"Passwörter im Betrieb: Warum 'Sommer2024!' keine Lösung ist"

Veröffentlicht am 18.06.2026

Ein Steuerberater aus der Region wechselt seinen IT-Dienstleister. Beim Übergabegespräch stellt sich heraus: Das E-Mail-Passwort der Kanzlei lautet seit vier Jahren "Kanzlei2020", alle drei Mitarbeiterinnen kennen es, und dasselbe Passwort wird auch für das Mandantenportal und weitere Systeme genutzt.

Das ist kein Einzelfall. Es ist die Regel.

Warum schwache Passwörter so verbreitet sind

Passwörter sind lästig. Wer sich täglich an zehn verschiedenen Systemen anmelden muss, nimmt das, was sich leicht merken lässt, und nutzt es überall. Das ist menschlich, aber aus Sicherheitssicht ein Problem.

Angreifer probieren keine Passwörter manuell aus. Programme testen in Sekunden Millionen von Kombinationen: häufige Passwörter, Wörter aus dem Wörterbuch, bekannte Muster wie Jahreszahlen am Ende, Sonderzeichen als Ersatz für Buchstaben. "Sommer2024!" ist für ein solches Programm kein Hindernis, sondern eine Frage von Millisekunden.

Dazu kommt: Passwörter werden gestohlen. Nicht immer durch einen gezielten Angriff auf den eigenen Betrieb, sondern über Datenlecks bei großen Diensten. Wenn die E-Mail-Adresse und das dazugehörige Passwort bei einem Hack geleakt wurden und dasselbe Passwort auch für das Firmensystem gilt, ist der Weg frei. Es gibt öffentlich zugängliche Datenbanken, in denen sich prüfen lässt ob eine E-Mail-Adresse in bekannten Leaks aufgetaucht ist. Die Ergebnisse sind oft ernüchternd.

Das Problem mit geteilten Zugängen

In kleinen Betrieben teilen sich oft mehrere Personen einen Zugang. Das hat praktische Gründe: Wer krank ist, soll nicht der Flaschenhals sein. Wer das Büro betritt, soll E-Mails abrufen können.

Das Ergebnis: Niemand weiß mehr, wer wann was gemacht hat. Wenn eine Rechnung fehlt oder ein Kunde sich beschwert, eine Mail nie erhalten zu haben, gibt es keine Möglichkeit nachzuvollziehen wer sie gesendet oder gelöscht hat. Und wenn eine Mitarbeiterin das Unternehmen verlässt, muss das Passwort für alle geändert werden, weil es keinen eigenen Zugang gab.

Was ein gutes Passwort ausmacht

Länge schlägt Komplexität. "KaffeeMaschineDaunGmbH" ist deutlich sicherer als "K@ff33!" weil es für einen Angreifer schlicht zu lang ist, um es in absehbarer Zeit zu knacken, obwohl es keine Sonderzeichen enthält.

Die Kombination aus beidem ist natürlich besser. Aber das Wichtigste: jedes Passwort nur einmal verwenden. Wer für jedes System ein eigenes Passwort hat, begrenzt den Schaden im Fall eines Lecks auf genau dieses eine System.

Wie das in der Praxis funktioniert

Hier kommt der Passwort-Manager ins Spiel. Das ist ein Programm, das alle Passwörter speichert, automatisch ausfüllt und auf Wunsch sichere neue Passwörter generiert. Man muss sich nur noch ein einziges Masterpasswort merken.

Für Betriebe gibt es Varianten, bei denen jede Person einen eigenen Zugang hat und trotzdem gemeinsam auf freigegebene Zugangsdaten zugreifen kann. So hat jeder Mitarbeiter seinen eigenen Login, die Inhaberin kann Zugänge freigeben oder entziehen, und beim Ausscheiden einer Person ändert sich für alle anderen nichts.

Der Gewinn an Sicherheit und Übersicht ist erheblich. Welche Lösung für einen Betrieb konkret passt, hängt von der Größe, den genutzten Systemen und dem Budget ab. Dazu beraten wir gerne.

Zwei-Faktor-Authentifizierung: die zweite Schranke

Selbst das beste Passwort kann geleakt werden. Zwei-Faktor-Authentifizierung sorgt dafür, dass ein gestohlenes Passwort allein nicht reicht. Beim Login wird zusätzlich ein Code abgefragt, der per App auf dem Handy generiert wird und nach 30 Sekunden verfällt.

Wer das für E-Mail und die wichtigsten Systeme einrichtet, hat die größten Risiken abgedeckt. Die meisten modernen Plattformen unterstützen das, die Einrichtung ist in der Regel unkompliziert.

Besonders wichtig ist Zwei-Faktor für Konten mit weitreichenden Rechten: Wer als Administrator auf alle Systeme zugreifen kann, ist ein besonders attraktives Ziel. Für solche Accounts gilt: kein Login ohne zweiten Faktor, kein gemeinsam genutzter Zugang.

Was mit alten Zugängen passiert

Ein unterschätztes Thema: Zugänge, die nicht mehr gebraucht werden, aber nie deaktiviert wurden. Eine Mitarbeiterin, die vor zwei Jahren gegangen ist und deren Login noch aktiv ist. Ein Lieferant, dem temporär Zugang zum Bestellsystem gegeben wurde. Ein Praktikant, der eigentlich nur für drei Monate da war.

Solche Zugänge sind offene Türen. Wenn ein ehemaliger Mitarbeiter im Streit gegangen ist oder wenn Zugangsdaten durch einen Datenleck bekannt werden, können diese Konten missbraucht werden, ohne dass jemand es sofort bemerkt.

Eine regelmäßige Überprüfung der aktiven Konten, wer hat Zugang, wer braucht ihn noch, sollte deshalb fester Bestandteil der IT-Pflege sein.

Was wir in der Region sehen

Wenn wir neue Kunden übernehmen, ist eine der ersten Fragen: Wer hat Zugang zu was, und weiß das jemand genau? Die ehrliche Antwort ist meistens: nicht wirklich.

Für Betriebe aus Daun, Gerolstein, Mayen und der Region schauen wir uns das gerne an. Wir dokumentieren die bestehenden Zugänge, identifizieren die kritischen Stellen und richten sauber getrennte Zugänge ein. Das ist in den meisten Fällen ein überschaubarer Einmalaufwand, der sich schnell auszahlt. Mehr zu unserem Angebot: IT-Support und laufende IT-Betreuung.

Jetzt kostenloses Erstgespräch vereinbaren


← Zurück zum Ratgeber

Fragen zu Ihrer IT?

Vereinbaren Sie ein kostenloses Erstgespräch. Wir schauen uns Ihre Situation an und geben eine ehrliche Einschätzung.

Jetzt Termin vereinbaren

Kontakt & Terminbuchung

📍 Auf der Jeich 8, 56769 Retterath
📞 +49 (0) 2657 3999 833
✉️ hallo [at] godigitalize [dot] me

Termin online buchen

Sie haben ein konkretes Anliegen?

📞 Anrufen 📅 Termin buchen

Datenschutzhinweis

Diese Website verwendet Leaflet zur Darstellung interaktiver Karten. Dabei werden Kartenkacheln von OpenStreetMap-Servern geladen, wobei Ihre IP-Adresse an diese übertragen wird. Darüber hinaus wird auf unserer Website ein Sicherheitsdienst (hCaptcha) verwendet, um automatisierte Anfragen und Spam zu verhindern. Dabei können personenbezogene Daten wie Ihre IP-Adresse sowie technische Nutzungsinformationen an den Anbieter übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Weitere rechtliche Informationen zu unserem Unternehmen finden sie im Impressum.