Passwort-Rotation: Sicherheit oder unnötiges Risiko?
Früher galt die goldene Regel: "Ändere dein Passwort alle 90 Tage!" In vielen Unternehmen ist dies
bis heute eine verpflichtende Vorgabe. Doch was gut gemeint ist, führt in der Praxis oft zu genau dem Gegenteil
von Sicherheit. Heutzutage raten Experten und Behörden wie das BSI von diesem pauschalen "Passwort-Zwang" ab.
Das Problem mit dem regelmäßigen Wechsel
Wenn Mitarbeiter gezwungen werden, sich ständig neue, komplexe Passwörter auszudenken, passiert meist folgendes:
- Vorhersehbare Muster: Aus "Sommer2025!" wird "Herbst2025!" oder "Winter2025!". Hacker kennen diese Muster.
- Post-it-Sicherheit: Da man sich das achte Passwort im Jahr nicht mehr merken kann, landet es als Zettel unter der Tastatur.
- Qualitätsverlust: Statt eines wirklich starken Passworts wählen Nutzer oft die kleinstmögliche Änderung, um das System "zufriedenzustellen".
Was sagt das BSI dazu?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Empfehlungen bereits vor einiger Zeit grundlegend
überarbeitet. Die aktuelle Position ist eindeutig: Ein Passwort sollte nur noch dann geändert werden, wenn es den
Verdacht gibt, dass es in falsche Hände geraten ist.
Viel wichtiger als der regelmäßige Wechsel ist heute die Qualität des Passworts sowie der Einsatz von Zwei-Faktor-Authentifizierung (2FA).
Viel wichtiger als der regelmäßige Wechsel ist heute die Qualität des Passworts sowie der Einsatz von Zwei-Faktor-Authentifizierung (2FA).
Offizielle Quelle:
Die aktuellen Leitfäden des BSI zur Passwort-Sicherheit finden Sie hier: BSI – Tipps für das Erstellen sicherer Passwörter
und: BSI – Erklärung der Zweifaktor-Authentifizierung
Die aktuellen Leitfäden des BSI zur Passwort-Sicherheit finden Sie hier: BSI – Tipps für das Erstellen sicherer Passwörter
und: BSI – Erklärung der Zweifaktor-Authentifizierung
Drei Faustregeln für moderne Passwort-Sicherheit
Statt Zeit mit erzwungenen Wechseln zu verschwenden, sollten Sie folgende Punkte beachten:
- Länge schlägt Komplexität: Ein langer Satz (Passphrase) ist oft sicherer und leichter zu merken als eine wirre Zeichenfolge.
- Einmaligkeit: Nutzen Sie niemals dasselbe Passwort für verschiedene Dienste.
- Passwortmanager nutzen: Lassen Sie Software die Arbeit machen. Ein Passwortmanager generiert und speichert komplexe Passwörter für Sie.
Fazit: Verpflichtende Passwortwechsel ohne konkreten Anlass sind veraltet. Sie belasten die Mitarbeiter
und senken das Sicherheitsniveau durch schwache Passwort-Variationen. Ein starkes, einmaliges Passwort in
Verbindung mit einer zweiten Bestätigung (z. B. App oder SMS) ist der Goldstandard im Jahr 2026.
Der "Notizblock-Effekt": Warum Passwort-Zwang oft nach hinten losgeht
In der Theorie klingt es sicher: "Wir zwingen die Mitarbeiter alle paar Monate zum Passwortwechsel."
In der Praxis führt das jedoch oft zu einem gefährlich lässigen Umgang mit Zugangsdaten. Wenn Passwörter
zu komplex oder zu häufig neu sind, landen sie auf Notizblöcken oder Post-its direkt am Arbeitsplatz.
Besonders kritisch wird es, wenn die Zwei-Faktor-Authentifizierung (2FA) nur beim ersten Login am
"vertrauenswürdigen" Arbeitsplatz-PC verlangt wird. In diesem Moment ist das Passwort die einzige
Hürde. Wer den Zettel auf dem Schreibtisch sieht, ist drin – ganz ohne das Handy des Kollegen klauen zu müssen.
Meine Meinung dazu: Ein erzwungener Turnus ohne Notwendigkeit sorgt für Frust und
schlechte Sicherheitsgewohnheiten. Wer sein Handy mal zu Hause vergisst, weiß die "Vertrauenswürdigkeit"
seines PCs zwar zu schätzen 😉, aber wir sollten die Sicherheit nicht durch überholte Regeln schwächen,
die die Leute zum Aufschreiben zwingen.
Das Fazit der Experten: Das BSI empfiehlt heute, auf den regelmäßigen Wechsel zu verzichten,
solange keine Anzeichen für einen Missbrauch vorliegen. Ein sicheres, langes Passwort in Kombination mit
einer starken 2FA ist wesentlich effektiver als ein ständiger Wechsel, der am Ende doch nur auf dem
Notizblock landet.
Lieber ein Passwort im Kopf als drei auf dem Papier! *zwinker*