemals über Chat oder E-Mail verbreitet werden, behandeln Sie es als gefährdet und ändern Sie es regelmäßig.

‍

Bewährte Passwortpraktiken für regulierte Branchen

Organisationen im Gesundheitswesen, im Rechtswesen und im Finanzsektor tragen eine zusätzliche Verantwortung, da die betreffenden Konten häufig sensible Daten schützen. Im Gesundheitswesen umfasst dies geschützte Gesundheitsinformationen (PHI, individuell identifizierbare Gesundheitsdaten). Rahmenwerke definieren Erwartungen, deren Erfüllung durch eine sorgfältige Verwaltung von Zugangsdaten unterstützt wird. Die HIPAA-Sicherheitsregel beispielsweise schreibt Zugriffskontrollen und Authentifizierungsmaßnahmen für Systeme vor, die PHI verarbeiten. Individuelle Zugangsdaten in Kombination mit Multi-Faktor-Authentifizierung (MFA) sind praktische Möglichkeiten, diese Anforderungen zu erfüllen. (HIPAA regelt auch die Beziehungen zu Anbietern durch …) Business Associate Agreement (BAA), der Vertrag, der einen Dienstleister für den Schutz von PHI verantwortlich macht.

‍

Ein wichtiger Aspekt sollte beachtet werden: Compliance und Sicherheit hängen zwar zusammen, sind aber nicht identisch. Eine Passwortrichtlinie kann zwar formal eine veraltete Checkliste erfüllen, birgt aber dennoch reale Risiken. Eine scheinbar strenge Richtlinie (häufige erzwungene Änderungen, komplexe Zeichenregeln) kann in der Praxis weniger effektiv sein als eine einfachere, die auf Länge, Einzigartigkeit, einem Passwortmanager und Multi-Faktor-Authentifizierung (MFA) basiert. Ziel für regulierte Teams ist eine Richtlinie, die sowohl gegenüber einem Auditor nachvollziehbar als auch wirksam gegen die heutigen Angriffsmethoden ist. Starke, einzigartige Zugangsdaten, MFA, sicheres Teilen und ein verschlüsselter Passwort-Tresor unterstützen anerkannte Kontrollmechanismen gemäß Rahmenwerken wie HIPAA, SOC 2 und ISO 27001, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

‍

Häufig gestellte Fragen

‍

Welches ist die sicherste Passwortart?

Das sicherste Passwort ist ein langes, zufällig generiertes Passwort, das von einem Passwort-Manager gespeichert wird, da Sie es sich nie merken oder eintippen müssen. Für das eine Passwort, das Sie sich merken müssen, bietet sich eine Passphrase aus vier bis sieben nicht zusammenhängenden Wörtern an, die Länge und Einprägsamkeit zugleich vereint. In beiden Fällen sollte das Passwort nur für ein einziges Konto verwendet werden.

‍

Welche Passwörter sollte man am häufigsten vermeiden?

Untersuchungen zu gestohlenen Zugangsdaten, wie beispielsweise die jährliche Analyse von NordPass, zeigen immer wieder, dass dieselben Passwörter besonders häufig verwendet werden: 123456, admin und password. Auch einzelne Wörter aus einem Wörterbuch, Namen von Haustieren, Firmennamen oder Jahreszeiten gefolgt von einer Jahreszahl fallen in dieselbe Falle. Diese Passwörter werden von automatisierten Angriffen als Erstes verwendet, daher sollten sie unbedingt vermieden werden.

‍

Sind Passwortmanager sicher?

Ja, für fast jeden ist ein seriöser Passwort-Manager deutlich sicherer als Alternativen wie die Wiederverwendung von Passwörtern, schwache Passwörter oder Notizzettel. Der Passwort-Tresor ist verschlüsselt, und Sie benötigen nur ein einziges starkes Master-Passwort (idealerweise eine Passphrase) mit aktivierter Multi-Faktor-Authentifizierung (MFA). Dieser Komfort macht starke, individuelle Passwörter für Dutzende von Konten realistisch.

‍

Wie lang sollte ein Passwort sein?

Länger ist sicherer. Das NIST empfiehlt mindestens 15 Zeichen für ein Ein-Faktor-Passwort und unterstützt Längen bis zu mindestens 64 Zeichen, während CISA mindestens 16 Zeichen empfiehlt. Eine Passphrase ist eine einfache Möglichkeit, diese Länge zu erreichen, ohne etwas zu erstellen, das man sich unmöglich merken kann.

‍

Sollte ich meine Passwörter regelmäßig ändern?

Für normale Konten gibt es keinen festen Zeitplan für Passwortänderungen. Das NIST rät von obligatorischen regelmäßigen Änderungen ab, da diese vorhersehbare Muster begünstigen. Ändern Sie Ihr Passwort nur bei einem konkreten Anlass, wie z. B. einer Benachrichtigung über einen Sicherheitsverstoß oder anderen Anzeichen einer Kompromittierung.

‍

Ist es sicher, Passwörter im Browser zu speichern?

Für wichtige Konten ist ein separater Passwort-Manager sicherer als der integrierte Speicher Ihres Browsers. Im Browser gespeicherte Passwörter lassen sich leichter von einem verlorenen, gestohlenen oder mit Schadsoftware infizierten Gerät extrahieren. Nutzen Sie die Speicherfunktion Ihres Browsers daher nur für Konten mit geringem Sicherheitsbedarf, wenn überhaupt.

‍

Wie kann ich einem Kollegen mein Passwort mitteilen?

Nutzen Sie die sichere Freigabefunktion Ihres Passwort-Managers. Dadurch werden Ihre Zugangsdaten verschlüsselt und Sie können den Zugriff später widerrufen. Senden Sie Ihr Passwort nicht über Slack, E-Mail oder SMS. Sollte Ihr Passwort jemals über einen dieser Kanäle übertragen worden sein, ändern Sie es.