Best Practices für die Passwortverwaltung in Unternehmen

Ein einziges gefährdetes Passwort kann jedem Unternehmen schweren Reputationsschaden sowie betriebliche und finanzielle Schäden zufügen. Proton Pass macht es einfach, Best Practices für die Passwortverwaltung zu implementieren und Datenlecks zu verhindern.

14 Tage kostenlos testen

Mehr als 50.000 Unternehmen und 100 Millionen Kunden auf der ganzen Welt vertrauen darauf.

Warum Passwortverwaltung wichtig ist

Ein einziges Datenleck kann ein kleines Unternehmen über 1 Million $ kosten. Schlechte Passwort-Praktiken schaffen einfache Einfallstore für Angreifer. Eine starke Passwortverwaltung schützt deine Systeme und verringert die Wahrscheinlichkeit eines vermeidbaren Datenlecks.

Produktivitätsverluste

Teams verbringen mehr Zeit damit, Sicherheitsvorfälle zu beheben und
Passwörter zurückzusetzen.

Compliance-Verstöße

Die meisten Vorschriften, einschließlich der GDPR, erfordern eine starke Authentifizierung und einen sicheren
Umgang mit Passwörtern.

Reputationsschaden

Datenlecks untergraben das Vertrauen der Kunden, was nur schwer wiederherzustellen ist.

Betriebsstörungen

Angreifer können dich von wichtigen Diensten aussperren oder Daten für Lösegeld erpressen.

Best Practices für die Passwortverwaltung

Nutze einen Passwortmanager

Ein Passwort-Manager für Unternehmen wie Proton Pass ist das Fundament moderner Sicherheit. Er ermöglicht es IT-Administratoren, Sicherheitsrichtlinien durchzusetzen, den Zugriff zu verwalten und sicherzustellen, dass Mitarbeiter immer starke Anmeldedaten haben – ohne dass sie sich diese merken müssen.

Zwei-Faktor-Authentifizierung (2FA) erzwingen

Passwörter allein reichen gegen moderne Angriffe nicht aus. Verwende 2FA, um einen zweiten Verifizierungsschritt hinzuzufügen, wie z. B. ein zeitbasiertes Einmalpasswort (TOTP) oder einen physischen Sicherheitsschlüssel. Selbst wenn ein Passwort gestohlen wird, macht 2FA das Konto weitaus schwieriger zu gefährden.

Mit Single Sign-On (SSO) integrieren

Verwende nach Möglichkeit SSO, damit Mitarbeiter nur eine einzige sichere Anmeldung benötigen. Dies verringert die Passwort-Überlastung und senkt das Risiko von schwachen oder wiederverwendeten Anmeldedaten. Für Tools, die kein SSO unterstützen, schließt ein Passwort-Manager die Lücken, indem er diese verbleibenden Anmeldungen sicher hält.

Verwende lange Passwörter

Die NIST-Passwortrichtlinien von 2025 empfehlen lange Passwörter oder Passphrasen anstelle von Komplexität. Längere Passwörter sind weitaus schwieriger zu knacken als kurze, aber komplexe. Während NIST 8 Zeichen empfiehlt, sind 15 oder mehr praktisch unmöglich zu knacken.

Verwende Passwörter nicht wieder

Die Verwendung desselben Passworts für mehrere Konten bedeutet, dass ein einziges Datenleck alles gefährdet. Erzwinge die Verwendung einzigartiger Anmeldungen; Mitarbeiter können dies automatisieren, indem sie einen Passwort-Manager verwenden, um starke Passwörter für jedes Konto zu generieren.

Schaffe Sicherheitsfragen und -hinweise ab

Wissensbasierte Wiederherstellungshinweise und -fragen sind veraltet und unsicher. Die Antworten lassen sich oft leicht durch Social Engineering, öffentliche Profile oder alte Datenlecks herausfinden. Ersetze sie durch stärkere Wiederherstellungsmethoden wie 2FA oder Passkeys.

Sende deine Passwörter nicht per SMS oder E-Mail

Das Teilen von Passwörtern über E-Mail oder Chat erzeugt dauerhafte, unverschlüsselte Kopien, die Angreifer leicht finden können. Verwende ein sicheres Tool zum Teilen von Passwörtern, das Anmeldedaten verschlüsselt und es dir ermöglicht, den Zugriff jederzeit zu kontrollieren oder zu widerrufen.(neues Fenster)(neues Fenster)

Überwache auf geleakte Anmeldedaten

Milliarden von Passwörtern aus früheren Datenlecks kursieren im Dark Web. Verwende ein Tool, das automatisch Leak-Datenbanken scannt und dich warnt, wenn Anmeldedaten des Unternehmens auftauchen, sodass du Zeit hast, sie zurückzusetzen, bevor sie missbraucht werden.

Erstelle eine Passwort-Sperrliste

Blockiere die Verwendung von vorhersehbaren oder risikoreichen Passwörtern, einschließlich Wörterbuchwörtern, Unternehmensbegriffen, Namen, Daten und allem, was in früheren Datenlecks gefunden wurde. Moderne Passwort-Manager können neue Passwörter automatisch mit geleakten Daten abgleichen.

Automatisiere das Offboarding

„Zombie-Konten“ (Anmeldungen, die nach dem Ausscheiden eines Mitarbeiters aktiv bleiben) sind eine Hauptursache für Datenlecks. Verwende einen Passwort-Manager, mit dem du den Zugriff sofort widerrufen oder geteilte Tresore übertragen kannst, damit keine Anmeldedaten zurückbleiben.

Verwende Passkeys, wo immer es möglich ist

Passkeys are eine moderne, Phishing-resistente Alternative zu Passwörtern, die Public-Key-Kryptografie nutzen. Sie ermöglichen Mitarbeitenden die Anmeldung mit biometrischen Merkmalen wie Touch ID oder Face ID, wodurch das Risiko eines Diebstahls von Anmeldedaten entfällt, da kein Passwort gestohlen werden kann. Moderne Passwort-Manager können Passkeys sicher speichern und synchronisieren – über alle Geräte hinweg.

Was sind die NIST-Passwortrichtlinien?

Die NIST-Passwortrichtlinien sind Sicherheitsstandards, die vom US-amerikanischen National Institute of Standards and Technology herausgegeben werden. Sie spiegeln aktuelle Best Practices wider, beeinflussen globale Compliance-Frameworks und basieren auf praxisnaher Forschung.

Die neuesten Richtlinien stellen einen Strategiewechsel dar, um modernen Bedrohungen zu begegnen:

Lange Passwörter oder Passphrasen verwenden
Strikte Komplexitätsregeln entfernen
Erzwungenes Zurücksetzen von Passwörtern vermeiden, es sei denn, es gibt Hinweise auf eine Gefährdung
Eine Sperrliste mit schwachen oder bereits von Datenlecks betroffenen Passwörtern führen
Sicherheitsfragen und Hinweise zur Wiederherstellung entfernen
Passwort-Manager und 2FA nutzen, um die Authentifizierung zu stärken

Die häufigsten Fehler bei der Passwortverwaltung

Mitarbeitende verlassen sich oft auf bequeme Gewohnheiten, die große Sicherheitslücken verursachen. Unternehmen, die auf veraltete Passwortrichtlinien setzen, setzen sich leicht vermeidbaren Angriffen aus.

Mehrfachverwendung von Passwörtern: Die Verwendung desselben Passworts für mehrere Konten stellt sicher, dass ein einziges Datenleck alle gefährdet.
Schwache Passwörter: Passwörter, die zu kurz sind oder gängige Wörter oder Konfigurationen enthalten, sind häufig die Ursache für Datenlecks.
Unsichere Speicherung: Das Aufbewahren von Anmeldedaten in Tabellen oder auf Notizzetteln, wo sie im Klartext gelesen werden können.
Unsicheres Teilen von Passwörtern: Das Senden von Passwörtern per E-Mail oder Chat, wodurch eine dauerhafte Aufzeichnung sensibler Daten entsteht.
Verwendung von Standard-Anmeldedaten: Das Versäumnis, werkseitig eingestellte Passwörter auf Routern und IoT-Geräten zu ändern.
Nicht entzogener Zugriff: Konten aktiv und zugänglich zu lassen, nachdem Mitarbeitende das Unternehmen verlassen haben.
Ignorieren von geleakten Anmeldedaten: Das Versäumnis zu prüfen, ob deine Anmeldedaten bereits im Darknet zum Verkauf angeboten werden.

Nutze Proton Pass für eine einfache Passwortverwaltung im Unternehmen

Die Einführung von Best Practices für die Passwortverwaltung muss nicht schwierig sein.
Proton Pass hilft dir dabei, diese automatisch in deiner gesamten Organisation anzuwenden.

14 Tage kostenlos testen

Automatische Passwortgenerierung

Generiere sofort starke, einzigartige Anmeldedaten für jedes Konto.

Sichere Passwortspeicherung

Schütze deine Daten mit Zero-Knowledge- und Ende-zu-Ende-Verschlüsselung. Nur du kannst auf sie zugreifen.

Dark Web-Überwachung

Erhalte sofortige Warnungen, wenn die Anmeldedaten deines Unternehmens in einem Datenleck eines Drittanbieters auftauchen.

Passwort teilen, aber sicher

Teile einzelne Einträge oder sogar ganze Tresore sicher und bestimme, wie lange der Zugriff gültig bleibt.

Passworttresore

Organisiere geteilte Konten nach Abteilungen (wie Marketing oder Finanzen), um den Zugriff sicher zu verwalten.

Überprüfung der Passwortsicherheit

Identifiziere und behebe schwache, wiederverwendete oder gefährdete Anmeldedaten in deiner gesamten Organisation.

Passkey-Unterstützung

Mache deine Sicherheit zukunftssicher, indem du Phishing-resistente Passkeys speicherst und synchronisierst.

Anpassbare Sicherheitsrichtlinien

Lege Richtlinien für Passwörter, 2FA und das Teilen fest, die deinen Sicherheitsanforderungen entsprechen.

Erweiterter Schutz

Erkenne und blockiere verdächtige Anmeldeversuche mithilfe der KI-Analyse von Proton Sentinel.

Teams vertrauen darauf, um geschützt zu bleiben

Elemnta, Australien

50–200 Mitarbeiter*innen

Für mich sind vor allem die Aktivitätsprotokolle und die granulare Kontrolle wichtig. Der Wechsel zu Proton Pass hat uns sehr geholfen.

Fallstudie ansehen

GILAI, Schweiz

IT-Verwaltung für über 1.000 Mitarbeiter*innen

Wir brauchten einen Passwort-Manager, der für den Endbenutzer einfach zu bedienen und für den Administrator einfach zu verwalten ist. Ich musste keine spezielle Dokumentation erstellen oder Demos durchführen, abgesehen von der Bereitstellung des Kontos, da es wirklich extrem benutzerfreundlich ist.

Fallstudie ansehen

Novalytica AG, Schweiz

11–50 Mitarbeiter*innen

Das Onboarding war sehr einfach. Jeder benutzt es und es funktioniert und niemand möchte Passwörter mehr auf einem Zettel oder in einem Notizbuch festhalten.

Fallstudie ansehen

Schütze deine Unternehmensdaten mit Proton Pass

Hol dir Proton Pass für Business Demo anfordern

Häufig gestellte Fragen zur Passwortverwaltung

Wie führt man Best Practices für die Passwortverwaltung ein?: Überprüfung der eigenen Sicherheitsrichtlinien auf Best Practices, um Anpassungsbedarf zu ermitteln. Um die Implementierung zu vereinfachen, verwende einen Passwort-Manager für Unternehmen. Passwort-Manager setzen automatisch Best Practices für Passwörter durch und sind sehr einfach zu bedienen.
Sollten Passwörter ablaufen?: Nein, du musst keinen Ablauf von Passwörtern erzwingen. Laut den NIST-Richtlinien für Passwörter führt diese Praxis zu vorhersehbaren Passwortmustern und Passwortmüdigkeit. Du musst eine Passwortänderung nur im Falle eines Datenlecks erzwingen.
Was sind Passphrasen?: Passphrasen sind Phrasen oder eine zufällige Kombination von Wörtern, die als Passwörter verwendet werden, wie zum Beispiel „The lemon pie flew over the moon“. Je mehr zufällige Wörter aneinandergereiht werden, desto besser, da sie einfacher zu merken sind als komplexe Zeichenkombinationen und schwieriger zu hacken.
Wie erstelle ich ein starkes Passwort?: Versuche, ein Passwort mit mindestens 15 Zeichen zu erstellen, und vermeide leicht identifizierbare Wörter, Eigenschaften, Variationen und einfach zu erratende Passwörter. Ein Passwort-Manager kann auch automatisch ein starkes Passwort für dich generieren.
Du möchtest dich noch nicht für einen Passwort-Manager registrieren? Unser kostenloser Passwort-Generator kann dir dabei helfen, ein starkes Passwort zu erstellen.