Zum Inhalt springen
sw
en

Tippe um zu suchen

IT-Security (Business)

Passwort-Management & Passwort-Richtlinien

Wie du starke Passwort-Richtlinien im Unternehmen umsetzt, einen Passwort-Manager einfuehrst und Active Directory sauber konfigurierst.

8 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Warum Passwort-Management kein optionales Thema ist

Schwache oder wiederverwendete Passwörter sind noch immer einer der häufigsten Einfallstore bei Cyberangriffen auf KMU. Laut Verizon Data Breach Report sind bei rund 80 % aller Einbrüche kompromittierte Zugangsdaten im Spiel. Das ist kein technisches Nischenproblem – das ist Alltag für jeden IT-Allrounder, der irgendwo Zugänge verwaltet.

Dieser Artikel zeigt dir, wie du:

  • eine moderne Passwort-Richtlinie aufstellst (basierend auf NIST SP 800-63B, nicht auf veralteten Mythen),
  • einen Passwort-Manager im Unternehmen einführst,
  • Active Directory so konfigurierst, dass die Richtlinie technisch durchgesetzt wird,
  • und für Admin-Accounts noch härtere Regeln via Fine-Grained Password Policy setzt.

Moderne Passwort-Richtlinien: Was NIST wirklich empfiehlt

Viele KMU-Passwortregeln basieren noch auf Empfehlungen von 2003 – erzwungener Zeichenmix, Ablauf alle 90 Tage, kein Wort aus dem Wörterbuch. Das klingt streng, ist aber faktisch kontraproduktiv: Nutzer erfinden Muster wie Sommer2024! und klicken bei jeder Aufforderung ein neues Suffix drauf. Sicherheit geht anders.

NIST SP 800-63B Revision 4 (2024) bricht mit diesen Mythen explizit:

Alte RegelNIST-Empfehlung heute
Mindestens 8 Zeichen mit Gross/Klein/Zahl/SonderzeichenMindestens 12–15 Zeichen – Länge schlägt Komplexität
Erzwungener Ablauf alle 60–90 TageKein erzwungener Ablauf – nur bei Verdacht auf Kompromittierung wechseln
Passwort darf kein Wort enthaltenPassphrasen sind ausdrücklich gut und merkbar
Zeichenklassen-Regeln erzwingenErlaubt alle druckbaren ASCII- und Unicode-Zeichen; keine Zusammensetzungsregeln mehr
Sicherheitsfragen als BackupVerboten – zu leicht zu erraten oder zu recherchieren

Was stattdessen zählt:

  • Länge: 12 Zeichen minimum für normale Accounts, 20+ für Admin-Accounts.
  • MFA ist Pflicht: Multi-Faktor-Authentifizierung schützt mehr als jede Passwort-Komplexitätsregel. Kein Account ohne MFA-Option.
  • Breach-Check: Neue Passwörter sollten gegen bekannte Leak-Datenbanken geprüft werden (Have I Been Pwned API).
  • Paste erlauben: Passwort-Manager brauchen Copy-Paste. Wer das blockiert, verhindert sichere Passwörter.

Gute Passwort-Beispiele:

Passphrase (merkbar, sicher):   Kaffee-Morgens-Immer-Heiss!
Zufällig (Passwort-Manager):    xK7#mPq2$vLn9Rw
Admin-Account (20+ Zeichen):    Tr0pical-Firewall-2026-$$

Passwort-Manager im Unternehmen einführen

Ein Passwort-Manager löst das grösste Problem: Nutzer müssen sich keine 40 verschiedenen Passwörter merken und verwenden deshalb jedes einzeln stark und einzigartig. Ohne Manager scheitert jede Passwort-Richtlinie an der menschlichen Natur.

