BSI beendet Ära des Zwangs-Passwortwechsels
04.02.2026 - 07:32:12
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kippt eine zentrale IT-Sicherheitsregel: Der regelmäßige, pauschale Passwortwechsel wird nicht mehr empfohlen. Stattdessen setzt die Behörde auf starke Einmal-Passwörter und moderne Authentifizierung – ein Paradigmenwechsel für Millionen Nutzer und Unternehmen.
Qualität schlägt Quantität: Der neue Ansatz
Jahrzehntelang galt die Devise: Passwörter alle 90 Tage ändern. Doch diese Praxis hat sich als kontraproduktiv erwiesen. „Erzwungene Wechsel führen erfahrungsgemäß zu schwächeren Kennwörtern“, so die Erkenntnis des BSI. Nutzer tendieren dazu, bestehende Passwörter nur minimal abzuändern – etwa von „Sommer2025!“ zu „Sommer2026!“. Solche vorhersagbaren Muster erleichtern Cyberkriminellen die Arbeit.
Die neue Empfehlung ist klar: Starke, einzigartige Passwörter können jahrelang bestehen bleiben. Ein Wechsel ist nur bei konkretem Verdacht auf Kompromittierung nötig – etwa nach einem bekannten Datenleck oder einer Phishing-Attacke. Der Fokus verschiebt sich damit von der Quantität zur Qualität.
Viele Unternehmen unterschätzen, wie stark gestohlene oder schwache Passwörter Sicherheitsvorfälle auslösen können. Der kostenlose Cyber‑Security‑Guide erklärt praxisnah, welche Maßnahmen jetzt Priorität haben – von starken, einzigartigen Passwort‑Strategien über verschlüsselte Passwort‑Manager bis zur konsequenten Einführung von Zwei‑Faktor‑Authentifizierung und Passkeys. Inklusive Checklisten, Handlungsempfehlungen für IT‑Teams und sofort umsetzbarer Maßnahmen. Jetzt Cyber-Security-Guide herunterladen
Der neue Goldstandard: Länge, Einzigartigkeit und 2FA
An die Stelle starrer Wechselzyklen treten drei klare Prinzipien:
1. Länge und Komplexität: Mindestens 12 bis 15 Zeichen mit einer Mischung aus Buchstaben, Zahlen und Sonderzeichen.
2. Einmaligkeit: Für jeden Dienst ein separates Passwort, um Dominoeffekte bei Datenlecks zu verhindern.
3. Zwei-Faktor-Authentifizierung (2FA): Die entscheidende zweite Sicherheitsebene via App-Code oder Biometrie.
Zur Verwaltung dieser komplexen Passwörter empfiehlt das BSI ausdrücklich Passwort-Manager. Diese Tools generieren sichere Kennwörter und verwalten sie verschlüsselt.
Unternehmen müssen IT-Richtlinien anpassen
Die Kehrtwende hat direkte Folgen für die Unternehmens-IT. Interne Compliance-Vorschriften müssen überarbeitet werden. Der technisch erzwungene 90-Tage-Wechsel für Mitarbeiterkonten gehört auf den Prüfstand.
Stattdessen rückt eine risikobasierte Sicherheitsstrategie in den Fokus. IT-Abteilungen sollen stärker die Einhaltung von Passwortkomplexität überwachen und die flächendeckende Nutzung von 2FA vorantreiben. Für kritische Systeme mit sensiblen Daten gelten weiterhin höchste Standards, während für weniger sensible Anwendungen pragmatischere Lösungen ausreichen können.
Die Zukunft ist passwortlos
Langfristig sieht das BSI die Lösung in passwortlosen Verfahren wie Passkeys. Diese nutzen kryptografische Schlüssel und Biometrie – es existiert kein Passwort mehr, das gestohlen werden könnte. Bis zur flächendeckenden Einführung bleibt die Botschaft jedoch klar: Die Sicherheit liegt nicht im häufigen Wechsel, sondern in der Stärke und intelligenten Absicherung der Zugangsdaten.
PS: Wussten Sie, dass Phishing und Datenlecks die häufigste Ursache für Kontoübernahmen sind? Das kostenlose E‑Book zeigt, wie Sie Mitarbeiter schützen, Passkeys und 2FA praktisch einführen und Richtlinien schnell umsetzen. Mit Vorlagen für Unternehmens‑Policies und einer Schritt‑für‑Schritt‑Roadmap für IT‑Abteilungen. Kostenlosen Cyber-Security-Guide jetzt sichern
