Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Sicherheit & Datenschutz 02.06.2026 · 10 min Lesezeit

Sichere Passwörter und Passkeys im Unternehmen

So setzt du im Unternehmen eine moderne Passwortrichtlinie nach BSI- und NIST-Stand um, führst einen Passwortmanager verpflichtend ein und rollst Passkeys (FIDO2/WebAuthn) schrittweise als phishingsicheren Ersatz aus – mit Checklisten und konkreten Schritten.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Mitarbeitende melden sich sicher mit Passwortmanager und Passkeys im Unternehmen an

Mit einer modernen Passwortrichtlinie und Passkeys machst du dein Unternehmen messbar sicherer – ohne deine Kolleginnen und Kollegen mit unsinnigen Regeln zu nerven. Diese Anleitung richtet sich an Mittelstands-Admins und Entscheider und zeigt dir drei Bausteine: erstens eine Passwortrichtlinie auf aktuellem Stand von BSI (2025) und NIST SP 800-63B-4, zweitens den verpflichtenden Passwortmanager im Team und drittens Passkeys nach FIDO2/WebAuthn als phishingsichere Ablösung. Der Fokus liegt auf Prozess und Organisation: klare Werte, Checklisten und ein gestufter Rollout statt langer Theorie. Veraltete Praktiken wie der 90-Tage-Wechsel oder Sonderzeichen-Zwang haben hier ausgedient – Länge schlägt Komplexität.

Voraussetzungen

Bevor du loslegst, sollten organisatorische und technische Grundlagen stehen. Ohne diese Basis greifen die späteren Schritte nicht sauber.

  • Mandat: Rückendeckung der Geschäftsführung, damit die Richtlinie verbindlich gilt und der Passwortmanager Pflicht wird.
  • Identitätsplattform: ein zentrales Verzeichnis bzw. eine IdP-Lösung (z. B. Microsoft Entra ID, ein anderer OIDC-/SAML-Anbieter), in der sich Richtlinien und Authentifizierungsmethoden steuern lassen.
  • MFA-Grundlage: Mehr-Faktor-Authentifizierung ist bereits aktiv oder wird parallel eingeführt – Passwörter allein sind nie ausreichend.
  • Endgeräte: aktuelle Betriebssysteme und Browser, die WebAuthn/Passkeys unterstützen; für gerätegebundene Schlüssel passende FIDO2-Sicherheitsschlüssel.
  • Inventar: Überblick über kritische Anwendungen, Admin-Konten und Dienste, die du priorisiert absichern willst.
  • Kommunikation: ein kurzer Plan, wie du Mitarbeitende informierst und schulst – Akzeptanz entscheidet über den Erfolg.

Schritt 1: Passwortrichtlinie auf aktuellen Stand bringen

Die wichtigste Erkenntnis aus BSI 2025 und NIST SP 800-63B-4 lautet: Länge schlägt Komplexität. Lange Passphrasen sind für Menschen merkbar und für Angreifer schwer zu knacken. Zwangs-Komplexitätsregeln (mindestens ein Großbuchstabe, eine Ziffer, ein Sonderzeichen) führen dagegen zu vorhersehbaren Mustern wie Passwort1! und sind daher nicht mehr empfohlen.

Die zweite Kernaussage: kein erzwungener periodischer Wechsel mehr. Erzwinge eine Änderung nur noch bei einem konkreten Verdacht auf Kompromittierung – nicht alle 30, 60 oder 90 Tage. Routinemäßiger Wechsel verleitet nur zu minimalen, leicht erratbaren Abwandlungen.

Mindestlängen richtig verstehen

Hier liegt die häufigste Verwechslung: Die geforderte Länge hängt davon ab, ob das Passwort der alleinige Faktor ist oder Teil einer MFA-Anmeldung.

