Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren

Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

[datensicherheit.de, 24.04.2025] Eigentlich sollten die Grundlagen einer guten „Passworthygiene“ allgemein bekannt sein – doch es stellt sich die Frage, warum es Nutzern im Unternehmensalltag dennoch schwerfällt, diese einzuhalten… Tom Haak, „CEO“ von Lywand, geht im Vorfeld des „Welt-Passwort-Tages“ am 1. Mai 2025 in seiner aktuellen Stellungnahme auf diese Frage ein. Allein im vergangenen Jahr – 2024 – hat sein Unternehmen demnach bei Kunden mehr als drei Millionen Schwachstellen ausfindig gemacht. Dazu zählte unter anderem das Aufspüren geleakter Unternehmens-Anmeldedaten. In vielen Fällen habe sich herausgestellt, dass es sich um mehrfach verwendete Passwörter für verschiedene Anwendungen gehandelt habe – was offensichtlich ein deutlich vergrößertes Einfallstor für Cyber-Angreifer in Unternehmensumgebungen öffnen könnte. In seinem Kommentar erörtert Haak Ursachen der Problematik und liefert Ideen, wie Unternehmen eine gute „Passworthygiene“ ihrer Mitarbeiter unterstützen können.

Foto: Lywand

Tom Haak kritisiert: Alles in allem ist die Benutzererfahrung, was Passwörter anbelangt, nicht ideal!

Passwort-Anforderungen für Benutzer im Büroalltag eher notwendiges Übel

Was für Cyber-Kriminelle die „Eintrittskarte“ in Unternehmensumgebungen bedeuten könne, betrachteten deren Besitzer eher als ein notwendiges Übel im Büroalltag: „Passwörter werden angesichts der Vielzahl an Anwendungen, bei denen Nutzer angemeldet sind, als unbequem empfunden, sind sie doch mit einigen Hürden verbunden.“ Auf Grund der Sicherheitsanforderungen verlangen sie nämlich eine gewisse Länge, Abwechslung in der Groß- und Kleinschreibung sowie den Einsatz von Zahlen und Sonderzeichen.

Haak: „Die zulässigen Zeichen-Konstrukte sind derart abstrakt, dass man sie sich keineswegs so einfach merken kann, wie zum Beispiel den Namen des eigenen Haustiers. Vergisst man das erforderliche Passwort, muss man den Zurücksetzungsprozess durchlaufen und ein neues vergeben, was häufig als umständlich empfunden wird.“ Alles in allem sei die Benutzererfahrung im Passwort-Kontext nicht ideal.

Passwort-Änderung vs. Vermeidungsstrategien

Es überrascht laut Haak daher wenig, dass Anwender bestimmte Strategien wählen, um solche Unbequemlichkeiten zu vermeiden: „Beispielsweise, indem sie dasselbe Passwort immer wieder in sämtlichen neuen Anwendungen verwenden. Oder sie wählen, sofern die Eingabe-Vorgaben es erlauben, ein Passwort, das zwar schwach konstruiert ist, sie sich aber gut merken können.“

Egal indes, ob schwach oder stark: „In der Regel ändern Nutzer ihre Passwörter äußerst ungern. Wie wir heraus gefunden haben, gilt dies insbesondere für Webservices: Anwender lassen das Passwort – oftmals handelt es sich um das generische Standardpasswort für die Erstanmeldung – von ihrem Browser speichern, um sich künftig mit nur einem Klick anmelden zu können.“ Von diesem Zeitpunkt an blieben die Zugangsdaten in der Regel über Jahre unverändert.

Die Passwort-Benutzererfahrung sollte stets mitgedacht werden

Kurios daran sei: „Die Empfehlungen und Maßnahmen einer guten ,Passworthygiene’ – starke Kennwörter für jede Anwendung, sichere Verwahrung, eine Änderung in regelmäßigen Abständen, das Aktivieren der Multi-Faktor-Authentifizierung, der Einsatz von Passwortmanagement-Tools – sind allen Unternehmen und Anwendern geläufig. Und dennoch sind in der Realität alle bereit, Abstriche zu Gunsten ihres Komforts zu machen, was jedoch letztendlich zu Lasten der Sicherheit geht.“

Um dieser Entwicklung entgegenzuwirken und nicht Gefahr zu laufen, dass eingerichtete Passwortverfahren letztendlich mehr umgangen als befolgt werden, könne es Unternehmen helfen, die Benutzererfahrung mitzudenken und das „Feedback“ ihrer Angestellten einzubeziehen:

• „Welche Mitarbeiter benötigen wie häufig Zugriff auf welche Anwendungen?
• Wann haben sie in ihren täglichen Abläufen geeignete Zeitfenster, um sich in Ruhe mit der Neuvergabe von Passwörtern für ständig genutzte Anwendungen auseinanderzusetzen?“

Starkes Passwort empfohlen – welches auf Grund persönlicher Bezüge einfach zu merken ist

Auf dieser Grundlage ließen sich praktikable Regeln aufsetzen. Zusätzlich könne man seine Mitarbeiter anregen, kreativ zu werden: „Beispielsweise ergeben schöne persönliche Erinnerungen, als Satz formuliert, auf einzelne Buchstaben eingekürzt und mit Zahlen und Sonderzeichen angereichert, starke Passwörter – die auf Grund des persönlichen Bezugs auch einfacher zu merken sind.“

Haben Unternehmen einen Überblick über die „Workflows“ ihrer Mitarbeiter gewonnen, könnten sie darüber nachdenken, „inwieweit sie diese mit geeigneten Tools, zum Beispiel Passwort-Generatoren oder Passwort-Manager, unterstützen können“. Für kleine Unternehmen könne es zudem sinnvoll sein, die Maßnahmen zur „Passworthygiene“ in einer Betriebsvereinbarung festzuhalten. „Damit lässt sich ein Prozess etablieren, der Benutzererfahrung und Sicherheitsstandards miteinander in Einklang bringt“, so Haak abschließend.

Weitere Informationen zum Thema:

LDI NRW
Tipps zum Welt-Passwort-Tag / An jedem ersten Donnerstag im Mai begeht die Online-Gemeinschaft den Welt-Passwort-Tag. Ursprünglich geht er auf die Initiative eines Herstellers von PC-Komponenten zurück. Seit geraumer Zeit wird er zum Anlass genommen, um auf die Sicherheit von Passwörtern hinzuweisen.

datensicherheit.de, 04.05.2022
Kommentar zum Welt-Passwort-Tag 2022: Passwort und PIN veraltete Authentifizierungsmethoden / Simon Marchand empfiehlt biometrische Verfahren anstelle von Passwort-Eingaben

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 06.05.2021
G DATA CyberDefense: 5 Tipps zum Welt-Passwort-Tag 2021 / Änderung des Passworts aus wichtigem Grund erforderlich – aber nicht pauschal sinnvoll

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache