Passwörter gehören weiterhin zu den wichtigsten Sicherheitsmechanismen in Unternehmen. Gleichzeitig stammen viele bestehende Passwortrichtlinien aus einer Zeit, in der sich technische Möglichkeiten, Bedrohungslagen und Empfehlungen zur Informationssicherheit deutlich von heute unterschieden haben.

Während früher häufig kurze, komplexe Passwörter mit regelmäßigen Wechselintervallen gefordert wurden, setzen aktuelle Empfehlungen zunehmend auf längere Passwörter oder Passphrasen, den Einsatz von Passwortmanagern sowie Multi-Faktor-Authentifizierung (MFA).

Warum viele Unternehmen keine aktuelle Passwortrichtlinie haben

In vielen Unternehmen existieren zwar Regelungen zur Passwortnutzung, diese wurden jedoch über Jahre hinweg nicht überprüft oder aktualisiert. Typische Ursachen sind fehlende Zuständigkeiten, begrenzte Ressourcen oder historisch gewachsene IT-Strukturen.

Die Folge: Sicherheitsvorgaben entsprechen häufig nicht mehr dem aktuellen Stand der Technik und werden von Mitarbeitenden unterschiedlich umgesetzt.

Typische Risiken in der Praxis

Fehlen klare organisatorische Vorgaben, entstehen häufig vermeidbare Schwachstellen:

• Wiederverwendung identischer Passwörter für mehrere Systeme
• Nutzung leicht erratbarer Passwörter
• Fehlende Multi-Faktor-Authentifizierung
• Unzureichender Schutz privilegierter Konten
• Keine Regelungen für Passwortmanager
• Uneinheitlicher Umgang mit Sicherheitsvorfällen

Gerade bei erfolgreichen Phishing-Angriffen oder kompromittierten Zugangsdaten können diese Schwachstellen erhebliche Auswirkungen auf die Informationssicherheit eines Unternehmens haben.

Was eine moderne Passwortrichtlinie regeln sollte

Eine aktuelle Passwortrichtlinie sollte mindestens folgende Themen abdecken:

• Anforderungen an Passwortlänge und Passwortqualität
• Nutzung von Passphrasen
• Umgang mit Initial- und Standardpasswörtern
• Einsatz von Passwortmanagern
• Multi-Faktor-Authentifizierung
• Anforderungen an privilegierte Konten
• Sichere Passwortspeicherung in Systemen
• Vorgehen bei Sicherheitsvorfällen und Passwortkompromittierungen

Besondere Aufmerksamkeit sollten Unternehmen heute den Themen Passwortmanager und MFA widmen. Beide Maßnahmen erhöhen das Sicherheitsniveau erheblich und lassen sich in vielen Fällen mit vertretbarem Aufwand umsetzen.

Fazit

Eine Passwortrichtlinie ist weit mehr als ein formales Dokument. Sie schafft klare organisatorische Vorgaben und unterstützt Unternehmen dabei, Sicherheitsanforderungen nachvollziehbar und einheitlich umzusetzen.

Insbesondere Passwortlänge, Passphrasen, Passwortmanager und Multi-Faktor-Authentifizierung sollten heute Bestandteil jeder modernen Regelung sein.

Den vollständigen Fachbeitrag finden Sie unter:
https://projekt86.de/2026/06/02/passwortrichtlinie-unternehmen/

Eine praxisorientierte Passwort- und Authentifizierungsrichtlinie als bearbeitbare Vorlage steht zusätzlich unter folgendem Link zur Verfügung:
https://www.checkout-ds24.com/product/696783

Nancy Degenhardt
Wirtschaftsjuristin (LL.B.)
Informationssicherheitsbeauftragte | Datenschutzbeauftragte
Projekt86 – Praxiswissen zu Informationssicherheit, Datenschutz, Compliance und KI