SzenarioMindestlänge (NIST 800-63B-4)Maximallänge
Passwort als alleiniger Faktor15 Zeichenmindestens 64 zulassen
Passwort innerhalb MFA8 Zeichenmindestens 64 zulassen

Das BSI formuliert es als praktische Faustregel etwas anders: entweder kurz und komplex (8–12 Zeichen mit 4 Zeichenarten) oder lang und einfacher (20–25 Zeichen mit 2 Zeichenarten). WLAN-Passwörter sollten mindestens 20 Zeichen lang sein. Wichtig: Die 15-Zeichen-Regel von NIST gilt nur, wenn das Passwort der einzige Faktor ist – bei aktivierter MFA reichen 8 Zeichen.

Konkrete Richtlinienwerte

Diese Werte kannst du direkt in deine schriftliche Richtlinie und in die technische Konfiguration übernehmen.

Mindestlaenge (Passwort als alleiniger Faktor): 15 Zeichen
Mindestlaenge (Passwort innerhalb MFA):          8 Zeichen
Maximallaenge:                                   mindestens 64 zulassen
Erlaubte Zeichen:                                alle (inkl. Leer-/Sonderzeichen, Unicode)
Komplexitaetsregeln (Zwang):                     keine
Periodischer Zwangswechsel:                      keiner (nur bei Verdacht)
Blockliste kompromittierter Passwoerter:         Pflicht (bei Vergabe UND Aenderung)
Ratenbegrenzung gegen Brute-Force:               Pflicht
Passworthinweise (Hints):                        verboten

Blockliste und Ratenbegrenzung

Statt starrer Komplexitätsregeln verlangen NIST und BSI zwei wirksamere Mechanismen. Eine Blockliste gleicht jedes neue Passwort gegen bekannte, kompromittierte Passwörter ab und lehnt Treffer ab. Wichtig: Dieser Abgleich muss laufend erfolgen – also nicht nur bei der ersten Vergabe, sondern auch bei jeder Änderung. Ergänzend begrenzt die Ratenbegrenzung (Rate Limiting) die Zahl der Fehlversuche und stoppt so automatisierte Angriffe.

Schritt 2: Passwortmanager verpflichtend einführen

Wer sich an die neue Richtlinie hält, hat ein praktisches Problem: lange, einzigartige Passwörter pro Dienst kann sich niemand merken. Genau dafür ist ein Passwortmanager Pflicht im Unternehmen. Er erzeugt starke Zufallspasswörter, speichert sie verschlüsselt und füllt sie automatisch aus – das senkt zugleich das Phishing-Risiko, weil das Autofill nur auf der echten Domain greift.

Nutzen im Überblick

  • Einzigartige, lange Zufallspasswörter pro Konto – kein Wiederverwenden mehr.
  • Zero-Knowledge-Verschlüsselung: der Anbieter kann die Inhalte nicht lesen.
  • Gemeinsame Tresore für Teams mit feingranularen Freigaben statt Passwörter per Chat oder Zettel.
  • Audit- und Health-Funktionen: aufdecken von schwachen, doppelten oder geleakten Passwörtern.
  • SSO-Anbindung und zentrale Verwaltung über die Identitätsplattform.

Auswahlkriterien

Nutze diese Kriterien als Bewertungsraster, wenn du Anbieter vergleichst.

KriteriumWorauf du achtest
VerschlüsselungZero-Knowledge-Architektur, geprüfte Krypto, idealerweise unabhängiges Audit
Team-Funktionengemeinsame Tresore, rollenbasierte Freigaben, Rechteverwaltung
Verwaltungzentrale Admin-Konsole, Richtlinien, Onboarding/Offboarding
SSO und MFAAnbindung an die Identitätsplattform, MFA für den Tresor selbst
Audit und ReportingPasswort-Health, Leak-Abgleich, Aktivitätsprotokolle
WiederherstellungNotfallzugriff, Account-Recovery ohne Hintertür
PlattformenBrowser-Erweiterungen, Desktop- und Mobile-Apps, Passkey-Unterstützung

Gemeinsame Tresore und Freigaben

Teile gemeinsam genutzte Zugänge (z. B. für einen Fachdienst oder ein Funktionskonto) ausschließlich über gemeinsame Tresore, nie im Klartext per E-Mail oder Messenger. Strukturiere die Tresore nach Team oder Abteilung und vergib Rechte nach dem Prinzip der minimalen Berechtigung. Beim Offboarding entfernst du eine Person aus dem Tresor – statt jedes Passwort einzeln zu ändern. Lege im Vorfeld fest, welche Kategorien es gibt und wer sie verwaltet.

Schritt 3: Passkeys und FIDO2/WebAuthn verstehen

Passkeys sind der nächste Schritt nach dem Passwort. Technisch basieren sie auf FIDO2, das aus zwei Bausteinen besteht: WebAuthn (die Browser-/Plattform-API) und CTAP (das Protokoll zum Authenticator, etwa einem Sicherheitsschlüssel). Statt eines geteilten Geheimnisses kommt ein asymmetrisches Schlüsselpaar zum Einsatz: Der private Schlüssel verlässt das Gerät nie, nur der öffentliche liegt beim Dienst. Damit sind Passkeys phishingsicher – es gibt kein Passwort, das man abgreifen oder auf einer Fake-Seite eingeben könnte.

Gerätegebunden vs. synchronisiert

Bei der Einführung musst du eine zentrale Entscheidung treffen: gerätegebundene oder synchronisierte Passkeys.

EigenschaftGerätegebunden (device-bound)Synchronisiert (synced)
Speicherortfest auf einem Gerät / Hardware-Schlüsselgeteilt über einen Cloud-Dienst
BeispieleFIDO2-Sicherheitsschlüssel, Plattform-TPMiCloud, Google, 1Password, Bitwarden
Attestierung (Attestation)möglich (Modell nachweisbar)keine Attestierung
Komfortgeringer (an Gerät gebunden)hoch (auf mehreren Geräten verfügbar)
Einsatzprivilegierte/Admin-KontenStandard-Personal

Über die Attestierung kann ein Dienst nachweisen lassen, welches Authenticator-Modell verwendet wurde – identifiziert über die AAGUID, eine 128-Bit-Modell-ID. Synchronisierte Passkeys liefern keine Attestierung. Für hohe Sicherheitsanforderungen brauchst du daher gerätegebundene, attestierte Schlüssel.

Schritt 4: Passkeys in der Identitätsplattform aktivieren

Die folgenden Schritte beschreiben das Beispiel Microsoft Entra ID – das Vorgehen lässt sich sinngemäß auf andere Plattformen übertragen. Gute Nachricht: In Entra sind Passkeys in allen Editionen (inklusive Free) ohne Zusatzlizenz nutzbar. Voraussetzung für die Registrierung: Die Nutzerin oder der Nutzer hat sich in den letzten 5 Minuten per MFA verifiziert.

Aktiviere die Methode als Authentifizierungsrichtlinien-Administrator:

Admin Center oeffnen (Rolle: Authentication Policy Administrator)
  -> Entra ID > Security > Authentication methods > Policies
  -> Passkey (FIDO2): opt-in
  -> Configure: Allow self-service set up = Yes
  -> Default profile: Passkey-Typen festlegen
  -> Save

Wichtige Eckwerte und Stolperstellen bei der Konfiguration:

  • Pro Konto sind maximal 3 Passkey-Profile möglich; ein Profil ist auf 20 KB begrenzt.
  • Setzt du Enforce attestation = Yes, schließt das synchronisierte Passkeys aus (sie liefern keine Attestierung).
  • Gäste bzw. B2B-Konten können keine Passkeys registrieren.
  • Das Opt-in eines Passkey-Profils ist nicht umkehrbar – plane es bewusst.

Privilegierte Konten besonders absichern

Für Admin-Konten gehst du strenger vor: nur gerätegebundene, attestierte Hardware-Schlüssel und – wenn gewünscht – eine Beschränkung auf bestimmte Modelle per AAGUID.

