KIProf. Dr. SchanbacherKI für den Mittelstand
IT-Sicherheit

Modul 2 von 4

Passwörter, Zugriff & Arbeitsplatz

Starke Passwörter, saubere Zugriffe und ein aufgeräumter Arbeitsplatz verhindern einen großen Teil aller Vorfälle – mit einfachen, alltagstauglichen Regeln.

Passwortsicherheit – Länge schlägt Komplexität

Ein gutes Passwort ist vor allem lang. Moderne Empfehlungen raten zu Passphrasen (z. B. vier zufällige Wörter) oder mindestens 12 Zeichen mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen. Entscheidend ist außerdem: für jeden Zugang ein eigenes Passwort und keine Weitergabe.

  • Mindestens 12 Zeichen bzw. eine lange Passphrase.
  • Keine einfachen Wörter, Namen oder Tastaturmuster (z. B. „Passwort123“).
  • Für jeden Dienst ein eigenes Passwort – ein Passwortmanager hilft enorm.
  • Wo möglich: Zwei-Faktor-Authentifizierung (2FA) aktivieren.

Beispiel: Warum ein Passwortmanager

Wer überall dasselbe Passwort nutzt, riskiert eine Kettenreaktion: Wird ein Dienst gehackt und das Passwort veröffentlicht, probieren Angreifer es automatisiert bei E-Mail, Bank und Shop aus („Credential Stuffing“). Ein Passwortmanager erzeugt und merkt sich für jeden Dienst ein eigenes, starkes Passwort – man selbst merkt sich nur noch eines.

Zwei-Faktor-Authentifizierung (2FA) – der zweite Schlüssel

Selbst das beste Passwort kann gestohlen werden – durch Phishing, eine Datenpanne beim Anbieter oder Schadsoftware. Genau hier setzt die Zwei-Faktor-Authentifizierung an: Zusätzlich zum Passwort (etwas, das man weiß) wird ein zweiter Faktor verlangt (etwas, das man besitzt – z. B. das Smartphone). Ein Angreifer mit gestohlenem Passwort scheitert dann am zweiten Faktor.

  • Authenticator-App (z. B. zeitbasierte Einmalcodes): sicherer und komfortabler als SMS.
  • SMS-Code: besser als nichts, aber anfälliger (SIM-Swapping) – wo möglich App bevorzugen.
  • Hardware-Schlüssel (FIDO2/Passkey): der stärkste Schutz, besonders für Administratoren.
  • 2FA überall aktivieren, wo es angeboten wird – zuerst bei E-Mail, denn das E-Mail-Konto ist der Generalschlüssel für Passwort-Resets.

Beispiel: Das E-Mail-Konto als Generalschlüssel

Wer Zugriff auf Ihr E-Mail-Postfach hat, kann bei nahezu allen anderen Diensten „Passwort vergessen“ auslösen und so Konto um Konto übernehmen. Darum verdient gerade das E-Mail-Konto den stärksten Schutz: ein langes, einzigartiges Passwort plus 2FA. Diese eine Maßnahme verhindert einen Großteil aller Konto-Übernahmen.

Zugriffskontrolle nach dem Prinzip „so wenig wie nötig“

  • Nur Zugriff auf die Daten, die man wirklich benötigt (Need-to-know).
  • Nicht mit fremden Accounts arbeiten – Handlungen müssen zuordenbar bleiben.
  • Computer beim Verlassen sperren (Windows: Win+L oder Strg+Alt+Entf → Sperren).
  • Keine unbefugten Personen an den eigenen, angemeldeten PC lassen.

Clean Desk – Sicherheit beginnt auf dem Schreibtisch

  • Keine Passwörter auf Post-its am Monitor oder unter der Tastatur.
  • Sensible Unterlagen wegschließen, nicht offen liegen lassen.
  • Zugangskarten nicht herumliegen lassen; Laptops sichern/abschließen.

Das Wichtigste in Kürze

  • Lange, je Dienst unterschiedliche Passwörter – idealerweise mit Passwortmanager.
  • Wo möglich Zwei-Faktor-Authentifizierung aktivieren.
  • Need-to-know: nur die wirklich benötigten Zugriffe; nie fremde Accounts nutzen.
  • Bildschirm sperren (Win+L) und Clean-Desk konsequent leben.

?Wissens-Check

Beantworten Sie die Fragen, um Ihr Verständnis zu prüfen. Sie erhalten sofort eine Rückmeldung.

Frage 1.Welche Passwort-Praxis ist sicher?

Frage 2.Was tun Sie beim Verlassen des Arbeitsplatzes?

Frage 3.Warum ist dasselbe Passwort für alles gefährlich?

← Vorheriges Modul