Deine Organisation kann es sich nicht länger leisten, die Passwortsicherheit einzelnen Teammitgliedern zu überlassen. Trotz bester Absichten verfallen Menschen oft in bequeme, aber riskante Gewohnheiten, wie das Speichern von Anmeldedaten in Browsern, Tabellen oder auf Haftnotizen.
Eine starke Passwort-Richtlinie legt einen klaren, durchsetzbaren Standard dafür fest, wie Passwörter in deiner Organisation erstellt, gespeichert, geteilt, überprüft und geschützt werden. Eine moderne Richtlinie reduziert Risiken durch Anmeldedaten, unterstützt die Compliance und sorgt für konsistente Zugriffssicherheit über Systeme, Teams und Workflows hinweg.
Dies ist etwas, das sich Unternehmen nicht leisten können zu ignorieren. Der Data Breach Investigations Report 2025 von Verizon ergab, dass der Missbrauch von Anmeldedaten für 22 % der wichtigsten ersten Angriffsvektoren bei bestätigten Datenlecks verantwortlich war. Die Kosten einer mangelhaften Sicherheit von Anmeldedaten zeigen sich auch in Betriebsunterbrechungen, rechtlichen Risiken, Rufschädigung und den langen Ausfallzeiten, die entstehen, wenn Teams versuchen, verlorene oder gefährdete Zugriffe wiederherzustellen.
Zusätzlich zur Erstellung einer Passwort-Richtlinie benötigt deine Organisation Systeme und Tools, die es einfach machen, sichere Gewohnheiten zu übernehmen. Regeln allein reichen nicht aus, um die Betriebssicherheit zu gewährleisten, denn dort, wo Reibung entsteht, werden selbst wohlmeinende Profis Abkürzungen nehmen. Das Ziel ist es, Passwort-Hygiene zum Pfad des geringsten Widerstands zu machen.
Die unten stehende Vorlage für Passwort-Richtlinien kann deinem Unternehmen helfen, sich an aktuellen Best Practices und NIST-konformen Leitfäden zu orientieren. Du kannst sie in eine interne Richtlinie, ein Sicherheitshandbuch oder eine Governance-Kontrolle für Organisationen umwandeln, die etwas Praktischeres als allgemeine Ratschläge benötigen.
Vorlage für Passwort-Richtlinien (Beispiel)
| Abschnitt | Richtlinienanforderung (Beispielformulierung) | Implementierungshinweise |
| Geltungsbereich | Diese Richtlinie gilt für alle Mitarbeitenden, Auftragnehmer, Anbieter und Dritte, die auf Unternehmenssysteme oder -daten mittels passwortbasierter Authentifizierung zugreifen. Sie umfasst alle Systeme, einschließlich SaaS-Plattformen, Cloud-Dienste, interne Tools, Endpunkte und administrative Umgebungen. | Stelle sicher, dass keine Systeme oder Benutzergruppen aus dem Geltungsbereich herausfallen. Beziehe Anbieter und geteilte Umgebungen mit ein. |
| Verantwortlichkeiten der Benutzer | Alle Benutzer müssen Passwörter in Übereinstimmung mit dieser Richtlinie erstellen, speichern und verwalten. Benutzer dürfen keine Anmeldedaten teilen, Passwörter wiederverwenden oder sie an nicht genehmigten Standorten speichern. Vermutete Gefährdungen von Anmeldedaten müssen sofort gemeldet werden. | In das Onboarding und das Sicherheitstraining einbeziehen. |
| Verantwortlichkeiten des Managements | Manager müssen eine zeitnahe Kommunikation über Onboarding, Rollenänderungen und Offboarding sicherstellen, um eine ordnungsgemäße Zugriffskontrolle und Aktualisierungen der Anmeldedaten zu ermöglichen. | In HR-Workflows einbinden. |
