Kurzfassung: In diesem Leitfaden erfährst du, wie du in unter 15 Minuten eine sichere, benutzerfreundliche und auditfähige Passwort‑Richtlinie aufsetzt – inklusive Best‑Practice‑Vorlage zum Download.
1 | Einleitung
- Warum das Thema? Trotz MFA‑Boom sind schwache oder wiederverwendete Passwörter weiterhin das Einfallstor Nr. 1 für Angriffe. Aktuelle Branchenreports zeigen, dass bei rund einem Drittel aller Sicherheitsvorfälle kompromittierte Zugangsdaten im Spiel sind.
- Regulatorischer Druck: Richtlinien wie NIS2, ISO 27001:2022, BSI‑Grundschutz oder PCI‑DSS v4 fordern nachweisbare Kontrollen für das Identitäts‑ und Zugriffsmanagement.
- Ziel dieses Artikels: Dir eine praktikable Vorlage liefern, mit der du eine zeitgemäße Passwort‑Policy definierst, die Security‑Audits besteht, ohne den Helpdesk mit Passwort‑Stress lahmzulegen.
2 | Was ist eine Passwort‑Richtlinie?
Eine Passwort‑Richtlinie (engl. Password Policy) legt verbindlich fest, wie Passwörter im Unternehmen aufgebaut, gespeichert und verwaltet werden müssen. Sie grenzt sich von rein technischen Kontrollen (z. B. MFA, PAM, Passwort‑Manager) ab und beantwortet u. a. folgende Fragen:
| Frage | Typische Richtlinien‑Antwort |
|---|---|
| Mindestlänge | 12 Zeichen (16 Zeichen für privilegierte Konten) |
| Komplexität | Keine Pflicht zu Sonderzeichen, aber Verbot triviale Patterns („123456“) |
| Lebensdauer | Kein erzwungener 90‑Tage‑Wechsel; Rotation nur bei Verdacht/Been‑Pwned‑Treffer |
| Speicherung | Hash & Salt gemäß NIST SP 800‑63‑3 / BSI TR‑02102 |
| Self‑Service | Passwort‑Reset nur mit MFA + Identitätsprüfungen |
3 | Grundlagen starker Passwörter
- Länge > Komplexität – Ein 16‑Zeichen‑Pass‑Satz ist robuster und merkbarer als „P@ssw0rd!“.
- Pass‑Sätze & Diceware – Wortlisten oder Songtexte als Merkhilfe einsetzen.
- Verbot kompromittierter Passwörter – Automatisch gegen „Have I Been Pwned“ oder NIST‑Bad‑Password‑List prüfen.
- Kein erzwungener Turnus – Regelmäßiges Ändern ohne Anlass erhöht Frustration und schwächt Passwörter (NIST, BSI).
- MFA nicht vergessen – Passwörter bleiben Angriffsoberfläche; MFA reduziert den Schadenfaktor drastisch.
4 | Schritt‑für‑Schritt‑Leitfaden zur Policy‑Erstellung
- Risikoanalyse durchführen
Erfasse Daten‑Klassen, Trauensniveaus und potenzielle Angreifer. - Mindestanforderungen definieren
– Länge, – erlaubte Zeichensätze, – Passwort‑Reuse‑Blockade. - Lebenszyklus festlegen
– Gültigkeitsdauer, – Rotation bei Verdacht, – Offboarding‑Prozess. - Technische Durchsetzung planen
– Active Directory GPOs, – Cloud‑IDP‑Policies, – Linux‑PAM‑Module. - Ausnahmen & Privileged Accounts
Höhere Anforderungen oder Pass‑Satz + Hardware‑Token. - Dokumentieren & freigeben
Rollout‑Plan, Change‑Management, Management‑Sign‑off.
5 | Technische Umsetzung (How‑To)
5.1 Windows / Active Directory
# Beispiel‑GPO‑Konfiguration
dsqueryuserOU=“Mitarbeiter“ -limit0 | dsmoduser -pwdneverexpiresno -pwdminlen12 -pwdcomplexityno
- Fine‑Grained Password Policies für Sondergruppen.
- Integration externer Prüfdienste via Azure AD Password Protection.
5.2 Azure AD / Entra ID
- Custom Password Protection Regex.
- Conditional Access Policy für MFA‑Zwang bei Reset.
5.3 Linux & macOS
# Linux‑PAM Beispiel
password requisite pam_passwdqc.so min=disabled,disabled,16,12,8
- pam‑pwquality → Dynamische Stärkeprüfung.
- libpam‑hibp → Checks gegen kompromittierte Hashes.
5.4 SaaS‑Dienste (z. B. Google Workspace, Okta)
- API‑Integration für „Have I Been Pwned“‑Checks.
- Passkeys als Option für passwortlosen Login einführen.
6 | Benutzerfreundlichkeit sicherstellen
| Maßnahme | Effekt |
|---|---|
| Self‑Service‑Reset + MFA | Entlastet Helpdesk, reduziert Phishing‑Risiko |
| Kein Pflichtwechsel alle 90 Tage | Höhere Merkbarkeit, weniger Post‑its |
| Klare Kommunikation | Kürzere Onboarding‑Zeit, höhere Compliance |
Pro‑Tipp: Micro‑Learning‑Snacks (30‑Sekunden‑Videos) zum Thema „Pass‑Satz statt Passwort“ senken „Ticket‑Ping‑Pong“ um bis zu 40 %.
7 | Häufige Fragen (FAQ)
Müssen wir Sonderzeichen erzwingen?
Nein. Die Forschung zeigt, dass Länge wichtiger ist als Komplexität. Lieber 16‑Zeichen‑Pass‑Sätze.
Wie gehe ich mit Dienst‑Konten / Admin-Konten um?
- Längere Pass‑Sätze (24+),
- Automatisierte Rotation via Secrets‑Manager,
- Wo möglich: OAuth 2.0 / Zertifikats‑Auth.
Sind Passwort‑Manager Pflicht?
Empfohlen, aber keine harte Pflicht. Wer keine zentral gemanagte Lösung nutzen kann, sollte min. einen FIDO2‑Token für privilegierte Zugriffe einsetzen.
8 | Fazit & nächste Schritte
- Quick Wins: Länge ≥ 12, kompromittierte Passwörter sperren, MFA für Reset.
- MFA-Rollout ohne Nutzer-Chaos – Praxisleitfaden 2025