Leider wird immer wieder in Prüferberichten ein „Mangel“ deklariert, dass Kennwörter nicht regelmäßig geändert werden. Gerne möchten wir hierzu eine fachliche Einordnung geben, da sich die Empfehlungen zur Passwortsicherheit in den letzten Jahren grundlegend geändert haben.
Aktuelle Empfehlung des BSI (Bundesamt für Sicherheit in der Informationstechnik)
Das BSI empfiehlt keine regelmäßigen, anlasslosen Passwortänderungen mehr. In einer offiziellen Veröffentlichung vom Januar 2025 führt das BSI ausdrücklich aus, dass:
„regelmäßige, anlassunabhängige Passwortwechsel erfahrungsgemäß dazu führen, dass zunehmend schwächere Passwörter genutzt werden und daher nicht gefordert oder technisch erzwungen werden sollten.“
Stattdessen empfiehlt das BSI:
- starke, lange Passwörter,
- die konsequente Nutzung von Mehrfaktor-Authentifizierung (MFA),
- sowie anlassbezogene Passwortänderungen, z. B. bei Verdacht auf Kompromittierung oder nach Sicherheitsvorfällen.
[bsi.bund.de]
Diese Empfehlung ist auch im BSI‑Grundschutz seit mehreren Jahren verankert und stellt den aktuellen Stand der Technik dar.
Erkenntnisse aus Studien und Sicherheitsforschung
Empirische Studien – unter anderem aus der Sicherheitsforschung der Ruhr‑Universität Bochum – zeigen, dass erzwungene regelmäßige Passwortwechsel häufig zu:
- vorhersehbaren Mustern („Sommer2025“, „Passwort2025!“),
- minimalen Abwandlungen bestehender Passwörter,
- und vermehrter Passwort‑Wiederverwendung
führen und damit die tatsächliche Sicherheit reduzieren.
[news.rub.de]
Internationale Standards (NIST)
Auch das US‑amerikanische National Institute of Standards and Technology (NIST) – international maßgeblich für IT‑Sicherheitsstandards – verbietet in seiner aktuellen Richtlinie SP 800‑63B Revision 4 explizit regelmäßige Passwortabläufe, sofern kein Sicherheitsvorfall vorliegt.
Dort wird festgehalten, dass:
- periodische Passwortrotationen nicht zulässig sind,
- stattdessen lange Passphrasen und MFA eingesetzt werden sollen,
- Passwortänderungen nur bei Kompromittierungsverdacht erfolgen dürfen.
[captaindns.com]
Diese NIST‑Empfehlungen werden inzwischen auch von europäischen Stellen – inklusive des BSI – übernommen.
Einordnung zur aktuellen Konfiguration
Dass ein Passwort aus August 2025 weiterhin gültig ist, entspricht somit keinem Sicherheitsmangel, sondern vielmehr den aktuellen Empfehlungen der IT‑Sicherheitsbehörden, sofern:
- ein starkes Passwort verwendet wird,
- MFA aktiviert ist,
- und organisatorische Prozesse für anlassbezogene Passwortänderungen existieren.
Stattdessen empfiehlt das BSI:
- starke, lange Passwörter,
- die konsequente Nutzung von Mehrfaktor-Authentifizierung (MFA),
- sowie anlassbezogene Passwortänderungen, z. B. bei Verdacht auf Kompromittierung oder nach Sicherheitsvorfällen.
[bsi.bund.de]
Diese Empfehlung ist auch im BSI‑Grundschutz seit mehreren Jahren verankert und stellt den aktuellen Stand der Technik dar.
Kommentare