Skip to content
Sicherheit calendar_today Aktualisiert: 6. April 2026 schedule 5 Min. Lesezeit

Passwortrichtlinie: Best Practices für Ihr Unternehmen

verified Zuletzt überprüft 6. April 2026 · das GDPRWise Rechtsteam

Schwache Passwörter sind eines der größten Sicherheitsrisiken für KMU. Dieser Artikel gibt praktische Richtlinien für eine gute Passwortrichtlinie: Passwortmanager, 2FA, Mindestlänge und häufige Fehler.

summarize Kernaussagen
  • check_circle Verwenden Sie einen Passwortmanager für das gesamte Team, keine Haftnotizen oder geteilte Tabellen
  • check_circle Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) auf allen Systemen mit personenbezogenen Daten
  • check_circle Legen Sie eine Mindestpasswortlänge von 12 Zeichen fest und verwenden Sie Passwörter nie wieder
  • check_circle Ändern Sie Passwörter nach einer Datenschutzverletzung, nicht nach festem Zeitplan

Warum Passwörter wichtig sind

Ein schwaches Passwort ist der einfachste Weg, an personenbezogene Daten zu gelangen. Kein komplizierter Hack, keine fortgeschrittene Technik - einfach einloggen mit einem erratenen oder gestohlenen Passwort. Forschungen zeigen, dass schwache oder wiederverwendete Passwörter an mehr als 80% der erfolgreichen Angriffe auf Unternehmenssysteme beteiligt sind.

Die DSGVO verlangt in Artikel 32, dass Sie “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten treffen. Eine gute Passwortrichtlinie ist einer der Eckpfeiler.

Die fünf Grundregeln

1. Verwenden Sie einen Passwortmanager

Das ist der wichtigste Schritt. Ein Passwortmanager generiert starke, einzigartige Passwörter für jedes System und merkt sie sich für Sie. Ihr Team muss sich nur noch ein starkes Master-Passwort merken.

Gute Optionen für KMU:

  • Bitwarden - Open Source, kostenlos für Einzelnutzung, erschwinglicher Geschäftsplan
  • 1Password - benutzerfreundlich, starker Geschäftsplan mit Teamfunktionalität

Keine Excel-Dateien, keine geteilten Notizen, keine Passwörter in E-Mails.

2. 2FA überall aktivieren

Zwei-Faktor-Authentifizierung (2FA) fügt neben Ihrem Passwort eine zweite Verifizierungsebene hinzu. Selbst wenn ein Passwort gestohlen wird, kann ein Angreifer sich ohne den zweiten Faktor nicht anmelden.

Aktivieren Sie 2FA bei:

  • E-Mail (Google Workspace, Microsoft 365)
  • CRM-Systemen
  • Buchhaltungssoftware
  • Cloud-Speicher (Google Drive, Dropbox, OneDrive)
  • Social-Media-Konten des Unternehmens

Machen Sie es verpflichtend, nicht optional.

3. Mindestens 12 Zeichen

Die Zeiten von 8-Zeichen-Passwörtern sind vorbei. Aktuelle Richtlinien empfehlen mindestens 12 Zeichen. Eine Passphrase funktioniert hervorragend: vier oder fünf zufällige Wörter hintereinander.

4. Nie wiederverwenden

Jedes System bekommt ein einzigartiges Passwort. Wenn Sie dasselbe Passwort für E-Mail, CRM und Buchhaltung verwenden, muss nur ein System gehackt werden, um überall Zugang zu erhalten.

5. Nach einem Vorfall ändern, nicht nach Zeitplan

Der alte Rat, Passwörter alle 90 Tage zu ändern, ist überholt. Forschungen zeigen, dass obligatorisches regelmäßiges Ändern zu schwächeren Passwörtern führt.

Ändern Sie Passwörter nur wenn:

  • Es eine Datenschutzverletzung gab
  • Sie vermuten, dass ein Passwort kompromittiert wurde
  • Ein Mitarbeiter ausscheidet (für geteilte Konten)

Häufige Fehler

Die Haftnotiz am Monitor. Ein starkes Passwort ordentlich auf einen gelben Zettel neben dem Bildschirm geschrieben. Alle Mühe umsonst.

Das geteilte Konto. “Wir benutzen alle denselben Login für das CRM.” Ergebnis: Sie können nicht nachvollziehen, wer was getan hat.

“Willkommen123” als Standardpasswort. Neue Mitarbeiter bekommen ein Standardpasswort, das sie “später” ändern sollen. Spoiler: Das passiert nicht.

Passwörter in WhatsApp oder E-Mail. Diese Nachrichten bleiben auf unverschlüsselten Telefonen.

Nur Passwort, keine 2FA. Ein Passwort allein reicht nicht.

So implementieren Sie es

  1. Wählen Sie einen Passwortmanager und rollen Sie ihn für das gesamte Team aus
  2. Aktivieren Sie 2FA auf allen Systemen mit personenbezogenen Daten
  3. Legen Sie Mindestanforderungen fest: 12 Zeichen, einzigartig pro System
  4. Kommunizieren Sie die Richtlinie klar an Ihre Mitarbeiter
  5. Prüfen Sie die Einhaltung - aktivieren Sie verpflichtende 2FA, wo möglich
auto_awesome Ihre Sicherheit dokumentieren?

GDPRWise hilft Ihnen, Ihre Sicherheitsmaßnahmen zu erfassen und zu dokumentieren. Von der Passwortrichtlinie bis zum Zugriffsmanagement.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.