Jahrelange Empfehlung nicht mehr gültig Passwörter am Arbeitsplatz: Tipps für Sie und Ihre Mitarbeiter

Jahrelang hieß es, man solle seine Computer-Passwörter regelmäßig ändern. Dann schwenkte das Bundesamt für Sicherheit in der Informationstechnik um: Wichtiger sei ein wirklich sicherer Code. Worauf es dabei ankommt – und was Nutzer tun können, damit sie ihre Passwörter immer parat haben.

Harald Czycholl

Auf Anweisungen dieser Art sollten Arbeitgeber besser verzichten: Das Bundesamt für Sicherheit in der Informationstechnik sagt, ein regelmäßiger Passwortwechsel schade mehr als er nützt. - © studio v-zwoelf - stock.adobe.com

Viele Arbeitnehmer kennen das: alle paar Monate wird dazu aufgefordert, das Passwort zu ändern, mal per Rundschreiben, mal zwangsweise direkt beim Hochfahren des Firmenrechners. Die Unternehmen handelten dabei auf Grundlage einer Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die von den Landesdatenschutzbeauftragten übernommen wurden.

Doch vor einigen Monaten rückte das BSI von dieser Vorgabe ab: In einer Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen – geändert werden soll ein Passwort demnach nur noch dann, wenn die Gefahr besteht, dass es in fremde Hände geraten sein könnte.

Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat die Regelung mit seinen neuen Hinweisen zum Umgang mit Passwörtern angepasst. "Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt", so der Landesdatenschutzbeauftragte Stefan Brink. "Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden." Was Arbeitgeber und Arbeitnehmer jetzt wissen müssen.

Warum soll ich mein Passwort nicht mehr regelmäßig ändern?

Viele Sicherheitsexperten vertreten schon seit einiger Zeit die Ansicht, dass solche Regeln eher schaden als nützen. Das regelmäßige Ändern führe nur dazu, dass schwache Passwörter benutzt oder diese nach einem bestimmten Schema wie etwa "sicher1", "sicher2" erzeugt würden, heißt es etwa bei Heise Security.

In Unternehmen hat die Vorgabe mitunter auch dazu geführt, dass sich die Mitarbeiter Zettel mit ihrem jeweils aktuellen Passwort an den Bildschirm kleben. Und das ist natürlich das komplette Gegenteil von IT-Sicherheit. Wichtig sei es, ein gutes, sicheres Passwort zu nutzen. Dieses könne dann auch bedenkenlos über Jahre hinweg verwendet werden, so die Heise-Sicherheitsexperten.

Wie finde ich ein sicheres Passwort – und wie kann ich es mir merken?

Die Rangliste der beliebtesten Passwörter, die das Hasso-Plattner-Institut in Potsdam alljährlich veröffentlicht, ist erschreckend: Seit Jahren wird sie von der Zahlenfolge "123456" angeführt. Da kann man sich den Passwortschutz dann auch gleich sparen. Auch das eigene Geburtsdatum als Passwort zu verwenden, ist keine gute Idee.

Die Verbraucherzentrale Baden-Württemberg rät zu willkürlichen Kombinationen aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen, wobei auf die Umlaute ä, ö und ü lieber verzichtet werden sollte – sonst kann man von einem ausländischen Computer nicht mehr auf seine Mails zugreifen, weil es die Buchstaben auf den dortigen Tastaturen nicht gibt. Zudem sollte ein gutes Passwort mindestens zehn Zeichen umfassen.

Bei der Suche nach sicheren Passwörtern kann man sich zum Beispiel einen individuellen Merksatz als Eselsbrücke überlegen und die jeweiligen klein- und großgeschriebenen Anfangsbuchstaben der Wörter aneinanderreihen, so der Rat der Verbraucherzentrale. Ein Beispiel: Der Satz "Ein blaues, kleines Pferd liest Kaffeesatz auf dem Ausflugsdampfer." wird auf diese Weise zum Passwort: "Eb,kPlKadA.". Und das kann keiner so leicht erraten.