Passkey-Profil hinzufuegen
  -> Enforce attestation = Yes
  -> Device-bound (optional): key restrictions ueber AAGUID
  -> Enable und Target = Admins
Durchsetzung:
  -> Authentication strengths in Conditional Access
     (phishingsichere Staerke fuer privilegierte Rollen erzwingen)

Achtung: Entfernst du später eine erlaubte AAGUID aus der Liste, sperrst du damit bereits registrierte Schlüssel dieses Modells aus. Plane Modellbeschränkungen daher sorgfältig.

Schritt 5: Passkeys gestuft im Unternehmen ausrollen

Führe Passkeys nicht in einem Big Bang ein, sondern in klaren Stufen. So sammelst du Erfahrung, hältst einen Rückfallweg offen und vermeidest Aussperrungen.

  1. Pilot mit IT: Starte mit dem IT-Team, teste Geräte, Browser und Recovery-Wege.
  2. Synchronisierte Passkeys fürs Personal: komfortabler Einstieg für die Breite der Belegschaft.
  3. Hardware-Schlüssel für Admins: gerätegebundene, attestierte Keys für privilegierte Konten.
  4. Passwort-Fallback beibehalten: in dieser Phase bleibt das Passwort als Rückfall aktiv.
  5. Phishingsichere Stärke erzwingen: per Conditional Access bzw. Authentication strengths.
  6. Wiederherstellung mit 2 Faktoren: definiere robuste Recovery-Pfade mit zwei Faktoren.
  7. Passwort-Login schließen: erst zum Schluss das reine Passwort-Login deaktivieren.

Hinterlege auf jeder Stufe mindestens ein zweites Authentifizierungsmittel. Wer nur einen einzigen Authenticator besitzt und ihn verliert, sperrt sich sonst dauerhaft aus.

Typische Fehler

  • 15 und 8 Zeichen verwechseln: Die 15-Zeichen-Mindestlänge gilt nur, wenn das Passwort der alleinige Faktor ist. Mit MFA sind 8 Zeichen zulässig.
  • Veraltete Regeln behalten: 90-Tage-Rotation und Sonderzeichen-Zwang widersprechen dem aktuellen BSI- und NIST-Stand.
  • Blockliste nur einmal prüfen: Der Abgleich gegen kompromittierte Passwörter muss laufend erfolgen – bei Vergabe und bei jeder Änderung, nicht nur beim ersten Setzen.
  • Synchronisierte Passkeys für High-Security: Sie liefern keine Attestierung und werden bei erzwungener Attestierung blockiert. Hohe Sicherheit braucht gerätegebundene, attestierte Schlüssel.
  • Opt-in unterschätzen: Das Aktivieren eines Entra-Passkey-Profils ist nicht umkehrbar.
  • AAGUID voreilig entfernen: Das sperrt bereits registrierte Schlüssel dieses Modells aus.
  • Nur ein Authenticator: Geht der einzige Schlüssel verloren, ist die Person ausgesperrt. Immer ein Backup-Faktor.
  • Zugangsdaten im Klartext teilen: niemals per E-Mail oder Chat – ausschließlich über gemeinsame Tresore.

Häufige Fragen

Müssen wir Passwörter wirklich nicht mehr regelmäßig ändern?

Richtig, ein routinemäßiger Zwangswechsel ist nach aktuellem BSI- und NIST-Stand nicht mehr empfohlen. Eine Änderung erzwingst du nur noch bei konkretem Verdacht auf Kompromittierung. Der laufende Abgleich gegen eine Blockliste geleakter Passwörter ersetzt den periodischen Wechsel.

Wie lang muss ein Passwort mindestens sein?

Ist das Passwort der einzige Faktor, sind nach NIST 800-63B-4 mindestens 15 Zeichen nötig. Innerhalb einer MFA-Anmeldung genügen 8 Zeichen. In jedem Fall solltest du mindestens 64 Zeichen zulassen und alle Zeichen erlauben.

Sind Sonderzeichen-Regeln noch sinnvoll?

Nein. Erzwungene Komplexitätsregeln führen zu vorhersehbaren Mustern und sind nicht mehr empfohlen. Setze stattdessen auf Länge, eine Blockliste kompromittierter Passwörter und Ratenbegrenzung.

Was ist der Unterschied zwischen gerätegebundenen und synchronisierten Passkeys?

Gerätegebundene Passkeys liegen fest auf einem Gerät oder Hardware-Schlüssel und lassen sich attestieren (Modellnachweis per AAGUID). Synchronisierte Passkeys (iCloud, Google, 1Password, Bitwarden) sind komfortabler, weil sie über mehrere Geräte verfügbar sind, bieten aber keine Attestierung. Für Admin-Konten nimmst du gerätegebundene Schlüssel.

Brauchen wir für Passkeys in Entra ID eine spezielle Lizenz?

Nein. Passkeys (FIDO2) sind in allen Entra-Editionen inklusive Free ohne Zusatzlizenz verfügbar. Voraussetzung für die Registrierung ist eine MFA-Verifizierung innerhalb der letzten 5 Minuten.

Können wir das Passwort-Login sofort abschalten?

Besser nicht. Rolle Passkeys gestuft aus, behalte zunächst ein Passwort-Fallback, richte robuste Wiederherstellung mit zwei Faktoren ein und deaktiviere das reine Passwort-Login erst am Ende. So vermeidest du Aussperrungen.

Fazit

Sichere Authentifizierung im Mittelstand steht heute auf drei Säulen: eine Passwortrichtlinie, die Länge über Komplexität stellt und auf periodischen Zwangswechsel verzichtet; ein verpflichtender Passwortmanager mit Zero-Knowledge-Verschlüsselung und gemeinsamen Tresoren; und Passkeys nach FIDO2/WebAuthn als phishingsichere Ablösung. Beginne mit der Richtlinie, mache den Passwortmanager zur Pflicht und führe Passkeys gestuft ein – Pilot, synchronisiert fürs Personal, gerätegebunden für Admins, dann phishingsichere Stärke erzwingen. Hinterlege immer ein zweites Wiederherstellungsmittel und teile Zugänge nie im Klartext. So senkst du das Risiko deutlich, ohne den Arbeitsalltag zu blockieren.

Weiterführende Anleitungen und Quellen

Quellen: NIST SP 800-63B-4 Digital Identity Guidelines, BSI – Sichere Passwörter erstellen, FIDO Alliance – Passkeys und Microsoft Learn – Enable passkeys (FIDO2) in Entra ID.

Verwandt

Weiter lesen

Alle Artikel →
Aktenordner und Datenschutz-Symbole als Sinnbild für ein DSGVO-Löschkonzept mit Löschfristen
02.06.2026 ·11 min

Datensicheres Löschkonzept nach DSGVO erstellen

Mit einem DSGVO-Löschkonzept legst du fest, welche personenbezogenen Daten wann und wie gelöscht werden. Diese Anleitung führt dich Schritt für Schritt durch Datenarten, Löschklassen, Löschfristen und den Nachweis – inklusive Vorlagen und Backup-Regeln für den Mittelstand.
Schreibtisch mit Checkliste und Vertragsdokumenten für DSGVO-Dokumentation und Auftragsverarbeitung
02.06.2026 ·10 min

DSGVO-Praxis: TOMs dokumentieren und Auftragsverarbeitung regeln

So dokumentierst du deine technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO und schließt rechtssichere Auftragsverarbeitungsverträge nach Art. 28 ab – mit Vorlagenstruktur, Checklisten und einer zentralen AVV-Übersicht für den Mittelstand.
Mitarbeiterin prüft am Laptop eine verdächtige E-Mail vor dem Melden
02.06.2026 ·8 min

Phishing erkennen und melden – Kurzleitfaden fürs Team

Dieser Kurzleitfaden zum Thema Phishing erkennen und melden ist zum Weitergeben an dein Team gedacht: klare Merkmale, echte Beispiele wie CEO-Fraud und Fake-Login, ein definierter Meldeweg und die richtigen Sofortmaßnahmen nach einem Klick.