BSI rät: Finger weg vom regelmäßigen Passwortwechsel

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine zentrale Sicherheitsregel auf den Kopf. Pauschale, regelmäßige Passwortwechsel seien überholt und könnten die Sicherheit sogar gefährden. Anlässlich des „Ändere-dein-Passwort-Tages“ empfiehlt die Behörde stattdessen eine moderne Strategie.

Warum die alte Regel mehr schadet als nützt

Jahrelang galt die Devise: Passwörter alle 90 Tage ändern. Das BSI erklärt diese Praxis nun für kontraproduktiv. Erzwungene, routinemäßige Wechsel führten oft dazu, dass Nutzer schwächere und vorhersehbare Kennwörter wählten. Statt neuer, komplexer Kombinationen entstünden nur minimale Abwandlungen des alten Passworts – ein leichtes Spiel für Angreifer.

Ein Wechsel ist laut Experten nur dann zwingend erforderlich, wenn ein konkreter Verdacht auf einen Diebstahl der Zugangsdaten besteht. Das kann nach einem öffentlich gewordenen Datenleck eines Dienstes oder bei einer Infektion mit Schadsoftware der Fall sein. Der anlasslose Wechsel schaffe dagegen oft nur trügerische Sicherheit.

Die neue Formel: Einzigartigkeit statt Komplexitäts-Wahnsinn

Im Zentrum der neuen Empfehlungen steht die Einzigartigkeit. Ein Passwort sollte für jeden Dienst individuell sein. Wiederverwendung ist ein enormes Risiko: Kommt es bei einem Anbieter zum Leck, stehen Angreifern alle anderen Konten offen. Um den Überblick über viele starke Passwörter zu behalten, rät das BSI zum Einsatz eines Passwort-Managers.

Passend zum Thema IT‑Sicherheit: Viele Unternehmen sind heute noch unzureichend gegen Cyberangriffe geschützt – klassische Passwortwechsel reichen oft nicht aus. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen zusammen, zeigt, wie Sie Passwort-Manager, Zwei-Faktor-Authentisierung und Passkeys sinnvoll einsetzen, und liefert konkrete Sofortmaßnahmen für IT‑Verantwortliche. Es berücksichtigt zudem neue KI‑Risiken und praktische Umsetzungs‑Tipps. Plus: Checklisten für Mitarbeiterschulungen und Sofort‑Checks runden den Leitfaden ab. Jetzt Cyber-Security-Guide für Unternehmen herunterladen

Noch wichtiger als das perfekte Passwort ist jedoch die Zwei-Faktor-Authentisierung (2FA). Dieser zweite Schritt – etwa ein Code per App – erschwert den Zugriff selbst mit gestohlenem Passwort erheblich. Das BSI drängt Nutzer, diese Funktion überall zu aktivieren, wo sie angeboten wird.

Passkeys: Die passwortlose Zukunft hat begonnen

Über die Optimierung des Alten hinaus weist das BSI auf die Alternative der Zukunft hin: Passkeys. Bei diesem Verfahren authentifizieren sich Nutzer per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Kryptografische Schlüssel ersetzen das Passwort.

Der große Vorteil: Passkeys können nicht erraten, gestohlen oder per Phishing abgegriffen werden. Immer mehr große Plattformen integrieren die Technologie. Für das BSI sind sie der entscheidende Schritt, um die Abhängigkeit von fehleranfälligen Passwörtern zu beenden.

Reaktion auf professionellere Cyber-Angriffe

Die Kehrtwende ist eine direkte Antwort auf die wachsende Bedrohung. Bayerns Justizminister Georg Eisenreich warnte erst kürzlich vor dem Einsatz Künstlicher Intelligenz durch Cyberkriminelle. In dieser Lage sind einfache Passwörter ein untragbares Risiko.

Die neue Linie folgt internationalen Standards, wie sie etwa das US-amerikanische National Institute of Standards and Technology (NIST) vertritt. Dort gilt Länge als entscheidenderer Sicherheitsfaktor als komplexe Zeichenkombinationen. Die Botschaft: Ein langes, einzigartiges Passwort, das über Jahre sicher ist, schützt besser als ein ständig geändertes, schwaches Kennwort.

Was Verbraucher und Unternehmen jetzt tun müssen

Der Aktionstag sollte künftig weniger zum pauschalen Wechsel auffordern, sondern zum Überprüfen der gesamten Sicherheitsstrategie. Für Unternehmen bedeutet das: Alte Richtlinien mit Zwangswechsel-Zyklen gehören abgeschafft. Stattdessen sollten sie auf technische Lösungen wie die verpflichtende Einführung von 2FA setzen.

Bis sich passwortlose Methoden wie Passkeys flächendeckend durchsetzen, bleibt eine Kombination der beste Schutz: Einzigartige, lange Passwörter, verwaltet mit einem Passwort-Manager, kombiniert mit der konsequenten Nutzung der Zwei-Faktor-Authentisierung.

PS: Der Aktionstag „Ändere-dein-Passwort“ macht deutlich, wie verwirrend alte Regeln sind – nutzen Sie die Gelegenheit, Ihre Sicherheitsstrategie zu modernisieren. Dieses Gratis‑E‑Book erklärt verständlich Passkeys, 2FA und Passwort‑Manager, liefert Praxistipps gegen Phishing und praktische Checklisten für Unternehmen und Privatanwender. Ideal, um aus dem Artikel konkrete Maßnahmen zu machen und sofort mit Schutzmaßnahmen zu starten. Jetzt kostenloses Cyber-Security-E-Book sichern