Die meisten erfolgreichen Angriffe auf Unternehmenskonten beginnen nicht mit ausgeklügelter Hackertechnik, sondern mit einem simplen, erratenen oder wiederverwendeten Passwort. Die gute Nachricht: Mit ein paar praktischen Gewohnheiten lässt sich das Risiko im Team drastisch senken – ohne dass Mitarbeitende sich x-stellige Zeichenketten merken müssen.
Länge schlägt Komplexität
"P@ssw0rt!23" wirkt komplex, ist aber für moderne Angriffstools kein großes Hindernis. Deutlich sicherer und leichter zu merken sind lange Passphrasen aus mehreren, zufällig kombinierten Wörtern, zum Beispiel "BlauerTraktorSpringtLeise42". Je länger das Passwort, desto exponentiell aufwendiger wird das Knacken per Brute-Force.
Ein Passwort-Manager als Standard
Der größte Hebel für Unternehmen: ein zentraler Passwort-Manager für das ganze Team. Er erstellt für jeden Dienst ein einzigartiges, starkes Passwort und merkt es sich – Mitarbeitende müssen sich nur noch ein einziges Master-Passwort merken. Das eliminiert das größte Risiko: die Wiederverwendung von Passwörtern über mehrere Dienste hinweg.
Nie zwei Konten, ein Passwort
Wird ein Passwort bei einem gehackten Drittanbieter geleakt (was regelmäßig passiert, ganz unabhängig vom eigenen Unternehmen), probieren Angreifer es automatisiert bei anderen Diensten aus – E-Mail, Online-Banking, Cloud-Speicher. Ein einzigartiges Passwort pro Dienst stoppt diesen sogenannten "Credential Stuffing"-Angriff sofort.
Zwei-Faktor-Authentifizierung (2FA) überall aktivieren
Selbst ein gestohlenes Passwort nützt Angreifern wenig, wenn zusätzlich ein Code vom Smartphone oder ein Sicherheitsschlüssel benötigt wird. 2FA sollte mindestens für E-Mail-Postfächer, Cloud-Dienste und Online-Banking im Unternehmen Pflicht sein.
Regelmäßiger Wechsel? Nur bei Bedarf
Entgegen alter Empfehlungen rät auch das BSI mittlerweile davon ab, Passwörter ohne Anlass in starren Intervallen zu wechseln – das führt in der Praxis oft nur zu schwächeren, leicht zu erratenden Varianten (z. B. "Sommer2024" wird zu "Sommer2025"). Ein Wechsel ist vor allem dann sinnvoll, wenn ein Passwort tatsächlich kompromittiert wurde.
Eine kurze Checkliste fürs Team
- Ein Passwort-Manager für alle beruflichen Zugänge
- Mindestens 12–16 Zeichen, im Idealfall eine Passphrase
- Kein Passwort mehrfach verwenden
- 2FA überall aktivieren, wo es angeboten wird
- Verdacht auf ein kompromittiertes Passwort sofort melden und ändern
Wie stark ist ein bestehendes Passwort wirklich? Teste es unverbindlich und ohne Übertragung an einen Server mit unserem kostenlosen Passwort-Checker. Für die Einführung eines unternehmensweiten Passwort-Konzepts unterstützen wir Betriebe in Rhede, Bocholt und Umgebung im Rahmen unseres Cybersicherheits-Checkups.