Der 1. Februar ist der Welttag des Passwortwechsels. Er wurde 2012 ins Leben gerufen, um das Bewusstsein für sichere Passwortverwaltung zu fördern und dient jährlich als Erinnerung, die Online-Sicherheit zu verbessern und sich vor Cyberbedrohungen zu schützen. Für Unternehmen ist die Gewährleistung sicherer Passwortpraktiken bei ihren Mitarbeitern eine bewährte und unerlässliche Vorgehensweise.

Cyberbedrohungen entwickeln sich ständig weiter, wobei ausgeklügelte KI-gestützte Angriffe wie Deepfakes und KI-Phishing immer häufiger auftreten. Angriffe auf Lieferketten führen weiterhin zu aufsehenerregenden Vorfällen. Doch menschliches Versagen bleibt die Hauptursache für Datenschutzverletzungen: eine Studie aus dem Jahr 2025. Mimecast Es wurde festgestellt, dass 95 % der Datenschutzverletzungen auf menschliches Versagen zurückzuführen sind.

In dieser angespannten Cyberlandschaft kann die Einhaltung grundlegender Cybersicherheitsanforderungen wie beispielsweise guter Passworthygiene das Risiko mindern. Sie bildet zudem eine solide Grundlage für den Aufbau einer Kultur des Bewusstseins für Informationssicherheit.

Die Bedeutung einer guten Passwortverwaltung

Passwörter sind der Schlüssel zu unserer digitalen Sicherheit. Ein sicheres Passwortmanagement ist daher ein entscheidender Bestandteil jeder Risikomanagementstrategie. Schwache, leicht zu erratende Passwörter erhöhen das Risiko erfolgreicher Datenlecks und ermöglichen Hackern den Zugriff auf private E-Mails, Netzwerke sowie sensible Unternehmens- und Kundendaten.

Datenpannen sind die häufigste Art von Cybersicherheitsvorfällen. Bericht zum Stand der Informationssicherheit 2025 Eine Studie von IBM ergab, dass fast ein Drittel (31 %) der Unternehmen in den letzten zwölf Monaten einen Datenverstoß erlitten hat, gefolgt von Phishing und Vishing (30 %) sowie Malware-Infektionen (29 %). Diese Vorfälle bergen zudem Reputations- und finanzielle Risiken. Kosten einer Datenschutzverletzung 2025 Laut dem Bericht beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung für ein Unternehmen weltweit auf 4.4 Millionen US-Dollar, was einem Rückgang von 9 % seit 2024 entspricht.

Auch Reputationsschäden können erhebliche Auswirkungen haben. Vercara-Forschung Eine Studie ergab, dass die Mehrheit (66%) der US-Kunden einem Unternehmen, das Opfer eines Datenlecks wird, ihre Daten nicht anvertrauen würden, und dass 44% Cybervorfälle auf mangelnde Sicherheitsmaßnahmen eines Unternehmens zurückführen würden.

Darüber hinaus kann eine gute Passwortsicherheit dazu beitragen, die Einhaltung von Datenschutzbestimmungen wie der EU-Datenschutz-Grundverordnung zu verbessern. (BIPR)Datenschutzstandards wie ISO 27701  und Informationssicherheitsstandards wie ISO 27001 .

Herausforderungen bei der Passwortverwaltung

Im Idealfall würde jeder Mitarbeiter für jeden Login ein individuelles Passwort verwenden. In der Praxis ist es jedoch unpraktisch, sich mehrere verschiedene Passwörter zu merken, und es kann zu Passwortmüdigkeit führen. Auch die Einhaltung der Passwortrichtlinien durchzusetzen, kann schwierig sein. Ein guter Anfang ist, Systemregeln für die Passwortlänge festzulegen und Passwörter nach einer bestimmten Zeit zu aktualisieren.

Best Practices für die geschäftliche Passwortverwaltung

Organisationen können durch verschiedene bewährte Methoden sicherstellen, dass Mitarbeiter die Best Practices für Passwortsicherheit einhalten:

Passwortlänge und -komplexität

Erwägen Sie die Festlegung von Anforderungen, dass Passwörter zwischen 12 und 20 Zeichen lang sein müssen, mit einer Reihe von Klein- und Großbuchstaben, Sonderzeichen und Zahlen zur Erhöhung der Sicherheit. Eine Studie von CyLab Security and Privacy Institute der Carnegie Mellon University stellte fest, dass die Anforderung einer Mindeststärke und einer Mindestlänge von 12 Zeichen ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit schafft.

Richtlinien aktualisieren

Während der Global Change Your Password Day eine rechtzeitige Erinnerung an die Aktualisierung von Passwörtern ist, sollte dies nicht der einzige Zeitpunkt sein, an dem Passwörter geändert werden. Das Sicherheitssoftwareunternehmen McAfee empfiehlt, Passwörter alle drei Monate zu ändern.

Wiederverwendung von Passwörtern

Für Mitarbeiter kann es verlockend sein, dasselbe Passwort für mehrere Konten in ihrer Arbeitsumgebung zu verwenden. Allerdings erhöht sich dadurch das Risiko einer Kontoübernahme. Wenn ein Bedrohungsakteur mit diesem Passwort Zugriff auf ein Konto hat, hat er effektiv Zugriff auf alle. Schulungen und Schulungen der Mitarbeiter können dazu beitragen, dieses Risiko zu mindern, indem sie die Wiederverwendung von Passwörtern verhindern.

Tools zur Kennwortverwaltung

Ob als eigenständige Anwendung oder in Browser integriert – diese Tools schließen die Lücke zwischen Sicherheit und Benutzerfreundlichkeit, indem sie starke, individuelle Passwörter für jede Website und Anwendung speichern und sicher abrufen. Wichtig ist jedoch zu beachten, dass ein Hacker, der Zugriff auf das Passwortverwaltungstool erlangt, alle darin gespeicherten Passwörter kompromittieren kann.

Implementierung der Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung (MFA) erfordert, dass der Benutzer zwei (oder mehr) Formen der Verifizierung bereitstellt, um auf ein Konto zuzugreifen. MFA kann beispielsweise verlangen, dass sich der Benutzer mit seinem Benutzernamen und Passwort anmeldet und dann ein Einmalpasswort (OTP) per SMS an sein Telefon sendet. Der Benutzer muss sowohl sein Passwort als auch das Einmalpasswort angeben, um auf das Konto zuzugreifen, was eine zusätzliche Sicherheitsebene bietet.

Es gibt verschiedene Arten von MFA:

OTPs und zeitbasierte OTPs

OTPs sind eine starke Form der MFA und können über Authentifizierungs-Apps, Passwort-Manager oder Textnachrichten (SMS) gesendet werden. Sobald das Passwort verwendet wurde, ist es für eine erneute Verwendung nicht mehr gültig. Zeitbasierte Einmalpasswörter (TOTPs) bieten eine zusätzliche Sicherheitsebene, da sie nur für eine begrenzte Zeit gültig sind.

Die Verwendung von OTPs und TOTPs mit einer Authentifizierungs-App oder einem Passwort-Manager ist sicherer als der Empfang per SMS. Textnachrichten sind anfällig für SIM-Hacking, Abhörangriffe und Social Engineering.

E-Mail-MFA

Bei der E-Mail-MFA wird die zweite Form der Authentifizierung des Benutzers an seine E-Mail-Adresse gesendet. Diese Form der MFA ist zwar einfach und für Benutzer zugänglich, birgt jedoch ähnliche Risiken wie SMS-OTPs, wenn ein Hacker Zugriff auf das E-Mail-Konto hat, an das der Code übermittelt wird.

Biometrische MFA

Die biometrische Zwei-Faktor-Authentifizierung (2FA) nutzt Gesichtserkennung, Fingerabdruck- oder Iris-Scan zur Identitätsprüfung und bietet eine hohe Sicherheit. Sie wird häufig auf Mobiltelefonen eingesetzt, da Nutzer biometrische Merkmale anstelle einer PIN zum Entsperren des Telefons konfigurieren und diese sogar für den Zugriff auf sichere Anwendungen wie Authentifizierungs- und Online-Banking-Apps verwenden können.

Obwohl die biometrische MFA eine der robusteren Formen der Authentifizierung ist, können Benutzer dennoch anfällig sein, wenn ihre biometrischen Daten gestohlen werden. Im Gegensatz zu Passwörtern können diese Daten nicht zurückgesetzt oder geändert werden.

Mitarbeiterschulung und Richtliniendurchsetzung

Eines der Haupthindernisse für eine verbesserte Passwortsicherheit ist das Risiko menschlicher Fehler. Die Schulung der Mitarbeiter ist von entscheidender Bedeutung, um sicherzustellen, dass jeder im Unternehmen die Risiken kennt, die mit einer fehlerhaften Passwortverwaltung verbunden sind, und seine Verantwortung für die Cybersicherheit kennt. Es ist jedoch auch wichtig, Lösungen bereitzustellen, die es den Mitarbeitern ermöglichen, sich auf ihre Arbeit zu konzentrieren und eine Passwort-Müdigkeit zu vermeiden.

Cybersicherheitstraining

Investitionen in Schulungen zur Cybersicherheit für Mitarbeiter tragen zur Unternehmenssicherheit bei und befähigen die Mitarbeiter, Risiken wie Phishing-Angriffe zu erkennen und zu melden. Viele spezialisierte Schulungsplattformen ermöglichen es Unternehmen, unternehmensweite Kurse anzubieten, die Teilnahme zu überwachen und automatisch E-Mail-Erinnerungen zu versenden.

Kennwortrichtlinie

Entwickeln Sie eine Passwortrichtlinie, die auf Best Practices abgestimmt ist, und kommunizieren Sie diese Richtlinie im gesamten Unternehmen. Dies kann zusammen mit Cybersicherheitsschulungen erfolgen, um jedem im Unternehmen zu helfen, die Entscheidungsfindung hinter der Richtlinie zu verstehen und die Einhaltung der Richtlinie durch die Mitarbeiter zu verbessern.

Richtlinien könnten die Mindestlänge des Passworts, die Komplexität, zulässige Zeichentypen und andere Elemente festlegen. Wie bereits erwähnt, kann das IT-Team die Geräte der Mitarbeiter auch so einrichten, dass nach einem bestimmten Zeitraum, beispielsweise 90 Tagen, Updates erforderlich sind.

Wie ISO 27001 und andere Frameworks helfen können

Informationssicherheitsrahmen wie ISO 27001 und Vorschriften wie die DSGVO verlangen von Unternehmen, Maßnahmen zur Passwortsicherheit zu ergreifen.

Beispielsweise verlangt die DSGVO von Unternehmen, personenbezogene Daten mithilfe „geeigneter technischer und organisatorischer Maßnahmen“ sicher zu verarbeiten ISO 27001:2022 Annex A Control 5.17 verlangt, dass Authentifizierungsinformationen sicher aufbewahrt werden. In den Kontrollleitlinien heißt es außerdem, dass Benutzer schwer zu erratende, sichere Passwörter in Übereinstimmung mit Industriestandards wählen sollten:

  • Passwörter sollten nicht auf leicht erhältlichen persönlichen Informationen wie Namen oder Geburtsdaten basieren.
  • Passwörter sollten nicht auf leicht zu erratenden Informationen basieren.
  • Passwörter dürfen keine gebräuchlichen Wörter oder Wortfolgen enthalten.
  • Verwenden Sie in Ihrem Passwort alphanumerische Zeichen und Sonderzeichen.
  • Passwörter sollten eine Mindestlänge erfordern.

Fünf Schritte zur Verbesserung der Passwortrichtlinie

1) Überprüfen Sie die aktuelle Passwortrichtlinie

Überprüfen Sie die bestehende Passwortrichtlinie der Organisation. Muss es aktualisiert oder verbessert werden? Wenn keine aktuelle Passwortrichtlinie vorhanden ist, entwickeln Sie eine, die den Industriestandards entspricht.

2) Kommunikation im gesamten Unternehmen

Stellen Sie sicher, dass alle Mitarbeitenden über neue oder aktualisierte Passwortrichtlinien informiert sind. Definieren Sie die Richtlinie und deren Notwendigkeit und erwägen Sie, die Mitarbeitenden parallel dazu zu schulen. Organisationen sollten außerdem Führungskräfte schulen, damit diese die Richtlinie gegenüber anderen vertreten können.

3) Implementieren Sie Passwortverwaltungstools

Wählen Sie zugelassene Tools zur Passwortverwaltung. Der Einsatz eines Verwaltungstools erleichtert das Merken verschiedener Anmeldeinformationen für verschiedene Konten und erhöht so die Wahrscheinlichkeit, dass die Mitarbeiter sie übernehmen.

4) Verwenden Sie MFA

Implementieren Sie MFA als zusätzliche Möglichkeit, Benutzer zu authentifizieren und das Phishing-Risiko zu verringern.

5) Investieren Sie in die Mitarbeiterschulung

Schulen Sie Ihre Mitarbeiter darin, eine neue oder aktualisierte Passwortrichtlinie einzuhalten, und schulen Sie sie in der Verwendung von Passwortverwaltungs- und MFA-Tools. Dies kann die Akzeptanz steigern und den Mitarbeitern helfen, die Bedeutung einer guten Passwortverwaltung zu verstehen.

Es ist Zeit, Maßnahmen zu ergreifen

Angesichts immer komplexerer Cyberbedrohungen ist es für Unternehmen wichtiger denn je, ihre Cybersicherheitslage zu überprüfen. Der Welttag des Passwortwechsels dient als Aufruf zum Handeln für Führungskräfte. Durch die proaktive Identifizierung von Schwachstellen, die Implementierung bewährter Cybersicherheitspraktiken und die Schulung der Mitarbeiter hinsichtlich ihrer Informationssicherheitsverantwortung können Führungskräfte die von Cyberbedrohungen ausgehenden Risiken angehen und minimieren.

Sind Sie bereit, Maßnahmen zur Verbesserung Ihrer Passwortverwaltung und zur Stärkung der organisatorischen Widerstandsfähigkeit zu ergreifen? Erfahren Sie, wie die zentrale Informationssicherheitsmanagementsystem-Lösung (ISMS) von IO Ihrem Unternehmen helfen kann, die Sicherheitslage zu verbessern und die Passwortrichtlinie an leistungsstarke Informationssicherheitsrahmen anzupassen.