  • Bild 1 von 13
    © EmLion - stock.adobe.com
    In den Top 20 der in Deutschland am häufigsten verwendeten Passwörter landet "1q2w3e4r" auf Platz 19. Auf den ersten Blick ganz passabel. Auf den zweiten Blick wird jedoch klar: die Nutzer haben schlicht die Zahlenfolge 1234 eingegeben, unterbrochen durch den jeweils unter der Ziffer liegenden Buchstaben.
  • Bild 2 von 13
    © Lucky Dragon - stock.adobe.com
    Noch häufiger verwenden die Deutschen jedoch simple Zahlenfolgen, nicht selten sogar bestehend aus ein und derselben Ziffer. Den besten Beweis liefert das Ranking: Platz 20: 222222 Platz 9: 000000 Platz 8: 123123 Platz 6: 111111
  • Bild 3 von 13
    © vchalup - stock.adobe.com
    Kommen wir zum anangefochtenen Liebling der Deutschen. Das am häufigsten genutzte Passwort lautet wie auch schon in den Vorjahren "123456". Auf den hinteren Rängen tummeln sich diverese Varianten wie "123456789" (Platz 2), 12345678 (Platz 3), 1234567 (Platz 4) und 1234567890 (Platz 7). Wie es besser geht? Unter dem nächsten Bild gibt das Hasso-Plattner-Institut einige Tipps.
  • Bild 4 von 13
    © adam121 - stock.adobe.com
    Die Kombination aus Buchstaben und Ziffern wird von Sicherheitsexperten empfohlen. Etwas einfallsreicher als "abc123" sollte das Passwort aber doch sein. Platz 10 im Ranking.
  • Bild 5 von 13
    © Mohsen - stock.adobe.com
    Drachen als Hüter des eigenen Datenschatzes? Keine gute Idee. Das Passwort "dragon" ist ein Flop - und landet auf Platz 11 der am häufigsten verwendeten Passwörter.
  • Bild 6 von 13
    © sewcream - stock.adobe.com
    Kein Begriff, nein, ein ganzer Satz findet sich auf Platz 12 der schlechtesten Passwörter wieder. Leider ist es ein sehr geläufiger Satz, was ihn aus Sicherheitsaspekten nicht sehr empfehlenswert macht: "iloveyou" - eine schöne Liebesbekundung, jedoch ein mieses Passwort.
  • Bild 7 von 13
    © Eric Isselée - stock.adobe.com
    In den Top 20 der dümmsten Passwörter geht es affig weiter. Und erneut ist es ein englischsprachiger Begriff, der es sich in der deutschen Hitliste bequem macht: "monkey", zu Deutsch: "Affe" landet auf Rang 14. Liegt es daran, dass das At-Zeichen (@) umgangssprachlich auch "Klammeraffe" genannt wird? Wir wissen es nicht.
  • Bild 8 von 13
    © pathdoc - stock.adobe.com
    Die Aufforderung "Bitte Passwort eingeben" scheinen viele Deutsche falsch verstanden zu haben. Denn "password" ist eines der am häufigsten verwendeten Kennwörter Deutschlands. Auf Platz 13 landet "password1", auf Rang 5 "password".
  • Bild 9 von 13
    © nesta9 - stock.adobe.com
    "qwertz" - immerhin ein Wort, das sich nicht im Duden findet. In der Hitliste der schlechtesten Passwörter landet es dennoch auf den vorderen Rängen. In den Top 20 ist es genau genommen gleich zweimal vertreten. Auf Platz 18 (qwertz) und auf Platz 15 (qwertz123). Das Geheimnis hinter dem seltsamen Begriff ist schnell gelüftet. Wirft man einen Blick auf die Tastatur, sieht man, dass dort die ersten sechs Buchstaben links oben von links nach rechts gelesen Q, W, E, R, T und Z lauten.
  • Bild 10 von 13
    © BillionPhotos.com - stock.adobe.com
    Offensichtlich sind englischsprachige Passwörter allgemein recht verbreitet im deutschen Raum. Auf Platz 16 der in Deutschland am häufigsten genutzten Passwörter landet "target123". Zu Deutsch: "Ziel123". Auch wenn das Passwort sowohl Buchstaben als auch Ziffern beinhaltet: es verfehlt sein eigentliches Ziel.
  • Bild 11 von 13
    © BillionPhotos.com - stock.adobe.com
    Klingeling. Auf Platz 17 der schlechtesten Passwörter landet das englische Wort "tinkle". Zu Deutsch: klimpern, klingeln, bimmeln - umgangssprachlich kann "tinkle" auch mit "pinkeln" übersetzt werden. Wie auch immer: Die Datensicherheit dürfte mit diesem Passwort uriniert - äh - ruiniert sein.
  • Bild 12 von 13
    © pathdoc - stock.adobe.com
    Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut:
    • Lange Passwörter (> 15 Zeichen)
    • Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
    • Keine Wörter aus dem Wörterbuch
    • Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
    • Verwendung von Passwortmanagern
    • Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
    • Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
  • Bild 13 von 13
    © Maxim Grebeshkov - stock.adobe.com
    Allen Warnungen zum Trotz: viele Deutsche verwenden noch immer miserable Passwörter. Das Hasso-Plattner-Institut (HPI) hat jetzt eine Hitliste mit den meistgenutzten - und damit auch unsichersten - Passwörtern veröffentlicht.

