Passwort-Sicherheit für Unternehmen: Best Practices 2026

Passwort-Sicherheit ist das Fundament jeder Unternehmens-Cybersicherheit — und gleichzeitig die am häufigsten unterschätzte Schwachstelle: Laut dem Verizon Data Breach Investigations Report 2024 gehen 81% aller hacking-basierten Datenpannen auf kompromittierte, schwache oder gestohlene Passwörter zurück. Für Schweizer KMU bedeutet das: Wer Passwort-Sicherheit vernachlässigt, hat die grösste Angriffsfläche für Cyberkriminelle nicht geschlossen — unabhängig davon, wie viel sonst in Firewalls, Antivirensoftware oder andere Sicherheitsmassnahmen investiert wird.

Warum Passwort-Sicherheit 2026 wichtiger denn je ist

Die Bedrohungslage hat sich dramatisch verändert. Angreifer greifen Passwörter heute nicht mehr manuell und einzeln an — sie arbeiten mit automatisierten, KI-gestützten Tools, die Millionen von Anmeldeversuchen pro Sekunde durchführen können.

Die Zahlen sprechen eine klare Sprache

• 15 Milliarden gestohlene Zugangsdaten sind aktuell in Cybercrime-Foren verfügbar (Digital Shadows Research, 2024)
• 81% aller hacking-basierten Datenpannen involvieren schwache oder gestohlene Passwörter (Verizon DBIR 2024)
• CHF 4,5 Millionen kostet eine Datenpanne ein Schweizer Unternehmen im Durchschnitt (IBM Cost of a Data Breach Report 2024, CH-adjustiert)
• 123456 war auch 2024 noch eines der häufigsten Passwörter weltweit — und in Schweizer KMU (NordPass Studie 2024)
• 58 Sekunden braucht ein modernes Cracking-Tool, um ein 8-Zeichen-Passwort (ohne Sonderzeichen) zu knacken

Diese Zahlen machen deutlich: Passwort-Sicherheit ist keine Frage von persönlicher Disziplin — sie ist eine unternehmensweite Sicherheitsstrategie, die Richtlinien, Technologie und Schulung umfasst.

Die wichtigsten Passwort-Angriffsmethoden

Um effektiven Schutz zu implementieren, müssen Sie verstehen, wie Angreifer vorgehen.

Credential Stuffing

Bei Credential Stuffing verwenden Angreifer automatisiert Millionen von gestohlenen E-Mail/Passwort-Kombinationen aus früheren Datenpannen bei anderen Diensten. Da viele Menschen dasselbe Passwort für mehrere Dienste verwenden, führen diese Angriffe erschreckend oft zum Erfolg.

Beispiel: Eine Datenpanne bei einem Online-Shop legt 500’000 E-Mail/Passwort-Kombinationen offen. Angreifer testen diese Kombinationen automatisch bei Ihrem Unternehmensportal, E-Mail-System und VPN. Wenn auch nur 2% der Nutzer dasselbe Passwort verwenden, haben Angreifer Zugang zu 10’000 Accounts — ohne eine einzige echte “Hacking”-Technik einzusetzen.

Password Spraying

Beim Password Spraying wählen Angreifer einige sehr häufige Passwörter (z.B. “Sommer2024!”, “Firma123!”, “Welcome1”) und testen diese systematisch gegen eine grosse Anzahl von Nutzer-Accounts. Im Gegensatz zu Brute-Force-Angriffen, die ein einziges Konto massiv angreifen, bleibt Password Spraying oft unter dem Radar von Sperrrichtlinien (Account-Lockouts).

Besonders gefährlich: Da Angreifer pro Account nur wenige Versuche unternehmen, greifen Schutzmassnahmen wie “5 Fehlversuche führen zur Account-Sperrung” nicht.

Brute Force und Dictionary Attacks

Bei Brute-Force-Angriffen werden systematisch alle Zeichenkombinationen ausprobiert. Einfache 8-Zeichen-Passwörter sind für moderne Hardware in Sekunden geknackt. Dictionary Attacks kombinieren Wörterbuchangriffe mit bekannten Passwortmustern (Gross-/Kleinbuchstaben, Zahlen am Ende, Sonderzeichen als Substitution).

Moderne Cracking-Tools wie Hashcat nutzen GPU-Beschleunigung und können auf Consumer-Hardware bis zu 100 Milliarden Passwort-Hashes pro Sekunde testen.

Phishing und Social Engineering

Technisch gesehen geht es nicht um “Knacken”, sondern um “Stehlen”: Phishing-Angriffe täuschen Nutzer dazu, ihre Zugangsdaten auf gefälschten Login-Seiten einzugeben. Dieser Ansatz umgeht selbst starke Passwörter vollständig.

Keylogger und Malware

Schadsoftware auf dem Endgerät protokolliert Tastatureingaben und stiehlt Passwörter direkt beim Eingeben — unabhängig von der Passwort-Komplexität. Dies unterstreicht, warum Passwort-Sicherheit immer Teil eines mehrschichtigen Sicherheitsansatzes sein muss.

NIST-Richtlinien 2026: Die neue Wissenschaft der Passwort-Sicherheit

Das US-amerikanische National Institute of Standards and Technology (NIST) hat seine Passwort-Richtlinien in den letzten Jahren grundlegend überarbeitet. Die NIST Special Publication 800-63B gilt als internationaler Goldstandard für Passwort-Richtlinien und wird auch in der Schweiz von Sicherheitsexperten empfohlen.

Was NIST heute empfiehlt — und was es nicht mehr empfiehlt

NIST empfiehlt:

• Passwort-Länge über Komplexität: Ein langes Passwort (Passphrase) ist besser als ein kurzes, komplexes. NIST empfiehlt mindestens 15 Zeichen.
• Keine erzwungenen regelmässigen Passwort-Änderungen: Das regelmässige Ändern von Passwörtern führt zu schlechteren Passwörtern (Nutzer fügen einfach eine Zahl an). Passwörter sollen nur geändert werden, wenn es Anzeichen einer Kompromittierung gibt.
• Überprüfung gegen bekannte gestohlene Passwörter: Neue Passwörter sollen gegen Datenbanken bekannter kompromittierter Passwörter geprüft werden.
• Kein Verbot von Copy-Paste: Das Sperren der Einfügefunktion beim Passwortfeld verhindert die Nutzung von Passwort-Managern und ist kontraproduktiv.

NIST empfiehlt nicht mehr:

• Erzwungene regelmässige Passwort-Änderungen (z.B. alle 90 Tage)
• Komplexitätsregeln, die Nutzer zu vorhersehbaren Mustern zwingen (z.B. “P@ssw0rd!”)
• Passwort-Hinweisfragen (zu leicht zu erraten oder zu recherchieren)
• Kurzzeichenbegrenzungen (maximale Passwort-Länge einschränken)

“Die meisten Passwort-Richtlinien, die in Unternehmen noch heute gelten, basieren auf einem Verständnis von 2003 — bevor wir wussten, wie echte Angreifer Passwörter angreifen. Es ist Zeit für ein Update.”

— Dr. Paul Grassi, Co-Autor NIST SP 800-63B

Die empfohlene Passwort-Richtlinie für KMU 2026

Basierend auf NIST und Best Practices der Schweizer Sicherheitsgemeinschaft empfehlen wir folgende Passwort-Richtlinie für KMU:

Mindestlänge: 12 Zeichen (15+ Zeichen für administrative Accounts)

Passphrases statt Passwörter: Vier oder mehr zufällige Wörter sind einfacher zu merken und schwerer zu knacken als ein kurzes komplexes Passwort. Beispiel: “Tannenbaum-Koffer-Nebel-Gitarre” ist stärker als “P@ssw0rd1!”

Überprüfung gegen Breach-Datenbanken: Neue Passwörter automatisch gegen bekannte kompromittierte Passwörter prüfen (z.B. via Have I Been Pwned API)

Keine erzwungenen Rotationen: Passwörter nur bei Verdacht auf Kompromittierung ändern — oder wenn ein Mitarbeitender das Unternehmen verlässt

Einzigartigkeit: Jeder Account erhält ein einzigartiges Passwort — keine Wiederverwendung

MFA verpflichtend: Passwörter sind nur die erste Verteidigungslinie

Passwort-Manager für Unternehmen: Die wichtigste Einzelmassnahme

Passwort-Manager sind das effektivste Werkzeug für unternehmensweite Passwort-Sicherheit. Sie ermöglichen es Mitarbeitenden, für jeden Dienst ein einzigartiges, langes, zufälliges Passwort zu verwenden — ohne es sich merken zu müssen.

Die wichtigsten Business-Passwort-Manager im Vergleich

1Password Business Der derzeit führende Business-Passwort-Manager. Vorteile: exzellente Benutzeroberfläche, starke Sicherheitsarchitektur (Zero-Knowledge), umfangreiche Admin-Funktionen, gute Integration in bestehende IT-Infrastruktur (SSO, Active Directory). Preis: ab ca. USD 7,99 pro Nutzer/Monat.

Besonders interessant: 1Password bietet eine Funktion, die Passwörter automatisch auf bekannte Datenpannen überprüft (“Watchtower”).

Bitwarden Business Open-Source-Passwort-Manager mit starkem Datenschutzfokus. Bitwarden kann auch selbst gehostet werden — ein wichtiger Vorteil für Unternehmen mit strengen Datenschutzanforderungen. Preis: ab USD 3,00 pro Nutzer/Monat (deutlich günstiger als 1Password). Für Schweizer Unternehmen besonders interessant durch Self-Hosting-Option.

Keeper Business Starker Fokus auf Compliance und Audit-Funktionen. Besonders geeignet für regulierte Branchen (Finanzen, Gesundheit). Bietet zero-knowledge Architektur und umfangreiche Reporting-Funktionen. Preis: ab USD 4,00 pro Nutzer/Monat.

Dashlane Business Gute Benutzerfreundlichkeit, integrierter VPN, Dark-Web-Monitoring. Preis: ab USD 5,00 pro Nutzer/Monat.

KeePassXC mit Unternehmensdeploy (Open Source) Kostenlose Open-Source-Option, die lokal oder auf einem gemeinsamen Netzlaufwerk betrieben werden kann. Erfordert mehr IT-Aufwand, bietet aber maximale Kontrolle. Geeignet für technisch versierte KMU oder solche mit sehr strengen Datenschutzanforderungen.

Implementierung eines Passwort-Managers im Unternehmen

Die Einführung eines Passwort-Managers erfordert sorgfältige Planung:

1. Anforderungsanalyse: Welche Systeme und Zugänge müssen verwaltet werden? Welche Integrationen (SSO, Active Directory) sind notwendig?
2. Pilotphase: Starten Sie mit einer kleinen Gruppe (IT-Team, Führungskräfte), sammeln Sie Feedback und optimieren Sie den Rollout
3. Schulung: Mitarbeitende müssen verstehen, warum der Passwort-Manager sicher ist und wie er korrekt verwendet wird
4. Migration: Alte Passwörter systematisch in den Manager überführen und schwache/doppelte Passwörter ersetzen
5. Richtlinien: Klare Unternehmensrichtlinie, dass alle Passwörter im Passwort-Manager gespeichert werden müssen

Multi-Faktor-Authentifizierung (MFA): Die wichtigste Ergänzung

MFA ist keine Option — es ist eine Notwendigkeit. Mit MFA ist ein kompromittiertes Passwort allein nicht ausreichend, um Zugang zu erlangen. Selbst wenn ein Angreifer durch Credential Stuffing oder Phishing ein Passwort stiehlt, scheitert er ohne den zweiten Faktor.

MFA-Methoden im Vergleich

Authenticator-Apps (TOTP) — Empfohlen: Zeitbasierte Einmalcodes, generiert durch Apps wie Microsoft Authenticator, Google Authenticator, Authy oder 1Password. Sicher, kostenlos, kein SIM-Karten-Risiko.

Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn) — Höchste Sicherheit: Physische USB- oder NFC-Schlüssel (YubiKey, Google Titan, Nitrokey). Phishing-resistent, da der Schlüssel die Domain des Anmeldeformulars verifiziert. Für administrative Zugänge und besonders sensitive Systeme empfohlen.

Push-Benachrichtigungen — Praktisch, aber mit Risiko: Apps wie Microsoft Authenticator senden Push-Benachrichtigungen aufs Smartphone. Komfortabel, aber anfällig für “MFA Fatigue Attacks”: Angreifer senden repetitive Push-Anfragen, bis der genervte Nutzer versehentlich bestätigt.

SMS-Codes — Nicht empfohlen: SMS-Codes sind besser als kein MFA, aber anfällig für SIM-Swapping-Angriffe. NIST empfiehlt SMS-basiertes MFA nicht mehr für sensitive Anwendungen.

Biometrie (Fingerabdruck, Gesichtserkennung) — Je nach Implementierung: Auf modernen Geräten sicher, solange die biometrischen Daten lokal gespeichert werden (nicht in der Cloud). Gut für Geräte-Entsperrung, weniger ideal als einziger MFA-Faktor für Unternehmensanwendungen.

MFA-Rollout für KMU: Prioritäten

Wenn Sie MFA schrittweise einführen, priorisieren Sie:

1. E-Mail-Accounts (höchste Priorität): E-Mail ist der Master-Key für alle anderen Passwort-Resets
2. VPN und Remote-Zugang: Fernzugriff ohne MFA ist ein offenes Einfallstor
3. Cloud-Dienste (Microsoft 365, Google Workspace, AWS): Oft enthalten sensitive Daten
4. Unternehmensanwendungen: ERP, CRM, Buchhaltung
5. Administrative Accounts: Ohne MFA sind Admin-Accounts das grösste Risiko

Passkeys: Die Zukunft der Authentifizierung

Passkeys sind der nächste evolutionäre Schritt — und werden Passwörter langfristig ablösen. Sie basieren auf FIDO2/WebAuthn und verwenden kryptographische Schlüsselpaare statt Passwörtern:

• Ein privater Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert
• Der öffentliche Schlüssel liegt beim Dienst
• Anmeldung erfolgt durch biometrische Bestätigung auf dem Gerät (Fingerabdruck, Face ID)

Vorteile von Passkeys:

• Phishing-resistent (kein Passwort zum Stehlen)
• Kein Credential Stuffing möglich
• Kein Password Spraying möglich
• Einfacher für Nutzer als Passwörter + MFA

Grosse Anbieter wie Apple, Google, Microsoft, GitHub und viele weitere unterstützen bereits Passkeys. Für Unternehmensanwendungen wird die Unterstützung rasch wachsen. Schweizer KMU sollten Passkeys in ihrer Sicherheitsstrategie berücksichtigen.

Unternehmensweite Passwort-Richtlinie: Ein Muster für KMU

Eine wirksame Passwort-Richtlinie muss schriftlich festgehalten, kommuniziert und durchgesetzt werden. Hier sind die Kernelemente:

Geltungsbereich: Alle Mitarbeitenden, alle Systeme und alle Zugänge

Passwort-Mindestanforderungen:

• Mindestlänge: 12 Zeichen für Standard-Accounts, 16 Zeichen für privilegierte Accounts
• Verboten: Bekannte kompromittierte Passwörter, Firmenname, persönliche Informationen
• Keine Wiederverwendung von Passwörtern für verschiedene Systeme

Passwort-Manager: Verbindliche Nutzung des unternehmensweiten Passwort-Managers für alle geschäftlichen Zugänge

MFA: Verbindliche MFA für alle Unternehmensanwendungen, E-Mail und Remote-Zugänge

Meldepflicht: Mitarbeitende müssen vermutete Kompromittierungen sofort melden

Sonderfälle: Serviceaccounts, API-Schlüssel und geteilte Zugänge werden separat geregelt

“Eine Passwort-Richtlinie, die auf Papier existiert, aber nicht technisch durchgesetzt wird, ist wertlos. Die Richtlinie muss durch technische Massnahmen — Passwort-Manager, MFA-Enforcement, Identity Provider — in der Praxis umgesetzt werden.”

— IT-Security-Beraterin, Mitglied des ISACA Switzerland Chapter

Zusammenhang mit anderen Bedrohungen

Passwort-Sicherheit ist der Dreh- und Angelpunkt zahlreicher anderer Cyberbedrohungen:

Phishing ist die häufigste Methode, Passwörter zu stehlen — nicht zu erraten. Details in unserem Beitrag zu Phishing-Schutz für Unternehmen in der Schweiz.

Ransomware-Angriffe beginnen häufig mit kompromittierten Zugangsdaten — gestohlene Admin-Passwörter ermöglichen es Angreifern, Ransomware im gesamten Netzwerk zu deployen. Mehr dazu in unserem Beitrag zu Ransomware-Schutz für KMU.

Cloud-Sicherheit hängt massgeblich von sicherer Authentifizierung ab — unsichere Passwörter und fehlende MFA sind die häufigste Ursache für kompromittierte Cloud-Accounts. Details in unserem Beitrag zu Cloud Security Risiken für KMU.

Eine vollständige Sicherheitscheckliste finden Sie in unserem Beitrag Cybersecurity-Checkliste für KMU.

Red Teaming testet Ihre Passwort-Sicherheit in der Praxis

Theorie und Praxis klaffen bei Passwort-Sicherheit oft weit auseinander. Selbst wenn eine Passwort-Richtlinie existiert, kann die praktische Umsetzung erhebliche Lücken aufweisen. Red Teaming deckt diese Lücken auf:

Credential Stuffing Simulation: Das Red Team verwendet Methoden echter Angreifer — inklusive öffentlich verfügbarer Breach-Datenbanken — um zu testen, ob Unternehmens-Accounts mit kompromittierten Passwörtern geschützt sind.

Password Spraying: Systematischer Test, ob Accounts mit häufig verwendeten Passwörtern gesichert sind. Ergebnisse sind oft erschreckend: Selbst in gut geführten Unternehmen finden sich regelmässig schwache Passwörter in kritischen Accounts.

MFA-Bypass-Techniken: Red Teams testen, ob MFA-Implementierungen gegen bekannte Umgehungsmethoden resistent sind — inklusive MFA Fatigue Attacks, SIM-Swapping-Simulationen und Session-Hijacking.

Phishing-Simulationen: Das Red Team führt kontrollierte Phishing-Angriffe durch, um zu testen, wie viele Mitarbeitende ihre Zugangsdaten auf gefälschten Login-Seiten eingeben würden.

Post-Compromise-Testing: Wenn ein Passwort kompromittiert ist — wie weit kommt ein Angreifer? Kann er sich lateral bewegen? Kann er Privilegien eskalieren?

Den Unterschied zwischen Red Teaming und anderen Testansätzen erklärt unser Vergleich Red Teaming vs. Penetrationstest. Den vollständigen Überblick über Red Teaming als Methodik bietet unser Leitfaden Was ist Red Teaming?.

Die Kosten für solche Tests — und was sie im Vergleich zum Schadensrisiko bedeuten — erklärt unser Beitrag zu den Kosten eines Penetrationstests in der Schweiz.

Fazit

Passwort-Sicherheit ist 2026 kein technisches Detail mehr — es ist eine unternehmensstrategische Entscheidung. Die Zahlen sind eindeutig: 81% aller hacking-basierten Datenpannen gehen auf schwache oder gestohlene Passwörter zurück. Wer diese Lücke nicht schliesst, hat die grösste Angriffsfläche seines Unternehmens offen gelassen.

Die gute Nachricht: Die wirksamsten Massnahmen — ein Business-Passwort-Manager und verpflichtende MFA — sind erschwinglich, auch für kleine KMU. Sie reduzieren das Risiko von Credential-basierten Angriffen um über 99%.

Der nächste Schritt: Wissen Sie, ob Ihre aktuellen Unternehmenspasswörter bereits in Breach-Datenbanken aufgetaucht sind? Werden Ihre MFA-Implementierungen gegen aktuelle Bypass-Techniken bestehen? Kennen Sie die Passwort-Gewohnheiten Ihrer Mitarbeitenden wirklich?

Finden Sie es heraus, bevor ein Angreifer es tut. Professionelles Red Teaming testet Ihre Passwort-Sicherheit mit denselben Methoden, die echte Angreifer einsetzen — und zeigt Ihnen konkret, wo Sie ansetzen müssen. Fordern Sie jetzt eine unverbindliche Erstberatung an.