| IT- und Sicherheitsverantwortlichkeiten | IT- und Sicherheitsteams sind dafür verantwortlich, diese Richtlinie durchzusetzen, Passwort-Manager-Tools zu genehmigen, die Compliance zu überwachen und auf Vorfälle im Zusammenhang mit Anmeldedaten zu reagieren. | Intern klare Zuständigkeiten zuweisen. |
| Passwortlänge | Passwörter müssen die folgenden Mindestlängen erfüllen: 15 Zeichen (Standard-Konten), 16 Zeichen (privilegierte Konten) und 20 Zeichen (geteilte Konten oder Service-Konten, sofern machbar). | Systeme sollten lange Passwörter unterstützen (idealerweise bis zu 64 Zeichen). |
| Passworterstellung | Passwörter müssen zufällig unter Verwendung des von der Organisation genehmigten Passwort-Managers für Unternehmen generiert werden. Von Benutzern erstellte Passwörter, die auf Mustern, persönlichen Daten oder vorhersehbaren Strukturen basieren, sind nicht zulässig. | Proton Pass for Business kann die Erstellung starker, zufälliger Passwörter automatisieren. |
| Einzigartigkeit von Passwörtern | Passwörter müssen für jedes Konto, jedes System und jeden Dienst einzigartig sein. Die Wiederverwendung in Arbeitssystemen, persönlichen Konten oder Client-Umgebungen ist strengstens untersagt. | Durch Tools und Schulungen durchsetzen, nicht nur durch das Gedächtnis. |
| Überprüfung der Passwortstärke | Passwörter dürfen nicht schwach sein, wiederverwendet werden oder zuvor in bekannten Datenlecks aufgetaucht sein. | Verwende nach Möglichkeit Systeme, die die Erkennung von Passwörtern in Datenlecks unterstützen. |
| Untersagte Praktiken | Folgendes ist untersagt: Passwort-Wiederverwendung; Verwendung persönlicher oder unternehmensbezogener Begriffe; vorhersehbare Muster; Speichern von Passwörtern im Klartext; Teilen von Anmeldedaten via E-Mail, Chat oder Notizen. | Halte diesen Abschnitt explizit, um Unklarheiten zu beseitigen. |
| Multi-Faktor-Authentifizierung (MFA) | MFA muss auf allen Systemen aktiviert werden, die dies unterstützen, insbesondere für E-Mail, Identitätsanbieter, Fernzugriff, Finanzsysteme, HR-Plattformen und administrative Konten. | Priorisiere zuerst Hochrisikosysteme. |
| Passwortspeicherung | Alle Anmeldedaten dürfen nur im genehmigten Passwort-Manager der Organisation gespeichert werden. Die Speicherung in Browsern oder lokalen Tools ist nicht gestattet, es sei denn, sie wird zentral verwaltet und genehmigt. | Proton Pass for Business bietet verschlüsselte Tresore mit kontrolliertem Zugriff. |
| Untersagte Speichermethoden | Passwörter dürfen nicht in Tabellen, Dokumenten, E-Mail-Entwürfen, Ticketing-Systemen, geteilten Laufwerken oder persönlichen Notizen gespeichert werden. | Führe hierzu regelmäßige Audits durch, da dies sehr häufig vorkommt. |
| Teilen von Passwörtern | Passwörter dürfen nicht über informelle Kanäle geteilt werden. Wenn ein Teilen erforderlich ist, muss dies über genehmigte sichere Systeme erfolgen, die Zugriffskontrolle, Auditing und Widerruf unterstützen. | Proton Pass for Business ermöglicht das sichere Teilen von Anmeldedaten, ohne das Passwort selbst offenzulegen. |
| Geteilte Konten | Anmeldedaten für geteilte Konten oder Service-Konten müssen einen zugewiesenen Eigentümer, begrenzten Zugriff, eine sichere Speicherung und eine regelmäßige Überprüfung haben. Die Anmeldedaten müssen bei Personalwechseln oder bei Verdacht auf Gefährdung gewechselt werden. | Bevorzuge nach Möglichkeit individuelle Konten. |
| Schulung und Sensibilisierung | Alle Benutzer müssen beim Onboarding und danach regelmäßig eine Sicherheitsschulung für Passwörter und Anmeldedaten absolvieren. Die Schulung muss Passwort-Management, die Nutzung von MFA, Sensibilisierung für Phishing und die Meldung von Vorfällen umfassen. | Halte die Schulungen praxisnah und aktuell. |
| Reaktion auf Vorfälle | Jeder Verdacht auf oder jede bestätigte Gefährdung von Anmeldedaten muss sofort gemeldet werden. Betroffene Anmeldedaten müssen zurückgesetzt, Sitzungen widerrufen und der Zugriff überprüft werden. Vorfälle müssen dokumentiert werden. | Reaktionsgeschwindigkeit ist wichtiger als Perfektion. |
| Berichtspflichten | Benutzer müssen den Verdacht auf die Offenlegung von Anmeldedaten über den vorgesehenen Meldekanal melden. Aus Meldungen, die in gutem Glauben erfolgen, ergeben sich keine disziplinarischen Konsequenzen. | Fördert die frühzeitige Meldung. |
| Überwachung und Protokollierung | Authentifizierungsaktivitäten müssen, sofern machbar, protokolliert werden, einschließlich Anmeldeversuchen, Änderungen von Anmeldedaten und privilegierten Zugriffen. Protokolle sollten regelmäßig auf Anomalien überprüft werden. | Konzentriere dich zuerst auf Hochrisikosysteme. |
| Offboarding und Widerruf des Zugriffs | Bei einem Rollenwechsel oder einer Kündigung muss der Zugriff sofort entzogen werden. Geteilte Anmeldedaten müssen überprüft und bei Bedarf gewechselt werden. | Unerlässlich, da dies einer der häufigsten Fehlerpunkte für Organisationen ist. |
| Compliance-Anpassung | Diese Richtlinie unterstützt die Compliance der Organisation mit anerkannten Frameworks wie den Zugriffskontrollanforderungen nach NIST und ISO 27001. | Nützlich für Audits und Governance. |
| Durchsetzung | Die Nichteinhaltung dieser Richtlinie kann je nach Schweregrad zu Nachschulungen, Zugriffsbeschränkungen oder disziplinarischen Maßnahmen führen. | Konsequent anwenden. |
| Überprüfungszyklus | Diese Richtlinie muss mindestens jährlich oder nach wesentlichen Änderungen an Systemen, Risiken oder regulatorischen Anforderungen überprüft werden. | Weise einen Verantwortlichen für Aktualisierungen zu. |
Was ist eine Passwortrichtlinie? Definition, Zweck und Ziele
Eine Passwortrichtlinie ist ein formelles Regelwerk, das festlegt, wie Anmeldedaten in den Systemen einer Organisation erstellt, verwaltet, gespeichert und geschützt werden.
Das Konzept einer Passwortrichtlinie klingt einfach, aber die Auswirkungen sind weitreichend. Es geht um viel mehr als nur die Vorschrift zur Nutzung eines Passwort-Managers für Unternehmen für geschäftliche Anmeldedaten. In modernen Organisationen bilden Passwortrichtlinien das Fundament der Identitätssicherheit.
Ohne eine einheitliche Richtlinie für den Umgang mit Anmeldedaten über alle Systeme hinweg neigen Passwortpraktiken dazu, fragmentiert zu werden, und Organisationen verlieren allmählich den Überblick darüber, wie der Zugriff tatsächlich verwaltet wird.
Der Zweck einer starken Passwortrichtlinie
Eine klar definierte Passwortrichtlinie schließt Sicherheitslücken, indem sie klare Erwartungen daran formuliert, wie mit Anmeldedaten in deiner Organisation umgegangen werden soll. Sie etabliert konsistente Standards für die Erstellung, Speicherung, das Teilen und das Lifecycle-Management von Passworten.
