Passwörter richtig verwalten: Der Leitfaden für Unternehmen

"Passwort123", "Firma2024", "Sommer2025!" – als IT-Dienstleister aus Bochum sehen wir solche Passwörter leider immer noch täglich. Und das, obwohl 81% aller Datenverletzungen auf schwache oder gestohlene Passwörter zurückgehen.

In diesem Leitfaden zeigen wir Ihnen, wie Sie Passwörter in Ihrem Unternehmen sicher verwalten – pragmatisch und ohne die Produktivität zu opfern.

Die erschreckende Realität

• 81% aller Hacking-Angriffe nutzen schwache oder gestohlene Passwörter
• 65% der Menschen verwenden dasselbe Passwort für mehrere Konten
• Im Darknet sind Milliarden von Passwörtern aus Datenlecks verfügbar
• Durchschnittlicher Schaden eines kompromittierten Kontos für KMU: 25.000€

Wie Passwörter gestohlen werden

Phishing: Gefälschte Login-Seiten

Credential Stuffing: Gestohlene Passwörter aus Datenlecks bei anderen Diensten

Brute Force: Durchprobieren aller Möglichkeiten

Keylogger: Malware, die Tastatureingaben aufzeichnet

Social Engineering: Manipulation von Mitarbeitern

Schulter-Surfen: Abschauen bei der Eingabe

Fehler 1: Einfache, erratbare Passwörter

Klassiker:

• Firma2024, Sommer2025
• Name des Haustiers/Kindes
• Geburtsdatum
• Tastaturmuster (qwerty, 123456)

Warum gefährlich: Angreifer nutzen Wörterbücher und bekannte Muster. "Firma2024" wird in Sekunden geknackt.

Fehler 2: Gleiches Passwort überall

Das Problem: Ein Datenleck bei einem Dienst = Zugang zu allen anderen Konten.

Beispiel: Ihr Mitarbeiter nutzt dasselbe Passwort für LinkedIn und das Firmennetzwerk. LinkedIn wird gehackt → Angreifer haben Zugang zu Ihrem Netzwerk.

Fehler 3: Passwörter auf Post-Its

Realität in vielen Büros: Passwörter auf Post-Its am Monitor, unter der Tastatur oder in der Schreibtischschublade.

Folge: Jeder Besucher, Reinigungskraft oder Einbrecher hat Zugang.

Fehler 4: Passwörter per E-Mail teilen

Das Problem: E-Mails sind nicht verschlüsselt. Passwörter in E-Mails sind wie Postkarten.

Fehler 5: Keine regelmäßige Änderung bei Bedarf

Wann sollte geändert werden:

• Nach einem Sicherheitsvorfall
• Wenn ein Mitarbeiter das Unternehmen verlässt
• Bei Verdacht auf Kompromittierung

Mythos entlarvt: Erzwungener Passwortwechsel alle 90 Tage führt zu schlechteren Passwörtern ("Firma1", "Firma2", ...). Besser: Starke Passwörter und MFA.

Fehler 6: Kein Offboarding-Prozess

Das Problem: Mitarbeiter verlassen das Unternehmen, aber Zugänge werden nicht deaktiviert.

Statistik: 20% der Ex-Mitarbeiter haben noch Zugang zu Firmensystemen.

Fehler 7: Kein MFA

Erschreckend: 99,9% der kompromittierten Konten hatten keine Multi-Faktor-Authentifizierung.

1. Passwort-Manager einführen

Ein Passwort-Manager speichert alle Passwörter verschlüsselt. Sie merken sich nur noch ein Master-Passwort.

Vorteile:

• Für jeden Dienst ein einzigartiges, starkes Passwort
• Automatisches Ausfüllen (kein Tippen, kein Shoulder-Surfing)
• Sichere Passwort-Generierung
• Team-Sharing für gemeinsam genutzte Zugänge
• Audit-Trail: Wer hat wann auf welches Passwort zugegriffen?

Passwort-Manager im Vergleich:

Unsere Empfehlung für KMU: Bitwarden (bestes Preis-Leistungs-Verhältnis) oder 1Password (beste Usability).

2. Starke Passwörter generieren

Mindestanforderungen 2026:

• Mindestens 16 Zeichen (besser 20+)
• Zufällig generiert (kein System erkennbar)
• Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen

Beispiele:

• ❌ Schlecht: Firma2025!
• ❌ Schlecht: MeinHund$Bello
• ✅ Gut: xK7#mP2$nQ9&wL4@
• ✅ Gut: correct-horse-battery-staple (Passphrase)

Passphrasen: Eine Alternative zu kryptischen Passwörtern sind Passphrasen aus 4-6 zufälligen Wörtern. Leichter zu merken, genauso sicher.

3. Multi-Faktor-Authentifizierung (MFA) aktivieren

Was ist MFA? Ein zweiter Faktor neben dem Passwort:

• Etwas, das Sie wissen (Passwort)
• Etwas, das Sie haben (Handy, Hardware-Key)
• Etwas, das Sie sind (Fingerabdruck)

MFA-Methoden im Vergleich:

Wo MFA aktivieren (Priorität):

1. 1E-Mail (Tor zu allen anderen Konten!)
2. 2Cloud-Dienste (Microsoft 365, Google)
3. 3VPN-Zugang
4. 4Banking und Finanzen
5. 5Admin-Zugänge
6. 6Alle anderen Dienste

4. Passwort-Richtlinie implementieren

Inhalt einer Passwort-Richtlinie:

Technische Anforderungen:

• Mindestlänge: 16 Zeichen
• Komplexität: Groß, klein, Zahl, Sonderzeichen
• Keine Wörterbuchbegriffe
• Keine persönlichen Informationen (Name, Geburtsdatum)

Organisatorische Regeln:

• Passwort-Manager ist Pflicht
• MFA ist Pflicht für alle Cloud-Dienste
• Kein Teilen von Passwörtern (außer über Passwort-Manager)
• Bei Verdacht sofort melden
• Regelmäßige Schulungen

Prozesse:

• Onboarding: Neue Mitarbeiter erhalten Passwort-Manager-Zugang
• Offboarding: Alle Zugänge werden sofort deaktiviert
• Vorfall: Passwort-Änderung bei Verdacht auf Kompromittierung

5. Privilegierte Konten besonders schützen

Was sind privilegierte Konten?

• Administrator-Accounts
• Service-Accounts
• Root/System-Zugänge
• Zugänge zu kritischen Systemen

Besondere Maßnahmen:

• Separate Admin-Konten (nicht für E-Mail/Alltag nutzen!)
• Stärkere MFA (Hardware-Keys)
• Protokollierung aller Zugriffe
• Regelmäßige Überprüfung der Berechtigungen

Phase 1: Vorbereitung (Woche 1-2)

1. 1Passwort-Manager auswählen
2. 2Testgruppe definieren (IT + 2-3 Pilotnutzer)
3. 3Richtlinie erstellen
4. 4Schulungsmaterial vorbereiten

Phase 2: Pilotphase (Woche 3-4)

1. 1Testgruppe einrichten
2. 2Feedback sammeln
3. 3Prozesse anpassen
4. 4FAQ erstellen

Phase 3: Rollout (Woche 5-8)

1. 1Abteilungsweise ausrollen
2. 2Schulungen durchführen
3. 3Support bereitstellen
4. 4Adoption überwachen

Phase 4: Optimierung (laufend)

1. 1Nutzung analysieren
2. 2Nicht-Nutzer nachschulen
3. 3Neue Mitarbeiter onboarden
4. 4Richtlinie aktualisieren

Technisch:

• [ ] Passwort-Manager für alle Mitarbeiter
• [ ] MFA für alle Cloud-Dienste
• [ ] MFA für VPN-Zugang
• [ ] Admin-Konten besonders geschützt
• [ ] Passwort-Komplexität erzwungen (wo möglich)

Organisatorisch:

• [ ] Passwort-Richtlinie dokumentiert
• [ ] Schulungen durchgeführt
• [ ] Onboarding-Prozess definiert
• [ ] Offboarding-Prozess definiert
• [ ] Meldeprozess bei Verdacht

Audit:

• [ ] Regelmäßige Überprüfung der Berechtigungen
• [ ] Inaktive Konten deaktivieren
• [ ] Geteilte Konten identifizieren und abschaffen

Als IT-Dienstleister aus Bochum unterstützen wir Unternehmen im Ruhrgebiet bei der Einführung sicherer Passwort-Praktiken:

Unsere Services:

• Passwort-Manager Auswahl und Einführung
• MFA-Implementierung
• Passwort-Richtlinien entwickeln
• Mitarbeiterschulungen
• Security Audits

Sichere Passwörter müssen nicht kompliziert sein – mit den richtigen Tools und Prozessen wird es sogar einfacher als vorher. Ein Passwort-Manager und MFA sind heute Pflicht, nicht Kür.

Die drei wichtigsten Takeaways:

1. 1Passwort-Manager nutzen: Ein starkes Master-Passwort, der Rest wird generiert.
2. 2MFA aktivieren: Der wichtigste Schutz gegen gestohlene Passwörter.
3. 3Mitarbeiter schulen: Die beste Technik hilft nicht ohne Awareness.

---

Sie möchten Ihre Passwort-Sicherheit verbessern?

Wir helfen bei der Einführung von Passwort-Managern und MFA. Sprechen Sie uns an!