    Die Daten stammen aus dem HPI Identity Leak Checker, dem Online-Sicherheitscheck des HPI. Datengrundlage waren 67 Millionen Zugangsdaten, die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2019 geleakt, also veröffentlicht wurden.

Welche technischen Hilfsmittel gibt es für die Passwortverwaltung?

Willkürliche Zeichenkombinationen sind zwar sehr sicher, ohne Eselsbrücke kann man sie sich aber auch nur sehr schwer merken. Abhilfe versprechen spezielle Passwortmanager, also Computerprogramme, die per Zufallsgenerator sichere Log-in-Daten erzeugen und diese anschließend verschlüsselt abspeichern. Diese sind vor allem dann sinnvoll, wenn man bei vielen verschiedenen Online-Diensten angemeldet ist und dort unterschiedliche Passwörter verwendet. Die Stiftung Warentest hat jüngst Passwortmanager getestet und drei davon mit der Note "gut" ausgezeichnet: Keeper Security, 1Password und die kostenlos erhältliche Software KeePass.

Was muss ich beachten, wenn mein Passwort in fremde Hände geraten ist?

Besteht der Verdacht, dass das Passwort in falsche Hände geraten sein könnte – etwa weil ein Virus auf dem Computer entdeckt wurde oder Amazon plötzlich nie bestellte Produkte verschickt – sollte man sein Passwort unbedingt ändern. Hilfreich kann es auch sein, regelmäßig zu prüfen, ob gestohlene Daten im Netz verfügbar sind. Dies ist bei verschiedenen Datenbanken möglich, etwa beim Identity Leak Checker des Hasso-Plattner-Instituts oder auf Haveibeenpwned.com. Findet man dort seine Mailadresse, sollte man direkt alle Zugänge ändern, die diese E-Mail-Adresse nutzen, also auch die Log-In-Daten für soziale Netzwerke wie Facebook oder Xing sowie den Amazon-Account.

Wie können Arbeitgeber ihre Mitarbeiter sensibilisieren?

Unternehmen sind in der Pflicht, ihre Mitarbeiter durch Schulungen und regelmäßige Informationen vor den Gefahren in der digitalen Sphäre zu schützen. Denn eine Kette ist immer nur so stark wie ihr schwächstes Glied und menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Probleme bei der IT-Sicherheit.

Schon ganz einfache Verhaltensregeln können dazu beitragen, das Risiko zu minimieren, Opfer eines Hackerangriffs oder Datendiebstahls zu werden. Beim Entsperren mobiler Geräte müsse beispielsweise klar sein, dass das Eingeben von Passwörtern in nicht gesicherten Bereichen durchaus mitgefilmt werden kann, sagt Friedrich Wimmer, Leiter IT-Forensik & Cyber Security Research beim Risikomanagement-Unternehmen Corporate Trust.

"Dem Risiko kann einfach begegnet werden, indem beim Eingeben von Passwörtern der Laptopdeckel etwas nach unten geklappt wird." Auch technische Lösungen wie Fingerabdrucksensoren könnten helfen, so Wimmer. "Ferner sollten unbekannte Zertifikate und Warnmeldungen nicht akzeptiert und Sichtschutzfolien genutzt werden." Diese helfen dabei, Blicke der Sitznachbarn in Zug oder Flugzeug zu verhindern.

6 Regeln für gute Passwörter

Ein gutes, sicheres Passwort zu finden, ist gar nicht so leicht. Die Verbraucherzentrale Baden-Württemberg hat sechs Regeln für gute Passwörter aufgestellt:

  1. Ein Passwort sollte mindestens 10 Zeichen lang sein.
  2. Es sollte aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (z.B. § & ? * ! ? ) bestehen und nicht in einem Wörterbuch zu finden sein oder mit dem Nutzer selbst oder der Familie im Zusammenhang stehen. Namen, Geburtsdaten, Telefonnummern oder Ähnliches sind also tabu.
  3. Es sollte keine bloße Zahlenfolge (12345…), alphabethische Buchstabenfolge (abcdef…) oder eine Reihe benachbarter Tasten auf der Tastatur (qwertz…) darstellen.
  4. Je sensibler ein Zugang ist (etwa beim Online-Banking), umso mehr Sorgfalt sollte man bei der Auswahl eines starken Passworts walten lassen.
  5. Nicht das gleiche Passwort für alle Portale nutzen, sondern mindestens für die wichtigsten und meist genutzten Dienste eigene Passwörter anlegen.
  6. Wurde das Passwort von einem Anbieter übermittelt, sollte man es bei der ersten Anmeldung auf dem jeweiligen Portal ändern. Weitere Gründe zum Ändern des Codes wären, wenn der Online-Dienstleister einen dazu auffordert, große Datenlecks bekannt werden, der Computer mit Schadsoftware infiziert worden ist.