Vergleich der wichtigsten Tools

ToolArtEmpfehlung
BitwardenOpen Source, Cloud (EU-Server wählbar) oder self-hostedBeste Wahl für die meisten KMU
VaultwardenInoffizieller Bitwarden-Server, selbst gehostet, ressourcenschonendFür IT-affine Betriebe mit eigenem Server
KeePassXCLokal, keine Cloud, Open SourceFür kleine Teams ohne Cloud-Bedarf
1Password BusinessKommerziell, starke Team-Features, teurerWenn Budget vorhanden und Apple-Umgebung
LastPassFrüher verbreitetNicht mehr empfohlen (Breach 2022)

Bitwarden ist für die meisten KMU die pragmatische Wahl: kostenlos für Einzelpersonen, erschwinglich für Teams (ca. 3 USD/Nutzer/Monat), DSGVO-konform mit EU-Serverauswahl, auditierter Open-Source-Code, Browser-Extensions für alle Browser, Apps für iOS/Android.

Bitwarden Gratis windows mac web

Open-Source-Passwort-Manager fuer Teams und KMU – Cloud oder self-hosted.

bitwarden.com

KeePassXC Gratis windows mac

Lokaler Passwort-Manager, kein Cloud-Konto noetig. Ideal fuer kleinste Teams oder als Einzelloesung.

keepassxc.org

Einführungs-Checkliste für den IT-Admin

  1. Tool auswählen und ggf. Bitwarden-Organisation anlegen (oder Vaultwarden-Server aufsetzen).
  2. Browser-Extension auf allen Workstations deployen (per GPO oder Intune).
  3. Nutzer schulen: Wie lege ich einen Eintrag an? Wie generiere ich ein Passwort? Wie funktioniert Autofill?
  4. Shared Collections anlegen für abteilungsübergreifende Zugänge (z.B. WLAN-Passwort, Router-Admin).
  5. Masterpasswort-Richtlinie festlegen: Mindestlänge, kein Ablauf, aber Notfall-Backup-Kit ausdrucken.
  6. Notfall-Zugang regeln: Was passiert, wenn ein Mitarbeiter das Unternehmen verlässt oder das Masterpasswort vergisst?

Active Directory: Passwort-Richtlinie technisch durchsetzen

Eine schriftliche Passwort-Policy ist wertlos, wenn das technische System jeden schwachen String akzeptiert. In Active Directory setzt du die Regeln mit PowerShell oder über die Gruppenrichtlinienverwaltung (GPMC).

Default Domain Password Policy

Die Default Domain Password Policy gilt für alle Nutzer in der Domain. Anpassen per PowerShell:

# Aktuelle Policy anzeigen
Get-ADDefaultDomainPasswordPolicy

# Policy setzen (Beispiel für eine KMU-Grundkonfiguration)
Set-ADDefaultDomainPasswordPolicy -Identity "firma.local" `
  -MinPasswordLength 12 `
  -PasswordHistoryCount 12 `
  -MaxPasswordAge (New-TimeSpan -Days 365) `
  -MinPasswordAge (New-TimeSpan -Days 1) `
  -ComplexityEnabled $true `
  -ReversibleEncryptionEnabled $false

Parameter erklärt:

ParameterWertBegründung
MinPasswordLength12NIST-Minimum für normale Nutzer
PasswordHistoryCount12Verhindert Wiederverwendung der letzten 12 Passwörter
MaxPasswordAge365 TageModerater Wert; kein Ablauf wäre ideal, aber in vielen Umgebungen politisch nicht durchsetzbar
ComplexityEnabled$trueWindows-Standard: mind. 3 von 4 Zeichenklassen. Bei langen Passwörter kann das abgeschaltet werden, wenn MinPasswordLength erhöht wird
ReversibleEncryptionEnabled$falseImmer deaktiviert – Klartextspeicherung ist ein Sicherheitsrisiko

Fine-Grained Password Policy für Admin-Accounts

Die Default Policy gilt für alle. Für privilegierte Accounts – Domain Admins, Server-Admins, Service-Accounts – willst du härtere Regeln ohne die normalen User zu belasten. Dafür gibt es Fine-Grained Password Policies (FGPP), seit Windows Server 2008 verfügbar.

FGPPs werden auf Gruppen oder individuelle Benutzer angewandt. Die Policy mit der kleinsten Precedence-Zahl gewinnt (1 = höchste Priorität).

# Neue FGPP für Admin-Accounts erstellen
New-ADFineGrainedPasswordPolicy `
  -Name "Policy-Admins" `
  -Precedence 10 `
  -MinPasswordLength 20 `
  -PasswordHistoryCount 24 `
  -MaxPasswordAge (New-TimeSpan -Days 90) `
  -MinPasswordAge (New-TimeSpan -Days 1) `
  -ComplexityEnabled $true `
  -LockoutThreshold 5 `
  -LockoutDuration (New-TimeSpan -Minutes 30) `
  -LockoutObservationWindow (New-TimeSpan -Minutes 30) `
  -ReversibleEncryptionEnabled $false

# Policy der Gruppe "Domain Admins" zuweisen
Add-ADFineGrainedPasswordPolicySubject `
  -Identity "Policy-Admins" `
  -Subjects "Domain Admins"

# Und z.B. auch einer eigenen Admin-Gruppe
Add-ADFineGrainedPasswordPolicySubject `
  -Identity "Policy-Admins" `
  -Subjects "GRP-Server-Admins"
# Welche FGPP gilt aktuell für einen bestimmten User?
Get-ADUserResultantPasswordPolicy -Identity "max.muster"

# Alle FGPPs in der Domain auflisten
Get-ADFineGrainedPasswordPolicy -Filter * | Select-Object Name, Precedence, MinPasswordLength, MaxPasswordAge

Praxistipp: Erstelle immer eine eigene Gruppe wie GRP-FinGrained-Admins statt direkt auf Domain Admins zu zeigen. So kannst du die Policy auf weitere Accounts ausweiten, ohne die integrierten Gruppen anzufassen.

Account-Lockout: Brute-Force abbremsen

Ergänzend zur Passwort-Policy sollte ein Account-Lockout konfiguriert sein. Das bremst automatisierte Brute-Force-Angriffe auf kompromittierte Nutzerkonten.

# Lockout-Einstellungen in der Default Domain Policy setzen
# (geht nicht direkt per AD-Cmdlet, sondern per GPO)
# Empfohlene Werte:
# Account lockout threshold: 10 Fehlversuche
# Account lockout duration: 15 Minuten
# Reset account lockout counter after: 15 Minuten

# Gesperrte Accounts finden (Event ID 4740)
Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut, BadLogonCount

# Account entsperren
Unlock-ADAccount -Identity "max.muster"

# Alle gesperrten Accounts entsperren (Vorsicht!)
Search-ADAccount -LockedOut | Unlock-ADAccount

Have I Been Pwned: Passwörter gegen Leak-Datenbanken prüfen

Have I Been Pwned (HIBP) von Troy Hunt ist die bekannteste öffentliche Datenbank mit über 10 Milliarden kompromittierten Zugangsdaten. Die API ist kostenlos für nicht-kommerzielle Nutzung.

Wie funktioniert der Abgleich sicher? Das k-Anonymity-Modell schickt nur die ersten 5 Zeichen des SHA-1-Hashes – nie das echte Passwort.