Passwortrichtlinien spielen auch eine wichtige Rolle für Governance und Compliance. Sicherheits-Frameworks wie die NIST Digital Identity Guidelines(neues Fenster) und Standards wie ISO 27001(neues Fenster) betonen die Bedeutung starker Authentifizierungspraktiken als Teil moderner Zugriffskontrolle.
Von Organisationen, die mit sensiblen Daten umgehen – insbesondere personenbezogenen Informationen, Finanzunterlagen oder geschützten Geschäftsinformationen –, wird zunehmend erwartet, dass sie nachweisen, dass der Zugriff auf diese Systeme durch dokumentierte Sicherheitskontrollen geregelt ist.
Mit einer Passwortrichtlinie legt deine Organisation die Mindestanforderungen für das Erstellen, Speichern, Teilen und Verwalten von Passworten fest, die für den Zugriff auf Unternehmenssysteme, Dienste, Geräte, Anwendungen und Daten verwendet werden.
Was sollte eine Passwortrichtlinie bewirken?
Ein Dokument zur Passwortrichtlinie soll:
- Passwortbezogene Sicherheitsvorfälle reduzieren
- Die Wiederverwendung von Passworten und unsichere Speicherungspraktiken verhindern
- Sichere Praktiken bei der Erstellung und Verwaltung von Passworten vorschreiben
- Sicheren Zugriff für Mitarbeiter, Anbieter und Systeme unterstützen
- Die Audit-Bereitschaft und Zugriffs-Governance stärken
- Reaktionsverfahren für gefährdete Anmeldedaten definieren
Zusammen helfen diese Ziele sicherzustellen, dass Passwortsicherheit als betrieblicher Standard und nicht nur als informelle Erwartung behandelt wird.
Passwortrichtlinie: Geltungsbereich, Rollen und Verantwortlichkeiten
Eine starke Passwortrichtlinie sollte zwei Dinge explizit machen. Erstens sollte sie klar definieren, welche Benutzer, Systeme und Daten die Richtlinie einhalten müssen.
Zweitens sollte sie klären, wer für die Einhaltung, Implementierung und Pflege dieser Standards in deiner Organisation verantwortlich ist.
Definiere den Geltungsbereich deiner Passwortrichtlinie
In modernen Organisationen beschränkt sich der Zugriff selten auf Vollzeitmitarbeiter in internen Netzwerken. Auftragnehmer, Anbieter und Dienstleister benötigen möglicherweise alle Zugriff auf Unternehmenssysteme, daher sollte sich die Richtlinie auf jeden erstrecken, der über passwortbasierte Authentifizierung mit den Systemen oder Daten des Unternehmens interagiert.
Sie sollte auch für die gesamte Technologieumgebung gelten, einschließlich:
- Cloud-Plattformen
- SaaS-Tools
- Interne Systeme
- Entwicklungsumgebungen
- Administrationskonsolen
- Geteilte Betriebskonten
Das ist wichtig, da Angreifer bei der Suche nach Einbruchspunkten selten zwischen Primär- und Sekundärsystemen unterscheiden.
Rollen und Verantwortlichkeiten innerhalb deiner Passwort-Richtlinie festlegen
Ohne klare Zuständigkeit wird die Passwortverwaltung lückenhaft. Mitarbeiter gehen davon aus, dass die IT die Sicherheit automatisch übernimmt, während die IT annimmt, dass die Benutzer bewährte Praktiken eigenständig befolgen. Eine effektive Sicherheit von Anmeldedaten erfordert eine Koordination in deiner gesamten Organisation.
