Passwort-Management & Passwort-Richtlinien
Wie du starke Passwort-Richtlinien im Unternehmen umsetzt, einen Passwort-Manager einfuehrst und Active Directory sauber konfigurierst.
Warum Passwort-Management kein optionales Thema ist
Schwache oder wiederverwendete Passwörter sind noch immer einer der häufigsten Einfallstore bei Cyberangriffen auf KMU. Laut Verizon Data Breach Report sind bei rund 80 % aller Einbrüche kompromittierte Zugangsdaten im Spiel. Das ist kein technisches Nischenproblem – das ist Alltag für jeden IT-Allrounder, der irgendwo Zugänge verwaltet.
Dieser Artikel zeigt dir, wie du:
- eine moderne Passwort-Richtlinie aufstellst (basierend auf NIST SP 800-63B, nicht auf veralteten Mythen),
- einen Passwort-Manager im Unternehmen einführst,
- Active Directory so konfigurierst, dass die Richtlinie technisch durchgesetzt wird,
- und für Admin-Accounts noch härtere Regeln via Fine-Grained Password Policy setzt.
Moderne Passwort-Richtlinien: Was NIST wirklich empfiehlt
Viele KMU-Passwortregeln basieren noch auf Empfehlungen von 2003 – erzwungener Zeichenmix, Ablauf alle 90 Tage, kein Wort aus dem Wörterbuch. Das klingt streng, ist aber faktisch kontraproduktiv: Nutzer erfinden Muster wie Sommer2024! und klicken bei jeder Aufforderung ein neues Suffix drauf. Sicherheit geht anders.
NIST SP 800-63B Revision 4 (2024) bricht mit diesen Mythen explizit:
| Alte Regel | NIST-Empfehlung heute |
|---|---|
| Mindestens 8 Zeichen mit Gross/Klein/Zahl/Sonderzeichen | Mindestens 12–15 Zeichen – Länge schlägt Komplexität |
| Erzwungener Ablauf alle 60–90 Tage | Kein erzwungener Ablauf – nur bei Verdacht auf Kompromittierung wechseln |
| Passwort darf kein Wort enthalten | Passphrasen sind ausdrücklich gut und merkbar |
| Zeichenklassen-Regeln erzwingen | Erlaubt alle druckbaren ASCII- und Unicode-Zeichen; keine Zusammensetzungsregeln mehr |
| Sicherheitsfragen als Backup | Verboten – zu leicht zu erraten oder zu recherchieren |
Was stattdessen zählt:
- Länge: 12 Zeichen minimum für normale Accounts, 20+ für Admin-Accounts.
- MFA ist Pflicht: Multi-Faktor-Authentifizierung schützt mehr als jede Passwort-Komplexitätsregel. Kein Account ohne MFA-Option.
- Breach-Check: Neue Passwörter sollten gegen bekannte Leak-Datenbanken geprüft werden (Have I Been Pwned API).
- Paste erlauben: Passwort-Manager brauchen Copy-Paste. Wer das blockiert, verhindert sichere Passwörter.
Gute Passwort-Beispiele:
Passphrase (merkbar, sicher): Kaffee-Morgens-Immer-Heiss!
Zufällig (Passwort-Manager): xK7#mPq2$vLn9Rw
Admin-Account (20+ Zeichen): Tr0pical-Firewall-2026-$$
Passwort-Manager im Unternehmen einführen
Ein Passwort-Manager löst das grösste Problem: Nutzer müssen sich keine 40 verschiedenen Passwörter merken und verwenden deshalb jedes einzeln stark und einzigartig. Ohne Manager scheitert jede Passwort-Richtlinie an der menschlichen Natur.
Vergleich der wichtigsten Tools
| Tool | Art | Empfehlung |
|---|---|---|
| Bitwarden | Open Source, Cloud (EU-Server wählbar) oder self-hosted | Beste Wahl für die meisten KMU |
| Vaultwarden | Inoffizieller Bitwarden-Server, selbst gehostet, ressourcenschonend | Für IT-affine Betriebe mit eigenem Server |
| KeePassXC | Lokal, keine Cloud, Open Source | Für kleine Teams ohne Cloud-Bedarf |
| 1Password Business | Kommerziell, starke Team-Features, teurer | Wenn Budget vorhanden und Apple-Umgebung |
| LastPass | Früher verbreitet | Nicht mehr empfohlen (Breach 2022) |
Bitwarden ist für die meisten KMU die pragmatische Wahl: kostenlos für Einzelpersonen, erschwinglich für Teams (ca. 3 USD/Nutzer/Monat), DSGVO-konform mit EU-Serverauswahl, auditierter Open-Source-Code, Browser-Extensions für alle Browser, Apps für iOS/Android.
Open-Source-Passwort-Manager fuer Teams und KMU – Cloud oder self-hosted.
bitwarden.com
Lokaler Passwort-Manager, kein Cloud-Konto noetig. Ideal fuer kleinste Teams oder als Einzelloesung.
keepassxc.org
Einführungs-Checkliste für den IT-Admin
- Tool auswählen und ggf. Bitwarden-Organisation anlegen (oder Vaultwarden-Server aufsetzen).
- Browser-Extension auf allen Workstations deployen (per GPO oder Intune).
- Nutzer schulen: Wie lege ich einen Eintrag an? Wie generiere ich ein Passwort? Wie funktioniert Autofill?
- Shared Collections anlegen für abteilungsübergreifende Zugänge (z.B. WLAN-Passwort, Router-Admin).
- Masterpasswort-Richtlinie festlegen: Mindestlänge, kein Ablauf, aber Notfall-Backup-Kit ausdrucken.
- Notfall-Zugang regeln: Was passiert, wenn ein Mitarbeiter das Unternehmen verlässt oder das Masterpasswort vergisst?
Active Directory: Passwort-Richtlinie technisch durchsetzen
Eine schriftliche Passwort-Policy ist wertlos, wenn das technische System jeden schwachen String akzeptiert. In Active Directory setzt du die Regeln mit PowerShell oder über die Gruppenrichtlinienverwaltung (GPMC).
Default Domain Password Policy
Die Default Domain Password Policy gilt für alle Nutzer in der Domain. Anpassen per PowerShell:
# Aktuelle Policy anzeigen
Get-ADDefaultDomainPasswordPolicy
# Policy setzen (Beispiel für eine KMU-Grundkonfiguration)
Set-ADDefaultDomainPasswordPolicy -Identity "firma.local" `
-MinPasswordLength 12 `
-PasswordHistoryCount 12 `
-MaxPasswordAge (New-TimeSpan -Days 365) `
-MinPasswordAge (New-TimeSpan -Days 1) `
-ComplexityEnabled $true `
-ReversibleEncryptionEnabled $false
Parameter erklärt:
| Parameter | Wert | Begründung |
|---|---|---|
MinPasswordLength | 12 | NIST-Minimum für normale Nutzer |
PasswordHistoryCount | 12 | Verhindert Wiederverwendung der letzten 12 Passwörter |
MaxPasswordAge | 365 Tage | Moderater Wert; kein Ablauf wäre ideal, aber in vielen Umgebungen politisch nicht durchsetzbar |
ComplexityEnabled | $true | Windows-Standard: mind. 3 von 4 Zeichenklassen. Bei langen Passwörter kann das abgeschaltet werden, wenn MinPasswordLength erhöht wird |
ReversibleEncryptionEnabled | $false | Immer deaktiviert – Klartextspeicherung ist ein Sicherheitsrisiko |
Fine-Grained Password Policy für Admin-Accounts
Die Default Policy gilt für alle. Für privilegierte Accounts – Domain Admins, Server-Admins, Service-Accounts – willst du härtere Regeln ohne die normalen User zu belasten. Dafür gibt es Fine-Grained Password Policies (FGPP), seit Windows Server 2008 verfügbar.
FGPPs werden auf Gruppen oder individuelle Benutzer angewandt. Die Policy mit der kleinsten Precedence-Zahl gewinnt (1 = höchste Priorität).
# Neue FGPP für Admin-Accounts erstellen
New-ADFineGrainedPasswordPolicy `
-Name "Policy-Admins" `
-Precedence 10 `
-MinPasswordLength 20 `
-PasswordHistoryCount 24 `
-MaxPasswordAge (New-TimeSpan -Days 90) `
-MinPasswordAge (New-TimeSpan -Days 1) `
-ComplexityEnabled $true `
-LockoutThreshold 5 `
-LockoutDuration (New-TimeSpan -Minutes 30) `
-LockoutObservationWindow (New-TimeSpan -Minutes 30) `
-ReversibleEncryptionEnabled $false
# Policy der Gruppe "Domain Admins" zuweisen
Add-ADFineGrainedPasswordPolicySubject `
-Identity "Policy-Admins" `
-Subjects "Domain Admins"
# Und z.B. auch einer eigenen Admin-Gruppe
Add-ADFineGrainedPasswordPolicySubject `
-Identity "Policy-Admins" `
-Subjects "GRP-Server-Admins"
# Welche FGPP gilt aktuell für einen bestimmten User?
Get-ADUserResultantPasswordPolicy -Identity "max.muster"
# Alle FGPPs in der Domain auflisten
Get-ADFineGrainedPasswordPolicy -Filter * | Select-Object Name, Precedence, MinPasswordLength, MaxPasswordAge
Praxistipp: Erstelle immer eine eigene Gruppe wie GRP-FinGrained-Admins statt direkt auf Domain Admins zu zeigen. So kannst du die Policy auf weitere Accounts ausweiten, ohne die integrierten Gruppen anzufassen.
Account-Lockout: Brute-Force abbremsen
Ergänzend zur Passwort-Policy sollte ein Account-Lockout konfiguriert sein. Das bremst automatisierte Brute-Force-Angriffe auf kompromittierte Nutzerkonten.
# Lockout-Einstellungen in der Default Domain Policy setzen
# (geht nicht direkt per AD-Cmdlet, sondern per GPO)
# Empfohlene Werte:
# Account lockout threshold: 10 Fehlversuche
# Account lockout duration: 15 Minuten
# Reset account lockout counter after: 15 Minuten
# Gesperrte Accounts finden (Event ID 4740)
Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut, BadLogonCount
# Account entsperren
Unlock-ADAccount -Identity "max.muster"
# Alle gesperrten Accounts entsperren (Vorsicht!)
Search-ADAccount -LockedOut | Unlock-ADAccount
Have I Been Pwned: Passwörter gegen Leak-Datenbanken prüfen
Have I Been Pwned (HIBP) von Troy Hunt ist die bekannteste öffentliche Datenbank mit über 10 Milliarden kompromittierten Zugangsdaten. Die API ist kostenlos für nicht-kommerzielle Nutzung.
Wie funktioniert der Abgleich sicher? Das k-Anonymity-Modell schickt nur die ersten 5 Zeichen des SHA-1-Hashes – nie das echte Passwort.
# HIBP Passwort-Check via PowerShell (k-Anonymity)
function Test-PasswordBreached {
param([string]$Password)
$hash = [System.Security.Cryptography.SHA1]::Create()
$bytes = [System.Text.Encoding]::UTF8.GetBytes($Password)
$hashBytes = $hash.ComputeHash($bytes)
$hashHex = ($hashBytes | ForEach-Object { $_.ToString("X2") }) -join ""
$prefix = $hashHex.Substring(0, 5)
$suffix = $hashHex.Substring(5)
$response = Invoke-RestMethod -Uri "https://api.pwnedpasswords.com/range/$prefix"
$found = $response -split "`n" | Where-Object { $_ -match "^$suffix" }
if ($found) {
$count = ($found -split ":")[1].Trim()
Write-Warning "Dieses Passwort wurde $count Mal in Leaks gefunden!"
return $true
} else {
Write-Host "Passwort nicht in bekannten Leaks gefunden." -ForegroundColor Green
return $false
}
}
# Verwendung:
Test-PasswordBreached -Password "Sommer2024!"
Troubleshooting: Häufige Passwort-Probleme im Alltag
Problem: User kann Passwort nicht nach Ablauf ändern
- Ursache:
MinPasswordAgezu hoch oder Passwort entspricht der History - Fix:
Set-ADUser -Identity "user" -ChangePasswordAtLogon $trueund History prüfen
Problem: Fine-Grained Policy greift nicht
- Prüfen: Ist der User direkt in der Gruppe? FGPPs wirken nicht auf verschachtelte Gruppen-Mitgliedschaften.
- Fix: User direkt zur Policy-Gruppe hinzufügen oder
Get-ADUserResultantPasswordPolicyaufrufen
Problem: Nutzer werden zu häufig ausgesperrt
- Häufige Ursache: Altes Passwort in einem Dienst (z.B. geplante Task, Netzlaufwerk-Mapping) gespeichert
- Diagnose:
Get-EventLog -LogName Security -InstanceId 4740 -Newest 50– dort steht der aufrufende Caller-Computername
Problem: Passwort-Policy scheint nicht zu wirken
- Prüfen: Gilt die Policy wirklich für die Domain oder nur eine OU? Default Domain Password Policy funktioniert nur auf Domain-Ebene, nicht auf OU-Ebene.
- Fix: Für OU-spezifische Regeln immer Fine-Grained Password Policies nutzen.
Problem: Service-Account wird nach Passwort-Rotation ausgesperrt
- Best Practice: Für Service-Accounts Managed Service Accounts (MSA) oder Group Managed Service Accounts (gMSA) verwenden – diese rotieren Passwörter automatisch ohne manuelle Eingriffe.
# Group Managed Service Account erstellen
New-ADServiceAccount -Name "gMSA-WebApp" `
-DNSHostName "webapp.firma.local" `
-PrincipalsAllowedToRetrieveManagedPassword "GRP-WebServer"
# Auf dem Zielserver installieren
Install-ADServiceAccount -Identity "gMSA-WebApp"
Test-ADServiceAccount -Identity "gMSA-WebApp"
Passwort-Sicherheit ganzheitlich denken
Passwort-Management ist nur ein Teil des Sicherheitsbilds. Was es erst vollständig macht:
- MFA überall: Aktiviere Entra ID Conditional Access, sodass kritische Apps ohne MFA gar nicht erreichbar sind.
- Privileged Identity Management: Admin-Rechte nur on-demand, nicht dauerhaft. Fehler passieren; der Schaden soll begrenzt sein.
- Security Awareness: Phishing ist der häufigste Weg, Passwörter zu stehlen – kein technisches Mittel hilft, wenn der Nutzer sie freiwillig eingibt. Regelmässige Kurz-Schulungen lohnen sich.
- Monitoring: Gesperrte Accounts, ungewöhnliche Login-Zeiten und Login-Versuche aus unbekannten Ländern überwachen. Mehr dazu unter IT-Security Grundlagen KMU.
Crosslinks: Active Directory User & Gruppen · GPO Grundlagen · IT-Security Grundlagen KMU · Entra ID Grundlagen
Weiterlernen
- NIST SP 800-63B Digital Identity Guidelines (englisch) – die Quelle aller modernen Passwort-Empfehlungen
- Microsoft Learn: Configure fine grained password policies for AD DS – offizielle Schritt-für-Schritt-Anleitung
- Microsoft Learn: New-ADFineGrainedPasswordPolicy (PowerShell) – vollständige Cmdlet-Referenz
- Have I Been Pwned API – Dokumentation der HIBP-API für eigene Integrationen
- Bitwarden Help Center – Offizielle Doku für Bitwarden-Einrichtung und Team-Verwaltung
- BSI Grundschutz: Passwort-Sicherheit – Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …