Das stärkste Firewall-Konzept hilft wenig, wenn das Passwort `Sommer2024` lautet und überall wiederverwendet wird.
Viele Mitarbeiter merken sich ihre Zugangsdaten nicht, verwenden identische oder sehr ähnliche Passwörter und sind genervt von ständig neuen Vorgaben.
Wir zeigen, wie Sie mit klaren Richtlinien, einem Passwortmanager und Multi-Faktor-Authentifizierung ein sicheres und gleichzeitig praxistaugliches Passwort-Management etablieren.
Das erwartet Sie in diesem Artikel:
- Warum Passwörter 2025 noch immer kritisch sind
- Passwortrichtlinien für KMU pragmatisch definieren
- Passwortmanager im Unternehmensumfeld
- Multi-Faktor-Authentifizierung (MFA) richtig einsetzen
- HELITS-Praxisbeispiel aus der Region
Warum Passwörter 2025 weiterhin ein Risiko sind
- •Wiederverwendung desselben Passworts für unterschiedliche Dienste.
- •Leicht zu erratende Muster (Name + Jahr, `Firma123!`).
- •Phishing-Angriffe, die Anmeldedaten abgreifen.
- •Fehlende Transparenz: Wer hat Zugang zu welchen Systemen?
Typischer Vorfall
Ein Mitarbeiter nutzt dasselbe Passwort für Firmen-Mail und einen privaten Cloud-Dienst. Nach einem Datenleck beim Drittanbieter greifen Angreifer auch auf das Firmenkonto zu.
Passwortrichtlinien für KMU – weniger ist mehr
- •Lange Passwörter/Passphrasen statt kryptischer Kürzel (z.B. 16+ Zeichen).
- •Keine regelmäßigen Zwangswechsel ohne Anlass – stattdessen bei Verdacht oder Rollenwechsel.
- •Verbot der Wiederverwendung kritischer Passwörter (E-Mail, VPN, Admin).
- •Schulung, wie gute Passphrasen aussehen (z.B. 3–4 Wörter, die nichts mit der Person zu tun haben).
Passwortmanager als zentrale Lösung
- •Zentrale Verwaltung von Logins, geteilten Konten und Team-Zugängen.
- •Automatische Generierung starker Passwörter.
- •Getrennte Tresore für persönliche und gemeinsame Konten.
- •Notfallzugang für Geschäftsführung oder IT bei Ausfällen.
- •Integrationen in Browser und Mobile-Apps.
Multi-Faktor-Authentifizierung (MFA) richtig einsetzen
- •MFA mindestens für E-Mail, VPN, Admin-Konten und kritische Cloud-Dienste aktivieren.
- •App-basierte oder Hardware-Token bevorzugen statt SMS, wo möglich.
- •Backup-Codes und alternative Faktoren definieren (z.B. Zweitgerät).
- •MFA-Richtlinien in Microsoft 365 und anderen Diensten zentral verwalten.
📋 HELITS-Praxisbeispiel: Einführung von Passwortmanager und MFA
Kunde:
Dienstleistungsunternehmen (18 Mitarbeiter, Bad Reichenhall)
Herausforderung:
Unklare Passwortpraxis, wiederverwendete Kennwörter und kaum Überblick über Zugänge zu Cloud-Diensten.
Lösung:
HELITS führte einen unternehmensweiten Passwortmanager ein, definierte Passwortrichtlinien, aktivierte MFA für zentrale Systeme und schulte die Mitarbeiter.
Ergebnis:
Transparente Zugriffsverwaltung, deutlich geringeres Risiko durch kompromittierte Passwörter und weniger Supportfälle zu vergessenen Logins.
Fazit
Gutes Passwort-Management ist kein Luxus, sondern Grundvoraussetzung für IT-Sicherheit. Mit klaren Regeln, einem Passwortmanager und MFA lässt sich das Risiko deutlich reduzieren – ohne den Arbeitsalltag unnötig zu verkomplizieren.
Die wichtigsten Erkenntnisse:
- Einfache, verständliche Richtlinien wirken besser als übertriebene Komplexität.
- Passwortmanager entlasten Mitarbeiter und erhöhen die Sicherheit.
- MFA ist Pflicht für zentrale Systeme und Admin-Zugänge.
- Schulung und Kommunikation sind entscheidend für die Akzeptanz.
Häufig gestellte Fragen
Welchen Passwortmanager empfehlen Sie?
Sind Passwörter irgendwann komplett überflüssig?
Passwort- & Zugangscheck
Wir prüfen Ihre aktuelle Passwort- und Zugangsstrategie und zeigen konkrete Verbesserungsmöglichkeiten auf.
Zugangscheck anfragen