Während Mitarbeiter und externe Auftragnehmer die Passwortsicherheit in ihren täglichen Interaktionen mit Systemen aufrechterhalten, überwachen Manager die Zugriffsverwaltung während des Onboardings, bei Rollenwechseln und beim Offboarding. IT- und Sicherheitsteams sind für die Implementierung technischer Kontrollen und die Überwachung der Compliance verantwortlich. Systemverantwortliche stellen außerdem sicher, dass Standards in den Anwendungen und Umgebungen, die sie verwalten, durchgesetzt werden.
Leitfaden für Passwort-Richtlinien zur Mindestlänge von Passworten und Entropie-Anforderungen
Die Passwortlänge ist einer der wichtigsten Faktoren für die Stärke von Anmeldedaten. Längere Passwörter erhöhen die Anzahl der möglichen Kombinationen, die ein Angreifer bei einem Brute-Force-Angriff testen müsste, drastisch.
Tatsächlich empfiehlt das NIST(neues Fenster), der Passwortlänge Vorrang vor strengen Regeln für die Zusammensetzung zu geben. Anstatt Benutzer dazu zu zwingen, bestimmte Kombinationen aus Symbolen, Zahlen und Großbuchstaben zu verwenden, konzentrieren sich moderne Richtlinien darauf, sicherzustellen, dass Passwörter ausreichend lang sind und mit bekannten gefährdeten Anmeldedaten abgeglichen werden.
Dementsprechend sollten Organisationen auch sicherstellen, dass ihre Systeme längere, komplexere Passwörter unterstützen, wo immer dies technisch machbar ist. Dies ermöglicht es Sicherheitsteams, mit der Zeit strengere Standards für Anmeldedaten einzuführen, und stellt sicher, dass deine Organisation darauf vorbereitet ist, künftige Sicherheitsanforderungen zu erfüllen.
Ein starkes Passwort sollte diese wichtigen Anforderungen erfüllen oder übertreffen:
- Ausreichende Länge, um Brute-Force-Angriffen und automatisierten Knackversuchen zu widerstehen
- Einzigartig für ein einzelnes Konto oder einen Dienst, um die Wiederverwendung von Anmeldedaten über Systeme hinweg zu verhindern
- Schwer zu erraten, unter Vermeidung von persönlichen Informationen, Unternehmensbezügen oder vorhersehbaren Mustern
- Zufällig oder höchst unvorhersehbar, idealerweise generiert durch einen zugelassenen Passwort-Manager
- Nicht zuvor in bekannten Datenlecks exponiert oder in gängigen Passwortlisten enthalten
Beachte, dass Passwörter, die auf Namen, Geburtstagen, Unternehmensbegriffen oder einfachen Tastaturmustern basieren, oft schnell mit automatisierten Tools zum Knacken von Passwörtern geknackt werden können, unabhängig von der Länge. Siehe unseren detaillierten Leitfaden zu Anforderungen an starke Passwörter für Einzelpersonen und Unternehmen gleichermaßen.
Zufälligkeit und Komplexität von Passwörtern
Moderne Sicherheits-Frameworks empfehlen, Passwörter zufällig generieren zu lassen, anstatt Benutzer zu bitten, sie manuell zu erfinden. Zufällige Passwörter, die von zugelassenen Passwortverwaltungs-Tools generiert werden, bieten einen wesentlich stärkeren Schutz, da sie vorhersehbare Muster vermeiden und in Längen erstellt werden können, die man sich unmöglich merken kann.
Du kannst beispielsweise den sicheren Passwort-Generator und die in Proton Pass integrierten Praktiken für eine sichere Verwaltung von Anmeldedaten nutzen. Zusammen helfen diese Tools dabei, starke, unvorhersehbare Passwörter zu generieren und gleichzeitig allgemeine Herausforderungen bei der Passwortspeicherung, dem Teilen und der Lebenszyklusverwaltung zu bewältigen.
Die folgenden Mindestanforderungen können in eine Passwort-Richtlinie aufgenommen werden, um schwache oder wiederverwendete Passwörter zu verhindern:
- Standard-Benutzerpasswörter müssen mindestens 15 Zeichen lang sein.
- Passwörter für privilegierte Konten oder Administratorkonten müssen mindestens 16 Zeichen lang sein.
- Anmeldedaten für geteilte Konten oder Dienstkonten sollten, sofern technisch machbar, mindestens 20 Zeichen lang sein.
- Systeme sollten nach Möglichkeit Passwörter mit einer Länge von mindestens 64 Zeichen unterstützen.
- Lange Passphrasen können verwendet werden, wo dies unterstützt wird und angemessen ist.
- Passwörter müssen vor der Verwendung die von der Organisation genehmigten Anforderungen an Stärke und Überprüfung erfüllen.
Verwendung von einzigartigen Passwörtern pro System oder Dienst
Die Wiederverwendung von Passwörtern ist eine der häufigsten Ursachen für Sicherheitsvorfälle auf Basis von Anmeldedaten. Wenn dasselbe Passwort für mehrere Dienste verwendet wird, kann ein einziges Datenleck den Zugriff auf mehrere Systeme gleichzeitig offenlegen.
Angreifer nutzen dieses Verhalten routinemäßig mit einer Technik aus, die als Credential Stuffing bekannt ist. Dabei werden gestohlene Benutzernamen und Passwörter von einem Dienst automatisch auf anderen Plattformen getestet.
Aus diesem Grund ist Einzigartigkeit eine nicht verhandelbare Anforderung. Jedes Konto, jeder Dienst und jedes System sollte ein eigenes Passwort haben, das niemals an anderer Stelle wiederverwendet wird.
Die Verwaltung von Dutzenden oder Hunderten von einzigartigen Passwörtern wäre ohne die Unterstützung von sicheren Tools zur Passwortverwaltung unrealistisch. Tools zur Passwortverwaltung für Unternehmen machen diese Anforderung praktikabel, indem sie automatisch starke Passwörter generieren und diese sicher speichern. So können Mitarbeiter einzigartige Anmeldedaten pflegen, ohne sich auf ihr Gedächtnis verlassen zu müssen.
Anforderungen an die Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung (MFA) ist eine der effektivsten Methoden, um das Risiko eines unbefugten Zugriffs zu verringern, insbesondere in Umgebungen, in denen Anmeldedaten durch Phishing, Malware(neues Fenster) oder externe Datenlecks offengelegt werden könnten.
MFA funktioniert, indem Benutzer ihre Identität durch mindestens zwei unabhängige Faktoren nachweisen müssen, bevor sie Zugriff auf ein Konto erhalten. Dazu gehören:
- Etwas, das der Benutzer weiß (ein Passwort)
- Etwas, das du hast (z. B. einen Sicherheitsschlüssel, eine Authentifizierungs-App oder ein Mobilgerät)
- Etwas, das du bist (biometrische Authentifizierung wie Fingerabdruck oder Gesichtserkennung).
Da Angreifer selten gleichzeitig Zugriff auf alle diese Faktoren haben, verringert MFA die Wahrscheinlichkeit erheblich, dass gestohlene Anmeldedaten allein ausreichen, um ein Konto zu gefährden.
Leitfäden von Organisationen wie NIST und CISA empfehlen ausdrücklich(neues Fenster) den Einsatz der Multi-Faktor-Authentifizierung überall dort, wo ein passwortbasierter Zugriff verwendet wird, insbesondere für Systeme, die sensible Daten enthalten oder Administratorrechte bieten.
MFA in deine Passwort-Richtlinie integrieren
Deine Organisation kann die MFA-Einführung weiter stärken, indem sie Tools einsetzt, die die Bereitstellung und Verwaltung der Zwei-Faktor-Authentifizierung über Konten hinweg erleichtern. Beispielsweise kann Proton Pass zeitbasierte Einmalpasswörter (TOTP) zusammen mit gespeicherten Anmeldedaten speichern und automatisch ausfüllen. Dies vereinfacht die Anmeldevorgänge, während die Authentifizierungsdaten verschlüsselt bleiben.
Für Organisationen, die Authentifizierungsfaktoren lieber trennen, bietet Proton auch eine spezielle Proton Authenticator-App an. Diese generiert sichere sechsstellige Bestätigungscodes und kann diese über Geräte hinweg mittels Ende-zu-Ende-Verschlüsselung synchronisieren. Der Authenticator funktioniert offline und ist Open Source, was es Organisationen ermöglicht, MFA für Geschäftskonten zu implementieren und gleichzeitig Transparenz und einen starken Schutz der Privatsphäre zu wahren.
Praktiken für das sichere Teilen von Passwörtern
Obwohl viele Sicherheitsrichtlinien davon abraten, Passwörter überhaupt zu teilen, ist dies im geschäftlichen Alltag oft unumgänglich. Dienstkonten, Anbieterzugriffe und Notfallverfahren können gelegentlich erfordern, dass mehrere autorisierte Benutzer auf dieselben Anmeldedaten zugreifen.
Wenn das Teilen informell erfolgt, etwa per E-Mail, Chat oder mündlicher Kommunikation, werden Anmeldedaten exponiert und sind schwer zu kontrollieren. Einmal über diese Kanäle geteilt, gibt es in der Regel keine zuverlässige Möglichkeit nachzuverfolgen, wer Zugriff hat, oder diesen später zu widerrufen.
Passwortrichtlinien sollten daher festlegen, wie und wann das Teilen erlaubt ist. In den meisten Organisationen sollte dies nur über genehmigte Tools zum Verwalten von Anmeldedaten erfolgen, die Zugriffskontrollen, Audits und die Möglichkeit bieten, den Zugriff bei Bedarf zu widerrufen.
Verfahren für Offboarding und den Widerruf beim Zugreifen
Wenn Mitarbeitende die Rolle wechseln, die Organisation verlassen oder Geschäftsbeziehungen enden, muss der Zugriff umgehend überprüft und angepasst werden. Werden Anmeldedaten nicht rechtzeitig widerrufen, ist dies eine der häufigsten Ursachen für unbefugtes Zugreifen.
Eine starke Passwortrichtlinie sollte in Onboarding- und Offboarding-Prozesse integriert sein. So wird sichergestellt, dass Zugriffsberechtigungen sofort aktualisiert werden, um Rollenwechsel oder das Verlassen des Unternehmens widerzuspiegeln. Dazu gehört das Deaktivieren von Konten, das Rotieren geteilter Anmeldedaten und das Widerrufen von unnötigem Systemzugriff.
Wenn mehrere Personen Zugriff auf ein geteiltes Dienstkonto hatten, sollte das Passwort rotiert werden, sobald Personalwechsel anstehen. So verhinderst du, dass ehemalige Mitarbeitende oder Auftragnehmer weiterhin zugreifen können, nachdem ihre Konten deaktiviert wurden.
Überbrücke die Lücke zwischen Passwortrichtlinie und menschlichen Gewohnheiten
Passwortrichtlinien sind nur wirksam, wenn die Menschen sie auch befolgen.
In den meisten Organisationen scheitert es nicht an fehlenden Richtlinien, sondern daran, dass diese nicht in die täglichen Arbeitsläufe eingebettet sind. Mitarbeitende nutzen Tastaturkürzel oder Umwege, wenn Prozesse unklar sind, Tools nicht ausreichen oder Erwartungen nicht bekräftigt werden. Wenn sie richtig implementiert wird (und in Kombination mit einem Passwort-Manager für Unternehmen), ersetzt eine starke Passwortrichtlinie informelle Gewohnheiten durch konsistente Kontrollen, reduziert Risiken im Zusammenhang mit Anmeldedaten und macht sicheres Zugreifen zum Teil des täglichen Betriebs, statt nur ein Nebengedanke zu sein.
