Der Klassiker unter den IT-Sicherheitsmaßnahmen: „Bitte ändern Sie regelmäßig Ihr Passwort!“ – ein Rat, der so alt ist wie das Internet selbst und in vielen Köpfen festgesessen hat wie ein zäher Chewing-Gum. Alle 90 Tage, schreiben die Richtlinien vor. Regelmäßig. Zwanghaft. So zum Fünften Mal in diesem Jahr.
Aber hier kommt die unangenehme Wahrheit: Diese Empfehlung ist größtenteils ein Mythos, der mehr Schaden anrichtet als Nutzen bringt – und das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt uns längst Recht.
Das Problem mit dem 90-Tage-Ritual
Lassen Sie uns ehrlich sein: Was tun Sie, wenn Sie aufgefordert werden, zum dritten oder vierten Mal in diesem Jahr ein neues Passwort zu erfinden? Sie werden kreativ. Und leider nicht auf die gute Art.
Typisches Szenario: Sie hatten ein starkes Passwort wie Mein-Lieblings-Pizza-Rezept-2024!. Beim Wechsel wird es zu Mein-Lieblings-Pizza-Rezept-2024!Neu. Ein paar Monate später dann Mein-Lieblings-Pizza-Rezept-2024!Neu2. Und schnell schreiben Sie es auf einem Post-it neben den Monitor, weil Sie es sich ohnehin nicht merken können.
Das Ergebnis: Ein System, das weniger sicher ist als vorher. Forscher und Sicherheitsexperten haben längst erkannt, dass erzwungene, regelmäßige Passwortänderungen zu schwächeren Passwörtern führen, nicht zu stärkeren.
Was die Experten wirklich empfehlen
Das BSI hat seine Position klar gemacht: Ändern Sie Ihr Passwort nur dann, wenn es einen konkreten Grund gibt.
Solche Gründe sind zum Beispiel:
- Sie haben einen Verdacht, dass Ihr Passwort kompromittiert wurde
- Sie erhalten eine Benachrichtigung über ein Datenleck
- Sie haben Ihr Passwort mit jemandem geteilt (oder jemand ist nicht mehr in Ihrem Team)
- Sie haben sich an einem öffentlichen Computer angemeldet
- Ihre IT-Abteilung warnt Sie vor einem Sicherheitsvorfall
Nicht empfohlen: Willkürliche Kalender-basierte Wechsel nach starrem Schema.
Die bessere Strategie: Qualität vor Quantität
Anstatt ständig zu wechseln, konzentrieren Sie sich auf das, was wirklich zählt:
1. Ein starkes, einzigartiges Passwort pro Dienst
Das Wichtigste ist nicht die Häufigkeit des Wechsels, sondern die Qualität des Passworts selbst. Verwenden Sie für jeden Dienst ein anderes Passwort.
Tipp für die Praxis: Wählen Sie lange Passphrasen statt komplizierter Zeichenkombinationen. Mein-Hund-frisst-Spaghetti-Dienstags ist sicherer UND leichter merkbar als Hd!7#fS_D99. Mit einer Mindestlänge von 12-16 Zeichen sind Sie gut geschützt.
Für unterschiedliche Dienste können Sie auch eine persönliche Strategie entwickeln – etwa ein Basis-Passwort mit dienst-spezifischen Zusätzen kombinieren. Beispiel: Ihr Basis-Element ist Pizza-Liebhaber-2024!, dann könnte Ihr Amazon-Passwort Amazon-Pizza-Liebhaber-2024! sein und Ihr Gmail-Passwort Gmail-Pizza-Liebhaber-2024!. So haben Sie eindeutige Passwörter, die aber nach einem System funktionieren, das Sie sich merken können.
2. Schreiben Sie auf, aber sicher
Ja, Sie haben richtig gelesen: Das Aufschreiben von Passwörtern ist nicht grundsätzlich tabu – aber es muss sicher geschehen. Ein Passwort in einem verschlossenen Notizbuch im Schrank ist besser als ein schwaches Passwort oder ein mehrfach genutztes.
Praktische Tipps:
- Führen Sie ein physisches Passwort-Journal (kleines Notizbuch) und lagern Sie es sicher (Schrank, Safe)
- Verwenden Sie Abkürzungen oder ein Code-System, das nur Sie verstehen
- Notieren Sie nicht den kompletten Benutzernamen oder die Website-Adresse – nur Hinweise
- Löschen Sie alte Einträge, wenn Sie ein Passwort ändern
- Diese Methode ist alt, aber wirksam und erfordert keine Technologie
3. Zwei-Faktor-Authentifizierung (2FA) ist Ihr bester Freund
Selbst wenn ein Passwort gestohlen wird – mit 2FA stoppt es einen Angreifer. Sie erhalten eine Benachrichtigung auf Ihrem Smartphone oder einem anderen Gerät, und Unbefugte kommen trotz Passwort nicht rein.
Das ist der wahre Sicherheits-Booster, nicht das Passwort-Roulette.
Aktivieren Sie 2FA überall, wo es möglich ist – besonders bei E-Mail, Banking und Cloud-Diensten. Sie erhalten dann einen Code per SMS, E-Mail oder über eine spezielle App, den Sie zusätzlich zum Passwort eingeben müssen.
Praktische Checkliste für Sie und Ihre Teams
Falls Sie diesen Artikel als Anlass nehmen möchten, Ihre Passwort-Strategie zu überdenken – hier ist, was Sie konkret tun sollten:
Sofort:
- Überprüfen Sie alle Ihre Passwörter auf Eindeutigkeit: Verwenden Sie irgendwelche Passwörter mehrfach?
- Erstellen Sie eine Liste Ihrer wichtigsten Online-Konten und deren Passwort-Status
- Nutzen Sie ein Tool wie „Have I Been Pwned“ (haveibeenpwned.com), um zu checken, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht
Diese Woche:
- Ersetzen Sie schwache oder mehrfach verwendete Passwörter durch starke, einzigartige Passphrasen
- Aktivieren Sie Zwei-Faktor-Authentifizierung für alle wichtigen Konten (E-Mail, Banking, Cloud-Dienste)
- Teilen Sie diese neue Perspektive mit Ihrem Team
Regelmäßig:
- Reagieren Sie auf Warnmeldungen über geleakte Passwörter sofort
- Überprüfen Sie monatlich, ob neue Passwörter schwach geworden sind oder mehrfach genutzt werden
- Halten Sie Ihre Systeme und Browser auf dem neuesten Stand
Das Fazit: Weniger Panik, mehr Struktur
Die gute Nachricht? Sie müssen nicht mehr alle drei Monate in Panik verfallen und ein neues Passwort erfinden. Das ist überwunden. Willkommen in der Realität moderner IT-Sicherheit.
Das Schlechte? Sie müssen sich tatsächlich Zeit nehmen, um es richtig zu machen: starke, einzigartige Passphrasen, ein sicheres Aufbewahrungssystem für die wichtigsten Passwörter, und Zwei-Faktor-Authentifizierung, wo es möglich ist.
Es ist weniger über die Anzahl der Passwort-Wechsel, sondern über die Qualität der Sicherheitsmechanismen, die zählt. Und ja, das erfordert etwas mehr Aufmerksamkeit – aber weniger Panik beim 90-Tage-Alarm.
Also: Nehmen Sie sich Zeit für wirklich sichere Passphrasen. Organisieren Sie Ihre Passwörter systematisch (sei es analog oder digital). Aktivieren Sie 2FA. Und dann? Atmen Sie auf. Sie haben es richtig gemacht.
Fragen zum Thema? Unser Support-Team hilft gerne weiter und unterstützen Sie bei der Umsetzung dieser Best Practices in Ihrem Unternehmen oder privaten Umfeld.