NIST ebnet Weg für Passwörter der Zukunft

Die Cybersicherheitslandschaft steht vor einem Umbruch: Neue Richtlinien für digitale Identitäten sollen Sicherheit vereinfachen, während die Praxis hinterherhinkt.

NIST, das US-amerikanische National Institute of Standards and Technology, hat Ende März 2026 seine aktualisierten Digital Identity Guidelines veröffentlicht. Die Empfehlungen markieren einen Paradigmenwechsel weg von komplizierten Passwort-Regeln. Statt Nutzer zu zwingen, kryptische Zeichenketten zu erfinden, setzt der Standard nun auf längere, einprägsamere Passphrasen und fortschrittliche passwortlose Methoden. Das Ziel: Sicherheit soll benutzerfreundlicher und gleichzeitig robuster werden.

Während neue Standards wie Passphrasen die Sicherheit erhöhen sollen, bleiben viele Unternehmen anfällig für klassische Cyberangriffe. Dieser Experten-Report enthüllt effektive Strategien, wie sich mittelständische Unternehmen ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Experten-Report zur Cyber Security jetzt kostenlos herunterladen

Der neue Standard: Länger statt komplizierter

Im Kern der Neuerungen steht die Abkehr von starren Komplexitätsvorgaben. Die Richtlinie SP 800-63B empfiehlt für reine Passwort-Logins nun eine Mindestlänge von 15 Zeichen. Die obligatorische Nutzung von Sonderzeichen oder Zahlen entfällt. Hintergrund ist die Erkenntnis, dass übermäßig komplizierte Regeln oft zu vorhersehbaren Variationen oder der Wiederverwendung von Passwörtern führen – ein Sicherheitsrisiko.

Stattdessen sollen Systeme neue Passwörter automatisch gegen Listen bekannter, schwacher oder bereits kompromittierter Zugangsdaten prüfen. Findet sich ein Passwort in einer bekannten Datenleak-Liste, wird es abgelehnt. Dieser proaktive Ansatz soll verhindern, dass Nutzer unwissentlich Credentials wählen, die Angreifern bereits bekannt sind.

Das Passwortlose Paradox: Theorie vs. Praxis

Doch während die Richtlinien in die Zukunft weisen, zeigt die Realität in den Unternehmen ein anderes Bild. Ein aktueller Bericht des Identitätssicherheits-Unternehmens HYPR vom März 2026 offenbart ein eklatantes Missverhältnis: Ganze 76 Prozent der Organisationen verlassen sich nach wie vor primär auf traditionelle Passwörter. Nur 43 Prozent haben überhaupt passwortlose Authentifizierung eingeführt, und das meist nur für weniger als die Hälfte der Belegschaft.

Dieses „Passwortlose Paradox“ entsteht, weil Unternehmen zwar die Schwachstellen von Passwörtern kennen, der flächendeckende Roll-out an legacy-Infrastruktur, operativer Komplexität und fragmentierten Verantwortlichkeiten scheitert. Viele Initiativen verharren in Pilotprojekten. Das schafft eine gefährliche Übergangslücke: Firmen investieren womöglich zu wenig in aktuelle Passwortsicherheit, in der Annahme, Passwörter würden bald obsolet – und bleiben so akuten Bedrohungen ausgesetzt. Der Verizon Data Breach Investigations Report 2025 unterstrich dieses Risiko: In 22 Prozent aller untersuchten Datenschutzverletzungen waren gestohlene Zugangsdaten der erste Zugangsvektor.

Bedrohungen entwickeln sich schneller als die Abwehr

Während Unternehmen umstellen, werden Angriffsmethoden immer raffinierter. Aktuelle Bedrohungen zielen gezielt auf die Umgehung der Multi-Faktor-Authentifizierung (MFA) ab. Besonders verbreitet sind Techniken wie „MFA Fatigue“ (oder Push-Bombing), bei dem Nutzer mit Authentifizierungsanfragen bombardiert werden, bis sie versehentlich einen bösartigen Login bestätigen. Auch Adversary-in-the-Middle (AiTM)-Phishing, das Authentifizierungstokens in Echtzeit abfängt, bleibt eine große Gefahr.

Die Zerschlagung von Phishing-as-a-Service-Plattformen wie Tycoon2FA Anfang März 2026 war ein Erfolg, doch die grundlegenden Techniken bleiben. Microsoft warnte im März vor Angreifern, die in Phishing-Kampagnen das OAuth-Umleitungsverhalten ausnutzen. Die Herausforderung verschiebt sich damit von der Erkennung gefälschter E-Mails hin zur Überprüfung des gesamten Anmeldewegs. KI-generierte Köder und QR-Code-Betrug machen diese Angriffe schwer erkennbar. MFA ist somit ein Grundpfeiler, aber kein Allheilmittel.

Da Hacker immer häufiger psychologische Muster und raffinierte Phishing-Methoden nutzen, reicht technische Absicherung allein oft nicht aus. Dieser Experten-Guide bietet eine 4-Schritte-Anleitung zur erfolgreichen Hacker-Abwehr und zeigt, wie Sie Ihre Organisation wirksam vor aktuellen Angriffen schützen. Kostenloses Anti-Phishing-Paket sichern

Ausblick: Der hybride Weg dominiert

Die digitale Identitätslandschaft 2026 wird von einem hybriden Modell geprägt sein. Unternehmen werden Passwörter schrittweise ersetzen, gleichzeitig aber ihre bestehenden passwortbasierten Systeme härten müssen. Das Zielzustand – die flächendeckende Nutzung phishing-resistenter, passwortloser Methoden wie FIDO2 und Passkeys – ist noch Jahre entfernt.

Zwar haben Tech-Giganten wie Apple, Google und Microsoft Passkeys prominent integriert. Google verzeichnete nach der Einführung als Standard für neue Konten 2025 einen Anstieg der Passkey-Authentifizierungen um 120 Prozent. Doch nur wenige hundert Websites unterstützen Passkeys aktuell, und die meisten Altsysteme kommen nicht ohne Passwörter aus.

Die Strategie für Unternehmen muss daher zweigleisig sein: Robuste Passwortverwaltung für bestehende Systeme priorisieren und passwortlose Lösungen strategisch implementieren. Dazu gehören starke, einzigartige Passwörter, Authenticator-Apps statt SMS für MFA und Passwort-Manager mit Zero-Knowledge-Verschlüsselung. Kontinuierliche Überwachung, adaptive Authentifizierung und umfassende Nutzerschulung bleiben kritisch, um den Risiken durch sich entwickelnde Bedrohungen und den menschlichen Faktor zu begegnen. Die größte Herausforderung ist es, ein realistisches und anpassungsfähiges Modell für Identitätsrisiken zu schaffen, das den immer raffinierteren Cyberangriffen standhält.

boerse | 69035202 |