← Zurück zum Blog Sicherheit

Passwortsicherheit fur Unternehmen: Der vollstandige Leitfaden zum Schutz Ihrer Konten

Envestis Team 14 Min. Lesezeit

Passworter sind immer noch die Eingangstuer

Jedes Jahr erzahlen die Sicherheitsberichte dieselbe Geschichte. Der Data Breach Investigations Report von Verizon stellt durchgehend fest, dass kompromittierte Zugangsdaten an uber 80% der Verletzungen von Webanwendungen beteiligt sind. Keine ausgefeilten Zero-Day-Exploits, keine fortgeschrittenen persistenten Bedrohungen. Passworter. Schwache, wiederverwendete, geteilte, nie geanderte.

Fur kleine und mittlere Unternehmen in der Schweiz und in ganz Europa ist dies sowohl die schlechte als auch die gute Nachricht. Schlecht, weil das Risiko real und unmittelbar ist. Gut, weil Passwortsicherheit eines der am einfachsten losbaren Probleme in der Cybersicherheit ist. Sie brauchen keine teuren Werkzeuge oder ein dediziertes Sicherheitsteam. Sie brauchen eine klare Richtlinie, die richtigen Werkzeuge und die Mitwirkung der Mitarbeiter.

Warum Passworter versagen: Die drei Grundursachen

Ursache 1: Passwort-Wiederverwendung

Dies ist das grosste Passwortproblem in Unternehmen. Ihre Mitarbeiter verwenden dasselbe Passwort fur ihre Arbeits-E-Mail, LinkedIn, ihren Lieblings-Online-Shop und das Unternehmens-CRM. Wenn irgendeiner dieser Dienste verletzt wird (und Verletzungen passieren standig), hat der Angreifer den Schlussel zu allem anderen.

Die Zahlen sind erstaunlich. Have I Been Pwned, der Benachrichtigungsdienst fur Verletzungen, verfolgt uber 13 Milliarden kompromittierte Konten. Die Chance, dass mindestens einer Ihrer Mitarbeiter ein Passwort in einer geleakten Datenbank hat, betragt praktisch 100%.

So funktioniert Credential Stuffing. Angreifer nehmen Benutzername-Passwort-Paare aus verletzten Datenbanken und probieren sie bei anderen Diensten. Sie automatisieren diesen Prozess und testen Millionen von Kombinationen pro Stunde.

Ursache 2: Schwache Passworter

Trotz jahrelanger Sensibilisierungskampagnen bleiben die haufigsten Passworter deprimierend vorhersehbar. "123456", "password", "admin" fuhren die Listen Jahr fur Jahr an. Selbst wenn Unternehmen "komplexe" Passworter verlangen, folgen Mitarbeiter dem Minimalmuster: Grossbuchstabe am Anfang, Zahl am Ende. "Firma2021!" ist technisch komplex, aber trivial erratbar.

Eine moderne GPU kann Milliarden von Passwort-Hashes pro Sekunde testen. Ein 8-Zeichen-Passwort mit nur Kleinbuchstaben kann in unter einer Sekunde geknackt werden. Die Lange zahlt weit mehr als die Komplexitat.

Ursache 3: Keine Multi-Faktor-Authentifizierung

Selbst ein starkes, einzigartiges Passwort ist ein einzelner Ausfallpunkt. Die Multi-Faktor-Authentifizierung (MFA) fugt einen zweiten Verifizierungsschritt hinzu. Microsoft berichtet, dass MFA uber 99,9% der Konto-Kompromittierungsangriffe blockiert.

Dennoch bleiben die MFA-Adoptionsraten bei kleinen Unternehmen niedrig. Viele KMU-Inhaber, mit denen ich in Lugano und im Tessin gearbeitet habe, sehen MFA als Unannehmlichkeit. Die Realitat ist, dass MFA die effektivste einzelne Sicherheitsmassnahme ist, die Sie implementieren konnen.

Angriffe auf Ihre Passworter

Credential Stuffing

Angreifer verwenden geleakte Benutzername-Passwort-Paare aus Verletzungen anderer Seiten. Was Credential Stuffing fur KMU gefahrlich macht, ist, dass es lautlos funktioniert. Keine Alarme, keine Server-Absturze, keine sichtbaren Angriffszeichen. Ein Angreifer meldet sich mit gultigen Zugangsdaten an und erscheint als legitimer Benutzer.