# HIBP Passwort-Check via PowerShell (k-Anonymity)
function Test-PasswordBreached {
    param([string]$Password)
    $hash = [System.Security.Cryptography.SHA1]::Create()
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($Password)
    $hashBytes = $hash.ComputeHash($bytes)
    $hashHex = ($hashBytes | ForEach-Object { $_.ToString("X2") }) -join ""
    $prefix = $hashHex.Substring(0, 5)
    $suffix = $hashHex.Substring(5)

    $response = Invoke-RestMethod -Uri "https://api.pwnedpasswords.com/range/$prefix"
    $found = $response -split "`n" | Where-Object { $_ -match "^$suffix" }

    if ($found) {
        $count = ($found -split ":")[1].Trim()
        Write-Warning "Dieses Passwort wurde $count Mal in Leaks gefunden!"
        return $true
    } else {
        Write-Host "Passwort nicht in bekannten Leaks gefunden." -ForegroundColor Green
        return $false
    }
}

# Verwendung:
Test-PasswordBreached -Password "Sommer2024!"

Troubleshooting: Häufige Passwort-Probleme im Alltag

Problem: User kann Passwort nicht nach Ablauf ändern

  • Ursache: MinPasswordAge zu hoch oder Passwort entspricht der History
  • Fix: Set-ADUser -Identity "user" -ChangePasswordAtLogon $true und History prüfen

Problem: Fine-Grained Policy greift nicht

  • Prüfen: Ist der User direkt in der Gruppe? FGPPs wirken nicht auf verschachtelte Gruppen-Mitgliedschaften.
  • Fix: User direkt zur Policy-Gruppe hinzufügen oder Get-ADUserResultantPasswordPolicy aufrufen

Problem: Nutzer werden zu häufig ausgesperrt

  • Häufige Ursache: Altes Passwort in einem Dienst (z.B. geplante Task, Netzlaufwerk-Mapping) gespeichert
  • Diagnose: Get-EventLog -LogName Security -InstanceId 4740 -Newest 50 – dort steht der aufrufende Caller-Computername

Problem: Passwort-Policy scheint nicht zu wirken

  • Prüfen: Gilt die Policy wirklich für die Domain oder nur eine OU? Default Domain Password Policy funktioniert nur auf Domain-Ebene, nicht auf OU-Ebene.
  • Fix: Für OU-spezifische Regeln immer Fine-Grained Password Policies nutzen.

Problem: Service-Account wird nach Passwort-Rotation ausgesperrt

  • Best Practice: Für Service-Accounts Managed Service Accounts (MSA) oder Group Managed Service Accounts (gMSA) verwenden – diese rotieren Passwörter automatisch ohne manuelle Eingriffe.
# Group Managed Service Account erstellen
New-ADServiceAccount -Name "gMSA-WebApp" `
  -DNSHostName "webapp.firma.local" `
  -PrincipalsAllowedToRetrieveManagedPassword "GRP-WebServer"

# Auf dem Zielserver installieren
Install-ADServiceAccount -Identity "gMSA-WebApp"
Test-ADServiceAccount -Identity "gMSA-WebApp"

Passwort-Sicherheit ganzheitlich denken

Passwort-Management ist nur ein Teil des Sicherheitsbilds. Was es erst vollständig macht:

  • MFA überall: Aktiviere Entra ID Conditional Access, sodass kritische Apps ohne MFA gar nicht erreichbar sind.
  • Privileged Identity Management: Admin-Rechte nur on-demand, nicht dauerhaft. Fehler passieren; der Schaden soll begrenzt sein.
  • Security Awareness: Phishing ist der häufigste Weg, Passwörter zu stehlen – kein technisches Mittel hilft, wenn der Nutzer sie freiwillig eingibt. Regelmässige Kurz-Schulungen lohnen sich.
  • Monitoring: Gesperrte Accounts, ungewöhnliche Login-Zeiten und Login-Versuche aus unbekannten Ländern überwachen. Mehr dazu unter IT-Security Grundlagen KMU.

Crosslinks: Active Directory User & Gruppen · GPO Grundlagen · IT-Security Grundlagen KMU · Entra ID Grundlagen


Weiterlernen

Videos

YouTube
Kennwort-Tresor: Passwort-Manager Bitwarden Schnelleinstieg
YouTube
Bitwarden Tutorial: 12 essenzielle Tipps & Tricks

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben