Blog
Hilfe
de
en
fr
IT Dienstleistungen

Passwort-Sicherheit im Unternehmen: Warum Richtlinien allein nicht reichen

Adrian Pawliczuk

9

min Lesezeit

Mindestlänge, Sonderzeichen, regelmäßiger Wechsel – und trotzdem landen Passwörter auf Post-its. Warum klassische Richtlinien scheitern und welche Maßnahmen im Mittelstand wirklich funktionieren.

Inhaltsverzeichnis

Das wichtigste in Kürze:

  • Passwort-Richtlinien allein schützen nicht – sie erzeugen oft genau das Verhalten, das sie verhindern sollen (Post-its, Variationen, geteilte Accounts)
  • Typische KMU-Realität: Passwörter in Excel, Mehrfachnutzung, geteilte Admin-Konten, unvollständiges Offboarding
  • Angreifer loggen sich ein, statt einzubrechen – per Credential Stuffing und Password Spraying (über 17 Mrd. geleakte Datensätze verfügbar)
  • Veraltete Empfehlungen abschaffen – BSI und NIST raten vom 90-Tage-Zwangswechsel ab, da er schwächere Passwörter erzeugt
  • Passwort-Manager als Game-Changer – einzigartige Passwörter pro Dienst, zentrale Verwaltung, sicheres Teilen, sofortiges Offboarding, Breach-Monitoring
  • MFA ist Pflicht – blockiert laut Microsoft über 99,9 % automatisierter Kontoübernahmen

Ein Mitarbeiter verlässt das Unternehmen. Drei Monate später funktioniert sein Passwort noch — für das CRM, den Cloud-Speicher, das Buchungssystem. Niemand hat die Zugänge gesperrt, weil niemand wusste, welche Zugänge überhaupt existierten.

Das ist kein Einzelfall — es ist die Realität der Passwort-Sicherheit im Mittelstand. Und es ist noch der harmlose Verlauf — denn dasselbe Passwort, das der ehemalige Mitarbeiter für den Cloud-Speicher nutzte, schützt oft auch Dienste, von denen die IT-Abteilung gar nichts weiß. Der Verizon Data Breach Investigations Report 2025 belegt: Kompromittierte Zugangsdaten gehören zu den häufigsten Angriffsvektoren bei Datenschutzverletzungen.

Das Paradoxe daran: Die meisten Unternehmen haben Passwort-Richtlinien. Mindestlänge, Sonderzeichen, regelmäßiger Wechsel — auf dem Papier klingt das nach Passwort-Sicherheit. In der Praxis erzeugen genau diese Regeln das Verhalten, das sie verhindern sollen: Passwörter auf Post-its, minimale Variationen desselben Grundpassworts für jeden Dienst, geteilte Zugangsdaten per E-Mail.

Dieser Beitrag zeigt, wo die eigentlichen Schwachstellen in der Passwort-Sicherheit mittelständischer Unternehmen liegen — und welche Maßnahmen das Problem tatsächlich lösen.

Passwort-Sicherheit in KMU: Die Realität hinter den Richtlinien

Bei der Analyse mittelständischer IT-Umgebungen fällt ein wiederkehrendes Muster auf: Passwort-Richtlinien existieren — ihre Umsetzung sieht anders aus.

Die Realität in vielen Unternehmen mit 20 bis 200 Mitarbeitenden:

  • Zugangsdaten in Tabellen und Browsern: Passwörter liegen in Excel-Listen, Textdateien oder im Browser-Passwortmanager — ohne Verschlüsselung, ohne Zugriffskontrolle, ohne Audit-Trail.
  • Systematische Wiederverwendung: Dasselbe Passwort für Microsoft 365, das CRM, den Cloud-Speicher und den externen Webshop. Wird einer dieser Dienste kompromittiert, stehen alle anderen offen.
  • Geteilte Accounts: Ein admin@firma.de-Konto, dessen Passwort vier Personen kennen. Wer wann was getan hat, lässt sich nicht nachvollziehen.
  • Fehlendes Offboarding: Beim Austritt eines Mitarbeiters werden E-Mail und VPN gesperrt. Die 30 weiteren SaaS-Zugänge bleiben aktiv — oft monatelang.
  • Kein Überblick: Niemand weiß, wie viele Zugänge im Unternehmen existieren, wer Zugriff hat und welche Passwörter seit Jahren unverändert sind.

Keines dieser Probleme entsteht aus Nachlässigkeit. Es fehlen schlicht die Werkzeuge und Prozesse, um Zugangsdaten über das gesamte Unternehmen hinweg sicher zu verwalten. Die Passwort-Richtlinie im Intranet ändert daran nichts.

Warum Angreifer auf Zugangsdaten statt auf Technik setzen

Firewalls, Endpoint-Schutz, E-Mail-Filter — die technischen Hürden für Angreifer werden höher. Genau deshalb verlagern Cyberkriminelle ihre Strategie: Statt Schutzsysteme zu überwinden, nutzen sie den einfachsten Weg ins Netzwerk — gültige Zugangsdaten.

Zwei Methoden dominieren:

  • Credential Stuffing: Angreifer testen automatisiert Millionen geleakter Benutzername-Passwort-Kombinationen gegen die Login-Seiten von Unternehmen. Wie groß das Reservoir ist, zeigt die Sicherheitsplattform Have I Been Pwned: Über 17 Milliarden Datensätze aus öffentlichen Datenlecks sind dort erfasst. Verwendet ein Mitarbeiter dasselbe Passwort bei einem kompromittierten Dienst und im Unternehmen, genügt ein einziger Treffer.
  • Password Spraying: Statt viele Passwörter gegen ein Konto zu testen — was Sperrmechanismen auslöst — probieren Angreifer wenige häufige Passwörter gegen viele Konten gleichzeitig. Firma2026!, Sommer2025#, Willkommen1! — solche Muster sind vorhersagbar, weil Komplexitätsregeln ohne zentrale Verwaltung genau diese Variationen erzeugen.

Der entscheidende Unterschied zu klassischen Angriffen: Der Angreifer loggt sich ein. Kein Virus, kein Exploit, keine verdächtige Datei. Firewall und Virenscanner bleiben stumm, weil aus ihrer Sicht ein legitimer Benutzer arbeitet. Laut Mandiant M-Trends Report 2025 bewegen sich Angreifer nach dem initialen Zugang mit einer medianen Verweildauer von elf Tagen unentdeckt durch das Netzwerk — genug Zeit, um Daten abzuziehen, weitere Konten zu übernehmen oder eine Ransomware-Attacke vorzubereiten.

Vertiefung: Wie Angreifer über Phishing gezielt Zugangsdaten ernten und warum technische Filter allein nicht ausreichen, beschreibt unser Beitrag Phishing-Schutz für Unternehmen: Wie Sie 90 % der Angriffe bereits vor dem Postfach stoppen.

Veraltete Passwort-Empfehlungen: Was heute nicht mehr funktioniert

Viele Passwort-Richtlinien in KMU basieren auf Empfehlungen, die vor zehn Jahren sinnvoll waren. Die Fachwelt hat ihre Einschätzung seitdem grundlegend revidiert.

Erzwungener Passwortwechsel alle 90 Tage: Das BSI empfiehlt einen Passwortwechsel nur noch bei konkretem Verdacht auf Kompromittierung — nicht nach festem Zeitplan. Dieselbe Einschätzung vertritt das NIST (SP 800-63B). Der Grund ist gut dokumentiert: Regelmäßiger Zwangswechsel führt nachweislich zu schwächeren Passwörtern. Mitarbeitende wählen vorhersagbare Variationen — Sommer2025 wird zu Herbst2025, dann Winter2026. Als Informationssicherheitsbeauftragter begegne ich dieser Praxis regelmäßig — und rate konsequent davon ab.

Komplexitätsregeln ohne zentrale Verwaltung: Acht Zeichen, ein Großbuchstabe, ein Sonderzeichen — diese Vorgabe klingt sicher, erzeugt in der Praxis aber Muster, die Angreifer kennen und gezielt ausnutzen: Firma2026!, Passwort#1, Welcome!23. Ohne Passwort-Manager ist es schlicht unrealistisch, für 50 oder mehr Dienste jeweils ein einzigartiges, komplexes Passwort zu verwenden.

„Passwörter im Kopf behalten": Der durchschnittliche Mitarbeitende nutzt heute Dutzende Anwendungen mit separaten Logins. Wer sich alle Passwörter merken soll, wird sie vereinheitlichen. Das ist kein Fehlverhalten — sondern die vorhersagbare Konsequenz unrealistischer Anforderungen.

Die Schlussfolgerung ist nicht, dass Passwort-Richtlinien überflüssig wären. Aber ohne ein Werkzeug, das ihre Einhaltung praktikabel macht, bleiben sie wirkungslos.

Was ein Passwort-Manager für Unternehmen leistet

Die Lösung für die beschriebenen Probleme ist kein strengeres Regelwerk — sondern ein Werkzeug, das sicheres Verhalten zum Standardfall macht.

Ein professioneller Passwort-Manager wie Keeper Security verändert den Umgang mit Zugangsdaten grundlegend:

  • Automatische Generierung: Für jeden Dienst wird ein einzigartiges, zufälliges Passwort erzeugt. Mitarbeitende müssen sich nur noch ein Master-Passwort merken — die Hürde für sichere Zugangsdaten sinkt auf null.
  • Zentrale, verschlüsselte Verwaltung: Alle Zugangsdaten liegen in einem verschlüsselten Tresor mit rollenbasiertem Zugriff. Die IT-Abteilung behält den Überblick, ohne einzelne Passwörter einsehen zu müssen.
  • Sicheres Teilen: Zugangsdaten für gemeinsam genutzte Dienste werden über den Manager geteilt — nicht per E-Mail, Chat oder Post-it. Jede Freigabe ist nachvollziehbar und jederzeit widerrufbar.
  • Sofortiges Offboarding: Verlässt ein Mitarbeiter das Unternehmen, werden alle seine Zugänge zentral entzogen — innerhalb von Minuten, nicht Monaten.
  • Breach-Monitoring: Der Manager warnt automatisch, wenn Zugangsdaten eines Mitarbeiters in öffentlichen Datenlecks auftauchen. So wird aus einem stillen Risiko ein sichtbarer Handlungsauftrag.

Die größte Hürde bei der Einführung ist selten die Technik — sondern die Akzeptanz. Deshalb hat sich bewährt, Mitarbeitenden neben dem geschäftlichen Konto auch eine private Lizenz bereitzustellen. Wer den Passwort-Manager auch privat nutzt, entwickelt schnell Routine — und umgeht ihn im Berufsalltag seltener.

Zentrale Administration, Richtliniendurchsetzung und Breach-Monitoring lassen sich als Managed Service betreiben — ohne internen Administrationsaufwand. Für KMU ohne dediziertes IT-Security-Team ist das oft der entscheidende Unterschied zwischen erfolgreicher Einführung und Scheitern.

MFA: Die unverzichtbare zweite Schicht

Ein Passwort-Manager löst das Problem der schwachen und wiederverwendeten Passwörter. Gegen Phishing — wo ein Mitarbeiter seine echten Zugangsdaten auf einer gefälschten Seite eingibt — schützt er nicht. Dafür braucht es einen zweiten Faktor.

Multi-Faktor-Authentifizierung (MFA) verlangt neben dem Passwort einen zusätzlichen Nachweis: einen Code aus einer Authenticator-App, eine Push-Bestätigung auf dem Smartphone oder einen physischen Hardware-Token (FIDO2/WebAuthn). Ohne diesen zweiten Faktor ist ein gestohlenes Passwort wertlos. Microsoft-Analysen beziffern die Blockierungsrate auf über 99,9 Prozent aller automatisierten Kontoübernahme-Versuche.

In der Praxis bewährt sich die Kombination: Passwort-Manager für einzigartige Credentials, MFA als Absicherung gegen Phishing und Social Engineering, und ein Monitoring-System, das ungewöhnliche Login-Muster erkennt — etwa Anmeldungen aus unbekannten Regionen oder zu ungewöhnlichen Zeiten. Erst dieses Zusammenspiel schließt die Lücke, die Passwort-Richtlinien allein offenlassen.

Detaillierte Anleitung: Wie Sie MFA, Passwort-Manager und sechs weitere Schutzmaßnahmen Schritt für Schritt umsetzen, lesen Sie in IT-Sicherheit für KMU: Die 8 wichtigsten Maßnahmen gegen Cyberangriffe.

Fazit: Passwort-Richtlinien sind ein Anfang, kein Schutz

Passwort-Richtlinien haben ihren Platz — als Rahmen, der Mindeststandards definiert. Doch ohne ein Werkzeug, das diese Standards durchsetzbar macht, bleiben sie eine Absichtserklärung. Die eigentliche Schwachstelle ist nicht das einzelne schwache Passwort, sondern das Fehlen eines durchgängigen Prozesses: von der Erstellung über die Verwaltung bis zur Deaktivierung beim Offboarding.

Ein Passwort-Manager macht sicheres Verhalten zum Standard statt zur Ausnahme. MFA stellt sicher, dass ein kompromittiertes Passwort allein nicht ausreicht, um Zugang zu erhalten. Zusammen mit einem Monitoring, das ungewöhnliche Login-Aktivitäten erkennt, entsteht ein Schutzkonzept, das die häufigste Angriffsmethode — den Missbrauch gestohlener Zugangsdaten — wirksam entschärft.

Der erste Schritt ist oft der einfachste: Herausfinden, wie viele unkontrollierte Zugänge im Unternehmen tatsächlich existieren. Die Antwort ist meistens ernüchternd — aber sie ist der Anfang.

Wie steht es um Ihre Zugangsdaten?

Wissen Sie, wie viele Passwörter in Ihrem Unternehmen wiederverwendet werden? Oder wie viele Zugänge ehemaliger Mitarbeiter noch aktiv sind? In einem kostenlosen 30-Minuten-Strategiegespräch analysieren wir gemeinsam, wie Ihr Unternehmen Zugangsdaten heute verwaltet — und wo die kritischsten Lücken liegen. Ehrliche Einschätzung, konkrete Empfehlungen, kein Verkaufsdruck.

Als zertifizierter Keeper Security-Partner implementieren wir Passwort-Management als Managed Service — von der Einführung über die Richtlinienkonfiguration bis zum laufenden Betrieb. Unsere eigenen Sicherheitsprozesse lassen wir nach ISO 27001 (Informationssicherheit) und ISO 9001 (Qualitätsmanagement) zertifizieren.

Adrian Pawliczuk

Adrian Pawliczuk leitet seit 2025 bei IDERI den Bereich Managed IT Solutions. Er hat die Einheit aufgebaut und entwickelt Managed-Service-Angebote, die Unternehmen beim sicheren und zuverlässigen Betrieb ihrer IT unterstützen. Sein Schwerpunkt liegt auf praxisnahen und leistungsstarken Lösungen für den Unternehmensalltag.

Passwort-Sicherheit neu gedacht: Ihr kostenloses Strategiegespräch

Jetzt 30-Minuten-Strategiegespräch buchen
Jetzt 30-Minuten-Strategiegespräch buchen

Häufig gestellte Fragen (FAQ)

Hier finden Sie unsere Antworten

Passwort-Richtlinien definieren Mindestanforderungen, bieten aber keine Kontrolle über deren Einhaltung. Ohne zentrale Verwaltung verwenden Mitarbeitende dennoch schwache oder wiederverwendete Passwörter, weil es im Arbeitsalltag schlicht einfacher ist. Ein Passwort-Manager macht sichere Passwörter zum Standard, ohne zusätzlichen Aufwand für die Belegschaft.

Beim Credential Stuffing testen Angreifer automatisiert Millionen von Benutzername-Passwort-Kombinationen aus öffentlichen Datenlecks gegen die Login-Seiten von Unternehmen. Wird ein Passwort für mehrere Dienste verwendet, genügt ein einziges Datenleck, um Zugang zu weiteren Systemen zu erhalten.

Ein Passwort-Manager generiert automatisch einzigartige Passwörter für jeden Dienst, speichert sie verschlüsselt und ermöglicht sicheres Teilen im Team. Die IT-Abteilung erhält einen zentralen Überblick über alle Zugänge und kann beim Austritt eines Mitarbeiters sämtliche Zugriffsrechte sofort entziehen.

MFA verlangt neben dem Passwort einen zweiten Nachweis — etwa einen Code aus einer Authenticator-App oder einen Hardware-Token. Selbst wenn ein Angreifer das Passwort kennt, kann er sich ohne den zweiten Faktor nicht anmelden. Laut Microsoft-Analysen blockiert MFA über 99,9 Prozent aller automatisierten Kontoübernahme-Versuche.

Alle Fragen ansehen
Alle Fragen ansehen

Ähnliche Beiträge

Warum Antivirus keine vollständige Sicherheitsstrategie ist

Antivirus schützt nur vor einem Teil der Cyberangriffe. Erfahren Sie, welche Sicherheitsmaßnahmen Unternehmen zusätzlich benötigen.

Phishing-Schutz für Unternehmen: Wie Sie 90 % der Angriffe bereits vor dem Postfach stoppen

Erfahren Sie, wie Unternehmen Phishing-Angriffe erkennen und stoppen können. Praktische Tipps, technische Schutzmaßnahmen und Security-Strategien für KMU.

IT-Sicherheit für KMU: Die 8 wichtigsten Maßnahmen gegen Cyberangriffe

Erfahren Sie, wie KMU ihre IT-Sicherheit verbessern können. Die 8 wichtigsten Maßnahmen gegen Cyberangriffe – verständlich erklärt für Unternehmen.

PC langsam? Mit SSD-Upgrade wieder schneller arbeiten

Ist Ihr PC zu langsam? Erfahren Sie, wie SSDs, professionelle Datenübernahme & gezielte Optimierungen neuen Schwung in Ihr System bringen.

Ist mein PC sicher? Schutz vor Viren, Ransomware & Co.

Ein Virenscanner allein reicht nicht: Erfahren Sie, wie Updates, Backups und Managed Antivirus Ihre Daten zuhause wirklich schützen.

Wenn der Laptop abstürzt – wie gut sind Ihre Daten wirklich gesichert?

Sichern Sie Ihre PC-Daten zuverlässig mit der lokalen Backup-Lösung von IDERI. Automatisch, komfortabel und ideal für Büro & Home Office.

Checkliste: So machen Sie neue PCs fit für sicheres Arbeiten im Unternehmen

Neue PCs für Ihr Unternehmen? Unsere Checkliste zeigt, wie Sie Ihre Geräte sicher und professionell einrichten.

Managed AI: Wie kleine Unternehmen mit künstlicher Intelligenz endlich Zeit gewinnen

Entdecken Sie, wie „Managed AI“ kleine und mittlere Unternehmen entlastet – mit sofort einsetzbaren KI-Lösungen für Postfach-Automatisierung und Social Media, komplett DSGVO-konform und ohne IT-Stress

Durch Klicken auf „Alle Cookies akzeptieren“ stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingbemühungen zu unterstützen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

EinstellungenAblehnenAlle Cookies akzeptieren
Unternehmen
Über unsPartnerKarriereSponsorenKontaktGlossarIDERI Partner Portal
Rechtliches
ImpressumDatenschutzHaftungsausschlussAGB
Kontaktdaten
Telefon: +49 711 3416 7060E-Mail: info@ideri.com
IDERI GmbH
Gerhard-Koch-Straße 2

73760 Ostfildern

© IDERI GmbH, 1111

Telefon
E-Mail
Hilfe