Brute-Force-Angriffe

Moderne Passwort-Knack-Rigs konnen testen:

Hash-TypGeschwindigkeit (Hashes/Sekunde)Zeit fur 8-Zeichen-Passwort
MD5~60 MilliardenSekunden
SHA-1~20 MilliardenMinuten
SHA-256~8 MilliardenMinuten bis Stunden
bcrypt (cost 12)~30.000Jahre bis Jahrhunderte

Deshalb ist der Hashing-Algorithmus, den Ihre Anwendung zum Speichern von Passwortern verwendet, enorm wichtig. Moderne Anwendungen sollten bcrypt, scrypt oder Argon2 verwenden.

Phishing

Der effektivste Passwortangriff beinhaltet kein Knacken. Der Angreifer fragt einfach nach dem Passwort, verkleidet als vertrauenswurdige Quelle. Wir haben ausfuhrlich daruber in unserem Artikel uber Phishing und Business-E-Mail-Kompromittierung geschrieben.

Eine funktionierende Passwortrichtlinie aufbauen

Lange statt Komplexitat

Der alte Ansatz (mindestens 8 Zeichen, muss Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen enthalten) ist uberholt. Das NIST hat seine Richtlinien 2017 (SP 800-63B) aktualisiert:

  • Mindestens 12 Zeichen, vorzugsweise 16 oder mehr
  • Keine Komplexitatsanforderungen (sie fuhren zu vorhersehbaren Mustern)
  • Passphrasen fordern: mehrere zufallige Worter aneinandergereiht
  • Passworter bei der Erstellung gegen bekannte Verletzungsdatenbanken prufen
  • Keinen periodischen Passwortwechsel erzwingen, ausser bei Kompromittierungsnachweis

Der letzte Punkt uberrascht viele Unternehmer. Erzwungene Passwortrotation war jahrzehntelang Standard. Aber Forschung hat gezeigt, dass sie zu schwacheren Passwortern fuhrt. Mitarbeiter reagieren auf erzwungene Anderungen, indem sie eine Zahl erhohen.

MFA fur alle Konten verpflichtend

Jedes Konto mit Zugang zu Geschaftsdaten sollte MFA erfordern. Prioritatsreihenfolge:

  1. E-Mail-Konten (Kompromittierung hier ermoglicht Passwortrucksetzungen bei allem anderen)
  2. Domain-Registrar und DNS-Verwaltung
  3. Bank- und Finanzdienstleistungen
  4. Cloud-Speicher (Google Drive, Dropbox, OneDrive)
  5. CMS-Admin-Panels
  6. CRM und Geschaftsanwendungen
  7. Social-Media-Konten

Bevorzugen Sie App-basiertes TOTP (Google Authenticator, Authy) oder Hardware-Schlussel (YubiKey) gegenuber SMS.

Passwort-Manager fur KMU

Ein Passwort-Manager ist nicht optional. Er ist so grundlegend wie Schlosser an Ihren Buroturen. Ohne einen werden Ihre Mitarbeiter Passworter wiederverwenden, in Tabellenkalkulationen speichern oder auf Haftnotizen schreiben.

Was ein Passwort-Manager leistet

  • Generiert starke, zufallige, einzigartige Passworter fur jedes Konto
  • Speichert sie in einem verschlusselten Tresor, zuganglich nur mit einem Master-Passwort
  • Fullt Passworter automatisch in Browsern und Apps aus
  • Ermoglicht sicheres Teilen von Zugangsdaten zwischen Teammitgliedern
  • Warnt Sie, wenn ein gespeichertes Passwort in einer bekannten Verletzung aufgetaucht ist
  • Bietet Audit-Protokolle, die zeigen, wer auf welche Zugangsdaten zugegriffen hat

Empfohlene Optionen fur KMU

1Password Business: Unsere Top-Empfehlung fur KMU. Klare Oberflache, ausgezeichnete Browser-Erweiterungen, starke Team-Verwaltungsfunktionen. Sie konnen Tresore fur verschiedene Abteilungen erstellen, MFA erzwingen und Sicherheitsberichte einsehen.

Bitwarden: Die beste Open-Source-Option. Bitwarden bietet einen Teams-Plan und einen Enterprise-Plan zu niedrigeren Preisen als 1Password. Da Bitwarden Open Source ist, ist der Code offentlich uberprufbar. Sie konnen es sogar selbst hosten, wenn Sie volle Kontrolle uber Ihre Daten wollen, was fur Schweizer Unternehmen mit Anforderungen an den Datenstandort relevant sein kann.

Einen Passwort-Manager einfuhren

  1. Wahlen Sie das Tool und kaufen Sie Geschaftslizenzen fur alle Mitarbeiter.
  2. Richten Sie das Organisationskonto ein mit einem Admin, der das Team verwaltet.
  3. Erstellen Sie Tresor-Strukturen: Geteilte Tresore fur Team-Zugangsdaten, personliche Tresore fur individuelle Konten.
  4. Fuhren Sie einen Workshop durch. Zeigen Sie den Mitarbeitern, wie sie die Browser-Erweiterung installieren, Passworter generieren und Auto-Fill verwenden. Praktisch, nicht theoretisch.
  5. Migrieren Sie bestehende Passworter. Setzen Sie eine Frist: "Innerhalb von 30 Tagen mussen alle Geschaftspassworter im Passwort-Manager sein."
  6. Erzwingen Sie die Nutzung. Deaktivieren Sie nach der Migrationsphase das Passwortspeichern in Browsern.

Mitarbeiterschulung: Der menschliche Faktor

Werkzeuge allein losen das Passwortproblem nicht. Ihre Mitarbeiter mussen verstehen, warum diese Massnahmen existieren.

Was in der Schulung behandelt werden sollte

  • Warum Passworter wichtig sind: Zeigen Sie reale Beispiele von Verletzungen, die mit einem einzelnen kompromittierten Passwort begannen.
  • Wie Credential Stuffing funktioniert: Demonstrieren Sie haveibeenpwned.com. Lassen Sie Mitarbeiter ihre eigenen E-Mail-Adressen prufen.
  • Wie man den Passwort-Manager benutzt: Praktische Anleitung.
  • Wie man Phishing-Versuche erkennt
  • Was tun bei Verdacht auf Passwortkompromittierung: Klare, einfache Schritte. Keine Schuldzuweisung, keine Bestrafung.

Schweiz-spezifische Aspekte

Fur Unternehmen in der Schweiz legt das revidierte Bundesgesetz uber den Datenschutz (nDSG/revDSG) spezifische Pflichten fur Datenverantwortliche fest. Wenn Ihr Unternehmen personliche Daten sammelt, sind Sie fur angemessene technische und organisatorische Massnahmen zum Schutz dieser Daten verantwortlich.

Schwache Passwortrichtlinien sind schwer als "angemessene technische Massnahmen" zu verteidigen, wenn eine Verletzung eintritt. Fur Unternehmen in Lugano und im Tessin, die Kundendaten verarbeiten, ist Passwortsicherheit nicht nur ein IT-Thema. Es ist eine Compliance-Anforderung nach Schweizer Recht.

Fur mehr dazu, wie das nDSG Ihre Website betrifft, lesen Sie unseren Artikel zur Anpassung Ihrer Website an das nDSG.

Schnellstart-Checkliste

  1. Aktivieren Sie MFA auf allen E-Mail-Konten heute. Dies ist die einzelne Massnahme mit dem grossten Einfluss.
  2. Wahlen und implementieren Sie diese Woche einen Passwort-Manager.
  3. Prufen Sie alle Mitarbeiter-E-Mails auf haveibeenpwned.com.
  4. Schreiben Sie eine einfache Passwortrichtlinie. Eine Seite.
  5. Fuhren Sie eine 30-minutige Schulung durch.
  6. Setzen Sie eine Frist fur die Passwortmigration. 30 Tage.
  7. Deaktivieren Sie das Browser-Passwortspeichern auf Firmengeraten nach der Migration.
  8. Planen Sie vierteljahrliche Auffrischungsschulungen.

Wenn Sie Hilfe bei der Umsetzung eines Passwortsicherheitsprogramms benotigen oder eine Bewertung Ihrer aktuellen Sicherheitslage wunschen, kontaktieren Sie unser Team in Lugano. Wir arbeiten mit KMU im gesamten Tessin und der Schweiz, um praktische und verhaltnismassige Sicherheitsmassnahmen aufzubauen.

Die Kosten des Scheiterns

Ein kompromittiertes Geschafts-E-Mail-Konto kann zu Rechnungsbetrug, Datendiebstahl, Ransomware-Einsatz und Reputationsschaden fuhren. Fur ein KMU konnen diese Folgen existenzbedrohend sein. Die durchschnittlichen Kosten einer Datenverletzung fur ein kleines Unternehmen werden auf CHF 100.000 bis 200.000 geschatzt.

Ein Passwort-Manager kostet CHF 5-8 pro Benutzer pro Monat. MFA ist auf den meisten Plattformen kostenlos. Die Mitarbeiterschulung erfordert einige Stunden pro Jahr. Die Rechnung ist nicht kompliziert. Fur eine tiefere Analyse der Verletzungskosten lesen Sie unseren Artikel uber die Kosten einer gehackten Website fur KMU.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt