Passwort-Richtlinie: Muster nach ISO 27001 und NIS2
Passwörter sind die häufigste Schwachstelle in KMU. Diese kostenlose Muster-Passwortrichtlinie enthält alle erwarteten Abschnitte nach dem aktuellen Stand der Technik (Länge statt Zwangswechsel, MFA, Passwortmanager), fertig zum Anpassen und Freigeben.
Worum geht es?
Eine Passwort-Richtlinie legt verbindlich fest, wie Passwörter aufgebaut, aufbewahrt und geschützt werden. Sie ist die Grundlage jeder Zugriffssicherheit und ein Standard-Prüfpunkt in Audits nach ISO 27001, NIS2 und DSGVO.
Diese Vorlage folgt dem modernen Ansatz von BSI und NIST: ausreichende Länge und Passphrasen statt erzwungener Komplexität, kein Passwortwechsel in festen Intervallen ohne Anlass, dafür verpflichtende Mehr-Faktor-Authentifizierung für kritische Zugänge.
Enthalten sind Zweck und Geltungsbereich, konkrete Passwortanforderungen, MFA-Vorgaben, Regeln zu Aufbewahrung und Passwortmanager, ein Abschnitt zu privilegierten Konten sowie Verstöße und Überprüfung.
Was die Vorlage enthält
Zweck & Geltungsbereich
Wofür die Richtlinie gilt und für wen
Passwortanforderungen
Mindestlänge, Passphrasen, keine Wiederverwendung, anlassbezogener Wechsel
Mehr-Faktor-Authentifizierung
Wo MFA verpflichtend ist und welche Verfahren bevorzugt werden
Aufbewahrung & Passwortmanager
Kein Klartext, kein Teilen, Einsatz eines Passwortmanagers
Privilegierte Konten
Strengere Vorgaben für Administrator- und Service-Konten
Verstöße & Überprüfung
Konsequenzen und jährliche Überprüfung
Die Vorlage richtet sich an alle Organisationen, die eine verbindliche Passwortregel brauchen, besonders im Aufbau eines ISMS oder zur NIS2-Umsetzung. Passen Sie die Platzhalter an und lassen Sie die Richtlinie freigeben.
Häufige Fehler beim Ausfüllen
Erzwungener Passwortwechsel alle 90 Tage
Der regelmäßige Zwangswechsel gilt als überholt. Er führt zu schwächeren, systematisch abgewandelten Passwörtern. Wechsel nur bei Verdacht auf Kompromittierung.
MFA nur optional
Für Remote-Zugriff, Admin-Konten und Cloud-Dienste sollte MFA verpflichtend sein, nicht freiwillig.
Keine Regel zum Passwortmanager
Ohne freigegebenen Passwortmanager landen Passwörter in Browsern, Notizen oder auf Zetteln.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
Dies ist eine gekürzte Muster-Fassung. In CompliantDesk erstellen Sie die vollständige Passwort-Richtlinie per Wizard, lassen sie freigeben und von Mitarbeitern bestätigen, inklusive Versionierung, SHA-256-Nachweis der Fassung und automatischer Review-Fristen.
Häufig gestellte Fragen
Wie lang muss ein sicheres Passwort sein?
Empfohlen sind mindestens 12 Zeichen, für privilegierte Konten mehr. Eine Passphrase aus mehreren Wörtern ist sicherer und leichter zu merken als ein kurzes, komplexes Passwort.
Muss ich Passwörter regelmäßig ändern lassen?
Nach aktuellem Stand der Technik (BSI, NIST) nein. Ein erzwungener Wechsel in festen Intervallen wird nicht mehr empfohlen. Passwörter werden nur bei Verdacht auf Kompromittierung geändert.
Erfüllt die Vorlage ISO 27001 und NIS2?
Sie deckt die Anforderungen aus ISO 27001 A.5.17 und A.8.5 sowie die NIS2-Vorgaben zu Zugriffskontrolle und MFA inhaltlich ab. Die konkrete Umsetzung müssen Sie an Ihre Organisation anpassen.
Weiterführend
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.
