BSI, Regelmäßiges

BSI erklärt: Regelmäßiges Passwort-Wechseln ist ein Sicherheitsmythos

01.02.2026 - 07:56:11

Deutschlands Cybersicherheitsbehörde rät von zeitgesteuerten Passwortwechseln ab und empfiehlt stattdessen starke Passphrasen, Passwort-Manager und Zwei-Faktor-Authentifizierung.

BSI erklärt: Regelmäßiges Passwort-Wechseln ist ein Sicherheitsmythos - Foto: über boerse-global.de
BSI erklärt: Regelmäßiges Passwort-Wechseln ist ein Sicherheitsmythos - Foto: über boerse-global.de

Der Bundesverband IT-Sicherheit (TeleTrusT) und andere Initiativen werben am heutigen „Ändere-dein-Passwort-Tag“ für mehr digitale Sicherheit. Doch die zentrale Botschaft des Tages wird von Deutschlands oberster Cybersicherheitsbehörde widerlegt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt klar: Die routinemäßige, zeitgesteuerte Passwortänderung ist veraltet und oft sogar kontraproduktiv.

Jahrelang galt die häufige Änderung als goldene Regel, um Angreifern das Zeitfenster zu verkürzen. Aktuelle Forschung und die offizielle BSI-Leitlinie zeigen nun ein anderes Bild. Erzwungene Passwortwechsel führen oft zu „Passwort-Müdigkeit“. Nutzer erstellen dann schwache, vorhersehbare Varianten ihres alten Passworts – etwa durch Hochzählen einer Zahl. Dies bietet kaum echten Schutz gegen heutige Hauptgefahren wie Phishing-Angriffe oder den Missbrauch gestohlener Zugangsdaten aus Datenlecks. Das BSI rät deshalb explizit von zeitgesteuerten Passwortabläufen ab.

Warum erzwungene Wechsel oft schaden

Die Logik hinter dieser Kehrtwende liegt im menschlichen Verhalten. Bei einer 90-Tage-Regel neigen Nutzer zu minimalen Änderungen. Aus Frühling2025! wird dann Sommer2025! – ein Muster, das automatisierte Cracking-Tools leicht erraten. Die Praxis vermittelt ein trügerisches Sicherheitsgefühl, ohne den Aufwand für einen Angriff wesentlich zu erhöhen.

Anzeige

Phishing zählt zu den effektivsten Methoden, mit denen Angreifer Zugangsdaten und Konten kompromittieren — oft lange bevor regelmäßige Passwortwechsel greifen. Das kostenlose Anti-Phishing-Paket erklärt in vier praktischen Schritten, wie Sie gefälschte Loginseiten erkennen, verdächtige E-Mails enttarnen und schnelle Gegenmaßnahmen einleiten. Enthalten sind Checklisten, Beispiel-Alerts und sofort anwendbare Handlungsempfehlungen — ideal für Privatpersonen und kleine Unternehmen, die ihre Konten sofort stärken wollen. Jetzt das Anti-Phishing-Paket gratis herunterladen

Dieser Ratschlag ist ein Relikt aus einer früheren Ära der Cybersicherheit. Die heutige Bedrohungslage wird von großangelegten Datenpannen und ausgeklügelten Phishing-Kampagnen dominiert, bei denen Zugangsdaten direkt gestohlen werden. Internationale Behörden wie das US-amerikanische National Institute of Standards and Technology (NIST) und das britische National Cyber Security Centre (NCSC) vertreten diese Position seit Jahren.

Die neue Strategie: Drei Säulen für sichere Konten

Statt willkürlicher Wechsel empfiehlt das BSI eine effektivere, dreiteilige Strategie. Sie setzt auf die inhärente Stärke von Zugangsdaten und zusätzliche Schutzschichten.

  1. Lange, starke und einzigartige Passwörter: Länge ist entscheidender als Komplexität. Das BSI rät zu Passphrasen – einprägsamen Sätzen oder Wortkombinationen. Wichtig: Für jeden Dienst muss ein eigenes Passwort verwendet werden. Wiederverwendung ist ein enormes Risiko.
  2. Passwort-Manager: Um Dutzende einzigartige Passwörter zu verwalten, sind diese Tools unverzichtbar. Sie generieren und speichern komplexe Passwörter sicher. Nutzer müssen sich nur ein Master-Passwort merken. Das BSI sieht sie als wesentliches Mittel zur Risikoreduzierung.
  3. Zwei-Faktor-Authentifizierung (2FA): Diese zweite Verifikationsstufe – etwa per App-Code oder Sicherheitsschlüssel – ist die kritischste Schutzschicht. Ein gestohlenes Passwort allein reicht dann nicht mehr für den Account-Zugriff.

Wann ein Wechsel wirklich nötig ist

Der Abschied vom Zeitplan bedeutet nicht, dass Passwörter nie geändert werden sollten. Das BSI befürwortet einen ereignisgesteuerten Ansatz. Ein Reset ist nur nötig, wenn konkrete Anzeichen für eine Kompromittierung vorliegen.

Dazu zählen Benachrichtigungen über eine Datenpanne durch den Anbieter, verdächtige Aktivitäten im eigenen Konto oder der Verdacht, Opfer einer Phishing-Seite geworden zu sein. In diesen Fällen ist eine sofortige Änderung entscheidend. Dieser gezielte Ansatz reagiert direkt auf reale Bedrohungen.

Die Zukunft kommt ohne Passwort

Der Branchentrend weist in eine passwortärmere Zukunft. Technologien wie Passkeys gewinnen an Bedeutung. Sie nutzen kryptografische Schlüssel und biometrische Verifikation (Fingerabdruck, Gesichtsscan) auf dem persönlichen Gerät. Diese Methoden sind inhärent resistent gegen Phishing.

Die Botschaft zum „Ändere-dein-Passwort-Tag“ 2026 ist daher paradox: Ändern Sie Ihr Passwort nicht einfach – verbessern Sie Ihre gesamte Sicherheitsstrategie. Setzen Sie auf lange, einzigartige Passphrasen, aktivieren Sie 2FA überall und nutzen Sie einen Passwort-Manager.

Anzeige

PS: Wussten Sie, dass viele erfolgreiche Phishing-Angriffe auf psychologische Tricks setzen und selbst technisch versierte Nutzer täuschen? Der kostenlose Report zeigt typische Angriffsszenarien, darunter CEO-Fraud und gefälschte Account-Benachrichtigungen, und liefert sofort umsetzbare Abwehrmaßnahmen sowie Vorlagen für interne Warnungen und Notfall-Checks. Nutzen Sie diese Praxis-Werkzeuge, um Ihre Konten schnell und gezielt zu schützen. Anti-Phishing-Guide jetzt sichern

@ boerse-global.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.