BSI erklärt Passwort-Wechsel für überholt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt die jahrzehntealte Praxis des regelmäßigen Passwortwechsels offiziell infrage. Anlässlich des internationalen „Ändere-dein-Passwort“-Tags am 1. Februar rät die deutsche Cybersicherheitsbehörde stattdessen zu moderneren Methoden wie der Zwei-Faktor-Authentifizierung und passwortlosen Passkeys.

Warum der regelmäßige Wechsel oft schadet

Die lange gepredigte Regel, Passwörter alle 60 bis 90 Tage zu ändern, gilt heute als kontraproduktiv. „Nutzer neigen dabei zu minimalen, vorhersehbaren Änderungen“, erklärt das BSI in seiner aktuellen Richtlinie. Aus „Sommer2025!“ werde dann nur „Sommer2026!“ – ein leichtes Spiel für Angreifer. Die Behörde empfiehlt nun, Passwörter nur noch bei konkretem Verdacht auf einen Kompromittierungsversuch zu ändern. Statt häufiger Rotation zählt die dauerhafte Stärke.

Die neue Sicherheitsformel: Einzigartigkeit plus Zwei-Faktor

An die Stelle ritualisierter Wechsel tritt eine dreiteilige Strategie für alle Dienste, die noch auf Passwörter setzen:

Einzigartigkeit ist das A und O: Jedes Konto benötigt ein eigenes, starkes Passwort. So verhindert man, dass ein Datenleck bei einem Anbieter alle anderen Konten gefährdet. Um Dutzende komplexer Passwörter zu verwalten, rät das BSI ausdrücklich zur Nutzung von Passwort-Managern.

Zwei-Faktor-Authentifizierung als Pflichtschicht: Wo immer möglich, sollte eine zweite Bestätigungsebene aktiviert werden – etwa per App-Code, Fingerabdruck oder Sicherheitsschlüssel. Studien zeigen, dass MFA (Multi-Faktor-Authentifizierung) über 99 Prozent der Konto-Übernahmen verhindern kann. Für Cyberversicherer ist sie oft bereits Voraussetzung für Deckungsschutz.

Passend zum Thema Zwei-Faktor-Authentifizierung und Passkeys: Viele Unternehmen und Privatanwender unterschätzen, wie wirkungsvoll einfache Schutzmaßnahmen sein können – von aktivierter MFA bis zur richtigen Passkey-Konfiguration. Das kostenlose E-Book „Cyber Security Awareness Trends“ liefert praxisnahe Handlungsempfehlungen, Checklisten für Mitarbeiterschulungen und konkrete Schritte zur Phishing-Abwehr, die sich sofort umsetzen lassen. Ideal für IT-Verantwortliche und Entscheider, die Sicherheit ohne große Investitionen stärken wollen. Jetzt E-Book: Cyber-Security-Strategien herunterladen

Passkeys: Die passwortlose Zukunft hat begonnen

Die eigentliche Vision des BSI ist eine Welt ohne Passwörter. Schlüssel dazu sind Passkeys, die auf kryptografischen Schlüsseln und Biometrie wie dem Fingerabdruck basieren. „Sie vereinen hohe Sicherheit mit einfacher Bedienung“, so BSI-Präsidentin Claudia Plattner.

Die Behörde treibt die Einführung konkret voran: Ende 2025 veröffentlichte sie technische Richtlinien für die sichere Konfiguration von Passkey-Servern. Die Bundesregierung plans für 2026 Pilotprojekte, bei denen Passwörter in Behörden-Diensten durch Passkeys ersetzt werden. Eine breitere Integration ist für 2027 vorgesehen.

Globaler Trend mit deutscher Initiative

Die Kehrtwende des BSI spiegelt einen internationalen Konsens in der IT-Sicherheitsbranche wider. Passwörter gelten als fundamentaler Schwachpunkt, da sie oft schwach, wiederverwendet und anfällig für Phishing-Angriffe sind. Der „Ändere-dein-Passwort“-Tag erhält damit eine neue Botschaft: Statt blindem Ritual ist intelligente, mehrschichtige Absicherung gefragt.