Passwort-Richtlinie erstellen: Anforderungen, Beispiel und Durchsetzung

Warum eine Passwort-Richtlinie unverzichtbar ist

Passwörter sind nach wie vor das meistgenutzte Authentifizierungsverfahren in Unternehmen. Ob E-Mail-Postfach, ERP-System, VPN-Zugang oder Cloud-Dienst: Fast überall bildet ein Passwort die erste Verteidigungslinie. Gleichzeitig zeigen Studien Jahr für Jahr, dass schwache, wiederverwendete oder kompromittierte Passwörter zu den häufigsten Ursachen für Sicherheitsvorfälle gehören. Das Verizon Data Breach Investigations Report beziffert den Anteil gestohlener Zugangsdaten an erfolgreichen Angriffen regelmäßig auf über 40 Prozent.

Eine Passwort-Richtlinie schafft verbindliche Regeln dafür, wie Zugangsdaten im Unternehmen erstellt, verwaltet und geschützt werden. Als untergeordnetes Dokument zur Informationssicherheitsrichtlinie ist sie für ein ISMS nach ISO 27001 kein optionales Dokument, sondern wird durch Annex A.5.17 (Authentifizierungsinformationen) explizit gefordert. Auch NIS2 verlangt von betroffenen Unternehmen angemessene Maßnahmen zur Zugangskontrolle, und eine dokumentierte Passwort-Policy gehört zum Mindeststandard.

Dabei geht es nicht um bürokratischen Papierkram. Eine gut gemachte Passwort-Richtlinie erfüllt drei konkrete Funktionen: Sie gibt Mitarbeitenden klare Orientierung, sie schafft die Grundlage für technische Durchsetzung und sie dient als Nachweis gegenüber Auditoren und Behörden.

Was BSI und NIST heute empfehlen

Die Empfehlungen für sichere Passwörter haben sich in den vergangenen Jahren deutlich gewandelt. Wenn du noch mit Regeln arbeitest, die alle 90 Tage einen Passwortwechsel erzwingen und mindestens ein Sonderzeichen, eine Zahl, einen Großbuchstaben und einen Kleinbuchstaben verlangen, dann folgst du einem veralteten Modell. Sowohl das BSI als auch das NIST (National Institute of Standards and Technology) haben ihre Empfehlungen grundlegend überarbeitet.

BSI-Empfehlungen (IT-Grundschutz)

Das BSI hat sich in seinen aktuellen Grundschutz-Bausteinen (ORP.4) von der pauschalen Passwortkomplexität verabschiedet. Die wesentlichen Punkte:

• Länge vor Komplexität: Ein langes Passwort (mindestens 12 Zeichen, besser 16+) ist sicherer als ein kurzes mit vielen Sonderzeichen. Das BSI empfiehlt Passphrasen als praxistaugliche Alternative.
• Keine regelmäßige Zwangsrotation: Passwörter sollen nur dann gewechselt werden, wenn ein konkreter Verdacht auf Kompromittierung besteht. Anlasslose Rotation alle 90 Tage führt nachweislich zu schwächeren Passwörtern, weil Nutzer vorhersehbare Muster entwickeln (Passwort1!, Passwort2!, Passwort3!).
• MFA für kritische Systeme: Für administrative Zugänge und Remote-Verbindungen ist Mehr-Faktor-Authentifizierung zwingend.
• Prüfung gegen Blocklisten: Passwörter sollen gegen Listen bekannter kompromittierter Credentials geprüft werden.

NIST SP 800-63B

Die NIST-Richtlinie SP 800-63B geht in dieselbe Richtung und formuliert noch deutlicher:

• Mindestlänge 8 Zeichen, empfohlen 15+: Systeme sollen Passwörter mit bis zu 64 Zeichen akzeptieren.
• Keine Kompositionsregeln: Die Forderung nach Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen wird explizit als kontraproduktiv bewertet.
• Keine zeitbasierte Rotation: Wechsel nur bei Verdacht auf Kompromittierung.
• Blocklisten sind Pflicht: Neue Passwörter müssen gegen eine Liste häufig verwendeter, kompromittierter und kontextbezogener Passwörter (Firmenname, Benutzername) geprüft werden.
• Passwort-Manager fördern: Systeme müssen Copy-Paste in Passwortfeldern erlauben, damit Passwort-Manager nutzbar sind.

Diese Empfehlungen sind kein Widerspruch zur ISO 27001. Im Gegenteil: Die Norm fordert, dass Authentifizierungsverfahren dem Stand der Technik entsprechen, und genau das bilden BSI und NIST ab.

Mindestanforderungen für deine Passwort-Richtlinie

Auf Basis der aktuellen Standards sollte deine Passwort-Richtlinie folgende Mindestanforderungen definieren:

Passwortstärke

Verbotene Passwörter

Deine Richtlinie sollte explizit festlegen, dass folgende Passwörter nicht verwendet werden dürfen:

• Passwörter aus bekannten Breach-Datenbanken (automatisierte Prüfung)
• Der Benutzername oder Teile davon
• Der Firmenname, Produktnamen oder Standortbezeichnungen
• Einfache Tastaturmuster (qwertz, 123456, asdfgh)
• Wörter aus Wörterbüchern ohne Modifikation
• Passwörter, die in anderen Systemen bereits verwendet werden

Umgang mit Passwörtern

Neben der Passwortstärke selbst muss die Richtlinie auch den Umgang regeln:

• Passwörter dürfen nicht im Klartext gespeichert, notiert oder weitergegeben werden.
• Für jedes System ist ein eigenes Passwort zu verwenden (keine Wiederverwendung).
• Ein vom Unternehmen bereitgestellter Passwort-Manager ist für die Verwaltung zu nutzen.
• Passwörter dürfen nicht per E-Mail, Chat oder Telefon übermittelt werden.
• Erstpasswörter müssen beim ersten Login geändert werden.
• Bei Verdacht auf Kompromittierung ist das Passwort sofort zu ändern und der Vorfall zu melden.

Mehrstufige Authentifizierung (MFA)

Eine moderne Passwort-Richtlinie kommt nicht ohne ein klares Kapitel zu MFA aus. Denn selbst ein perfektes Passwort schützt nicht gegen Phishing, Keylogger oder Credential Stuffing. Die Multi-Faktor-Authentifizierung addiert einen zweiten Faktor, der den Angreifer auch dann aufhält, wenn er das Passwort bereits kennt.

Wo MFA zwingend sein sollte

Deine Richtlinie sollte MFA mindestens für folgende Bereiche vorschreiben:

• Alle administrativen und privilegierten Zugänge
• Remote-Zugriffe (VPN, Webmail, Cloud-Dienste von außerhalb)
• Zugriff auf besonders schützenswerte Daten (Personaldaten, Finanzdaten, Gesundheitsdaten)
• Self-Service-Portale für Passwortrücksetzung
• Single-Sign-On-Systeme (SSO), da ein kompromittiertes SSO-Passwort Zugang zu vielen Systemen eröffnet

Akzeptierte MFA-Verfahren

Nicht jeder zweite Faktor bietet denselben Schutz. Deine Richtlinie sollte eine klare Rangfolge definieren:

1. Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn): Höchste Sicherheit, phishing-resistent
2. Authenticator-Apps (TOTP/HOTP): Guter Schutz, weit verbreitet
3. Push-Benachrichtigungen: Komfortabel, aber anfällig für MFA-Fatigue-Angriffe (deshalb mit Number Matching)
4. SMS-basierte Codes: Nur als Fallback akzeptabel, da SIM-Swapping ein reales Risiko darstellt

Deine Richtlinie sollte festlegen, welche Verfahren im Unternehmen zugelassen sind und welche explizit nicht. Für privilegierte Konten empfiehlt es sich, ausschließlich Hardware-Schlüssel oder Authenticator-Apps zuzulassen.

Beispiel einer Passwort-Richtlinie (Gliederung)

Damit du eine konkrete Vorstellung davon bekommst, wie eine Passwort-Richtlinie strukturiert sein kann, hier eine praxiserprobte Gliederung:

1. Einleitung und Zweck

• Ziel der Richtlinie
• Bezug zu übergeordneter Informationssicherheitsleitlinie
• Geltungsbereich (alle Mitarbeitenden, externe Dienstleister, temporäre Zugänge)

2. Geltungsbereich

• Welche Systeme und Anwendungen sind erfasst
• Welche Nutzergruppen fallen darunter
• Ausnahmen und deren Genehmigungsprozess

3. Anforderungen an Passwörter

• Mindestlänge je Kontotyp
• Empfohlene Passphrasen-Methode
• Verbotene Passwörter und Blocklisten
• Keine Wiederverwendung (History von mindestens 10 Passwörtern)

4. Mehrstufige Authentifizierung

• Pflichtbereiche für MFA
• Zugelassene MFA-Verfahren
• Notfallverfahren bei Verlust des zweiten Faktors

5. Passwort-Management

• Einsatz des unternehmensweiten Passwort-Managers
• Verbot von Klartext-Speicherung
• Regeln für geteilte Zugänge (Shared Accounts vermeiden, wo möglich)

6. Passwortwechsel und Kompromittierung

• Wechsel nur bei konkretem Anlass
• Meldepflicht bei Verdacht auf Kompromittierung
• Verfahren zur Passwortrücksetzung

7. Technische Durchsetzung

• Umsetzung über Active Directory, Identity Provider oder MDM
• Automatisierte Prüfung gegen Breach-Datenbanken
• Monitoring fehlgeschlagener Anmeldeversuche und Account-Sperrung

8. Awareness und Schulung

• Regelmäßige Sensibilisierung (mindestens jährlich)
• Inhalte: Passphrasen, Social Engineering, Phishing
• Nachweisführung der Teilnahme

9. Verantwortlichkeiten

• IT-Abteilung (technische Umsetzung)
• ISB (Policy-Pflege, Review)
• Führungskräfte (Durchsetzung im Team)
• Mitarbeitende (Einhaltung)

10. Verstöße und Konsequenzen

• Eskalationsprozess bei Verstößen
• Arbeitsrechtliche Konsequenzen
• Bezug zur Betriebsvereinbarung (falls vorhanden)

11. Review und Aktualisierung

• Jährlicher Review-Zyklus
• Anlassbezogene Aktualisierung (neue Bedrohungen, Audit-Findings)
• Versionierung und Freigabeprozess

Häufige Fehler in Passwort-Richtlinien

Auch gut gemeinte Passwort-Richtlinien enthalten häufig Regelungen, die entweder wirkungslos sind oder sogar kontraproduktiv wirken. Hier die häufigsten Fallstricke:

Fehler 1: Übertriebene Komplexitätsregeln

Die Forderung nach mindestens einem Großbuchstaben, einem Kleinbuchstaben, einer Zahl und einem Sonderzeichen klingt sicher, führt in der Praxis aber zu vorhersehbaren Mustern. Die meisten Nutzer setzen den Großbuchstaben an den Anfang, die Zahl und das Sonderzeichen ans Ende. Das Ergebnis: „Sommer2026!" erfüllt alle Regeln, ist aber trivial zu knacken. Besser: Lange Passphrasen ohne Kompositionszwang, kombiniert mit Blocklisten.

Fehler 2: Zwangsrotation ohne Anlass

Regelmäßige Passwortwechsel alle 30, 60 oder 90 Tage sind seit Jahren als kontraproduktiv identifiziert. Nutzer reagieren darauf, indem sie minimale Änderungen vornehmen (eine Ziffer hochzählen) oder Passwörter aufschreiben. Beide Verhaltensweisen untergraben die Sicherheit mehr, als sie stärken. Die Richtlinie sollte stattdessen anlassbezogene Wechsel vorschreiben und regelmäßige Prüfungen gegen kompromittierte Passwortlisten durchführen.

Fehler 3: Kein Passwort-Manager vorgeschrieben

Wenn du von deinen Mitarbeitenden erwartest, dass sie für jedes System ein einzigartiges, langes Passwort verwenden, aber keinen Passwort-Manager bereitstellst, dann erzeugst du ein unlösbares Problem. Menschen können sich nicht 30 verschiedene 16-stellige Passphrasen merken. Die Folge: Wiederverwendung, Post-its, Excel-Listen. Ein unternehmensweiter Passwort-Manager gehört als technische Maßnahme in die Richtlinie.

Fehler 4: MFA wird nicht erwähnt oder nur empfohlen

In vielen Passwort-Richtlinien taucht MFA als optionale Empfehlung auf. Das reicht nicht. Für kritische Systeme und privilegierte Konten muss MFA als verpflichtend definiert sein. Die Richtlinie sollte auch festlegen, was passiert, wenn ein Mitarbeiter seinen zweiten Faktor verliert (Notfallverfahren, temporäre Codes, Admin-Reset).

Fehler 5: Kein Bezug zu Service-Accounts

Passwort-Richtlinien denken oft nur an menschliche Nutzer. Aber Service-Accounts, API-Keys und technische Zugangsdaten sind mindestens ebenso kritisch. Sie haben oft weitreichende Berechtigungen und werden selten rotiert. Deine Richtlinie sollte explizite Regeln für technische Accounts enthalten: Mindestlänge, automatisierte Rotation, Speicherung in einem Secrets-Management-System.

Fehler 6: Die Richtlinie existiert nur auf dem Papier

Eine Passwort-Richtlinie, die zwar im ISMS-Dokumentenverzeichnis steht, aber technisch nicht durchgesetzt wird, ist wertlos. Wenn das Active Directory weiterhin 8-Zeichen-Passwörter ohne Blockliste akzeptiert, dann ist die Richtlinie eine Fiktion. Technische und organisatorische Durchsetzung müssen Hand in Hand gehen.

Durchsetzung: Technisch vs. organisatorisch

Die Wirksamkeit deiner Passwort-Richtlinie steht und fällt mit der Durchsetzung. Dabei gibt es zwei Hebel, die du parallel nutzen solltest.

Technische Durchsetzung

Technische Maßnahmen setzen die Richtlinie automatisch durch, ohne dass du auf das Verhalten einzelner Mitarbeitender angewiesen bist:

Active Directory / Identity Provider:

• Mindestlänge und History-Policy über Gruppenrichtlinien (GPO) oder Conditional Access Policies
• Integration von Azure AD Password Protection oder vergleichbaren Lösungen für Blocklisten
• Automatische Kontosperrung nach mehreren fehlgeschlagenen Versuchen (Account Lockout Policy)
• Erzwingung von MFA über Conditional Access (z.B. für alle Zugriffe außerhalb des Firmennetzwerks)

Passwort-Manager (unternehmensweit):

• Bereitstellung eines lizenzierten Passwort-Managers für alle Mitarbeitenden
• Zentrale Verwaltung von Team-Tresoren für geteilte Zugänge
• Auditierung der Nutzung (werden Passwort-Manager tatsächlich genutzt?)

Breach Detection:

• Regelmäßiger Abgleich von Unternehmens-E-Mail-Adressen gegen HaveIBeenPwned oder vergleichbare Dienste
• Automatische Benachrichtigung und Passwortwechsel-Erzwingung bei Treffern
• Integration in den Onboarding-Prozess (initiales Passwort wird beim ersten Login geändert)

Monitoring und Alerting:

• Überwachung fehlgeschlagener Anmeldeversuche über SIEM oder zentrale Log-Analyse
• Erkennung von Brute-Force- und Password-Spraying-Angriffen
• Alerting bei ungewöhnlichen Anmeldemustern (Geo-Anomalien, unmögliche Reisegeschwindigkeiten)

Organisatorische Durchsetzung

Technik allein reicht nicht. Organisatorische Maßnahmen sorgen dafür, dass Mitarbeitende die Richtlinie verstehen und mittragen:

Awareness-Training:

• Jährliche Pflichtschulung zu sicheren Passwörtern und Erkennung von Phishing
• Praxisnahe Beispiele statt abstrakter Theorie (Live-Demo einer Brute-Force-Attacke, Phishing-Simulation)
• Erklärung, warum bestimmte Regeln gelten und welche Angriffsszenarien sie verhindern

Kenntnisnahme und Bestätigung:

• Jeder Mitarbeitende bestätigt schriftlich oder digital die Kenntnisnahme der Richtlinie
• Bei Aktualisierungen erfolgt eine erneute Bestätigung
• Die Bestätigungen werden als Nachweis für Audits archiviert

Regelmäßige Überprüfung:

• Stichprobenartige Audits (werden Passwort-Manager genutzt? Gibt es noch Shared Accounts?)
• Review der Richtlinie mindestens jährlich oder bei relevanten Veränderungen
• Einbeziehung von Audit-Findings und Sicherheitsvorfällen in die Aktualisierung

Eskalation bei Verstößen:

• Klarer Eskalationsprozess (Erstgespräch, Abmahnung, weitere Konsequenzen)
• Vertrauliche Meldung möglich (Mitarbeitende sollen Verstöße ohne Angst melden können)
• Dokumentation aller Vorfälle und Maßnahmen

Passwort-Richtlinie und ISO 27001

Für ein ISMS nach ISO 27001 ist die Passwort-Richtlinie primär über Annex A.5.17 (Management von Authentifizierungsinformationen) verankert. Aber sie hat Berührungspunkte zu weiteren Controls:

• A.5.15 (Zugangssteuerung): Die Passwort-Richtlinie ist Teil der übergreifenden Zugangssteuerung.
• A.5.16 (Identitätsmanagement): Passwörter sind an Identitäten gebunden; die Richtlinie muss zum Identitätsmanagement passen.
• A.8.2 (Privilegierte Zugriffsrechte): Für privilegierte Konten gelten erhöhte Anforderungen.
• A.8.5 (Sichere Authentifizierung): Die technische Umsetzung muss die Richtlinie widerspiegeln.
• A.6.3 (Informationssicherheitsbewusstsein): Schulungsmaßnahmen zur Passwort-Richtlinie.

Ein Auditor wird prüfen, ob die Richtlinie existiert, ob sie dem aktuellen Stand der Technik entspricht, ob sie technisch umgesetzt ist und ob Nachweise für Schulung und Kenntnisnahme vorliegen. Die reine Existenz des Dokuments reicht nicht.

Passphrasen: Die bessere Alternative

Wenn du deinen Mitarbeitenden eine praktische Methode für sichere Passwörter an die Hand geben willst, dann empfiehl Passphrasen. Eine Passphrase besteht aus mehreren zufällig gewählten Wörtern, die zusammen ein langes, aber merkbares Passwort ergeben.

Beispiele:

• „Kaffeetasse Wanderweg Blitzableiter Pinguin" (40 Zeichen)
• „korrekt pferd batterie heftklammer" (35 Zeichen, das berühmte XKCD-Beispiel)

Warum sind Passphrasen besser?

• Sie sind lang, was Brute-Force-Angriffe exponentiell erschwert.
• Sie sind merkbar, was die Abhängigkeit vom Passwort-Manager für häufig genutzte Zugänge reduziert.
• Sie vermeiden die vorhersehbaren Muster, die bei Komplexitätsregeln entstehen.
• Sie lassen sich gut am Telefon buchstabieren (für den Notfall).

Deine Richtlinie kann Passphrasen als empfohlene Methode aufnehmen und Hinweise geben: mindestens vier Wörter, keine zusammenhängenden Sätze aus bekannten Quellen (Liedtexte, Filmzitate), idealerweise mit einem Separator (Leerzeichen, Bindestrich).

Sonderfälle, die deine Richtlinie adressieren sollte

Geteilte Accounts (Shared Accounts)

Geteilte Accounts sind aus Sicherheitssicht problematisch, weil keine individuelle Zurechenbarkeit möglich ist. Deine Richtlinie sollte als Grundsatz formulieren, dass Shared Accounts zu vermeiden sind. Wo sie unvermeidlich sind (z.B. Social-Media-Konten, bestimmte Produktionsanlagen), müssen die Passwörter im Passwort-Manager verwaltet, der Zugriff protokolliert und die Passwörter bei Personalwechsel sofort geändert werden.

Externe Dienstleister

Externe Partner und Dienstleister, die Zugang zu Unternehmenssystemen haben, müssen ebenfalls der Passwort-Richtlinie unterliegen. Das sollte vertraglich über eine Geheimhaltungsvereinbarung oder einen Auftragsverarbeitungsvertrag abgesichert sein. Für externe Zugänge empfiehlt sich grundsätzlich MFA plus zeitliche Befristung.

Notfallzugänge (Break-Glass-Accounts)

Für den Fall, dass reguläre Zugänge nicht funktionieren (z.B. bei einem Ausfall des Identity Providers), braucht dein Unternehmen dokumentierte Notfallzugänge. Die Passwörter für diese Accounts werden versiegelt hinterlegt (physisch oder in einem separaten Tresor), und jede Nutzung wird protokolliert und löst automatisch einen Passwortwechsel aus.

API-Keys und Tokens

Technische Zugangsdaten wie API-Keys, OAuth-Tokens und SSH-Schlüssel fallen ebenfalls unter die Passwort-Richtlinie, auch wenn sie keine klassischen Passwörter sind. Die Richtlinie sollte festlegen, wie sie generiert, gespeichert (Secrets Manager), rotiert und widerrufen werden.

So gehst du die Erstellung pragmatisch an

Du musst nicht bei null anfangen. Ein pragmatischer Ansatz in fünf Schritten:

1. Bestandsaufnahme: Welche Systeme gibt es, welche Passwort-Anforderungen gelten dort aktuell, und wo gibt es Lücken?
2. Entwurf auf Basis aktueller Standards: Nimm die Gliederung aus diesem Artikel als Ausgangspunkt und passe sie an dein Unternehmen an. Orientiere dich an BSI IT-Grundschutz und NIST SP 800-63B.
3. Abstimmung mit IT und Betriebsrat: Die IT muss die technische Umsetzbarkeit bestätigen, und der Betriebsrat hat bei Verhaltensüberwachung (Account-Lockout, Monitoring) ein Mitspracherecht.
4. Freigabe und Kommunikation: Die Richtlinie wird von der Geschäftsführung freigegeben und allen Mitarbeitenden kommuniziert, idealerweise mit einer kurzen Schulung. In ISMS Lite lässt sich der komplette Freigabe-Workflow inklusive digitaler Kenntnisnahme durch alle Mitarbeitenden abbilden.
5. Technische Umsetzung und Monitoring: Die Anforderungen werden in den Systemen konfiguriert, und die Einhaltung wird regelmäßig geprüft.

Der gesamte Prozess sollte nicht Monate dauern. Mit einer guten Vorlage und klaren Zuständigkeiten kannst du eine praxistaugliche Passwort-Richtlinie in zwei bis vier Wochen von der Idee bis zur Freigabe bringen.

Fazit

Eine Passwort-Richtlinie ist eines der wirkungsvollsten Dokumente in deinem ISMS, wenn sie richtig gemacht wird. Die Zeiten von „8 Zeichen, Großbuchstabe, Zahl, Sonderzeichen, alle 90 Tage wechseln" sind vorbei. Moderne Passwort-Richtlinien setzen auf Passphrasen, Blocklisten, MFA und technische Durchsetzung statt auf Regeln, die Mitarbeitende zu unsicheren Workarounds treiben.

Weiterführende Artikel

• Informationssicherheitsrichtlinie schreiben: Aufbau, Inhalt und Beispiel
• Richtlinie zur Nutzung mobiler Endgeräte (BYOD/MDM)
• Zugangs- und Zutrittskontrollrichtlinie: Physisch und logisch
• Berechtigungskonzept erstellen: Rollen, Rechte und Genehmigungsworkflow
• Richtlinien-Lifecycle: Von der Erstellung bis zur Außerkraftsetzung

Entscheidend ist, dass die Richtlinie nicht in einer Schublade verstaubt, sondern technisch durchgesetzt, geschult und regelmäßig überprüft wird. Dann schützt sie dein Unternehmen nicht nur vor Angreifern, sondern macht auch jeden Audit zu einer entspannten Angelegenheit.