ISO 27001 / NIS2 Word (.docx)Kostenlos

Passwort-Richtlinie: Muster nach ISO 27001 und NIS2

Passwörter sind die häufigste Schwachstelle in KMU. Diese kostenlose Muster-Passwortrichtlinie enthält alle erwarteten Abschnitte nach dem aktuellen Stand der Technik (Länge statt Zwangswechsel, MFA, Passwortmanager), fertig zum Anpassen und Freigeben.

Passwort-Richtlinie

Word (.docx) · sofort einsatzbereit

Kostenlos herunterladen

Keine Anmeldung nötig

Worum geht es?

Eine Passwort-Richtlinie legt verbindlich fest, wie Passwörter aufgebaut, aufbewahrt und geschützt werden. Sie ist die Grundlage jeder Zugriffssicherheit und ein Standard-Prüfpunkt in Audits nach ISO 27001, NIS2 und DSGVO.

Diese Vorlage folgt dem modernen Ansatz von BSI und NIST: ausreichende Länge und Passphrasen statt erzwungener Komplexität, kein Passwortwechsel in festen Intervallen ohne Anlass, dafür verpflichtende Mehr-Faktor-Authentifizierung für kritische Zugänge.

Enthalten sind Zweck und Geltungsbereich, konkrete Passwortanforderungen, MFA-Vorgaben, Regeln zu Aufbewahrung und Passwortmanager, ein Abschnitt zu privilegierten Konten sowie Verstöße und Überprüfung.

Was die Vorlage enthält

Zweck & Geltungsbereich

Wofür die Richtlinie gilt und für wen

Passwortanforderungen

Mindestlänge, Passphrasen, keine Wiederverwendung, anlassbezogener Wechsel

Mehr-Faktor-Authentifizierung

Wo MFA verpflichtend ist und welche Verfahren bevorzugt werden

Aufbewahrung & Passwortmanager

Kein Klartext, kein Teilen, Einsatz eines Passwortmanagers

Privilegierte Konten

Strengere Vorgaben für Administrator- und Service-Konten

Verstöße & Überprüfung

Konsequenzen und jährliche Überprüfung

Die Vorlage richtet sich an alle Organisationen, die eine verbindliche Passwortregel brauchen, besonders im Aufbau eines ISMS oder zur NIS2-Umsetzung. Passen Sie die Platzhalter an und lassen Sie die Richtlinie freigeben.

Häufige Fehler beim Ausfüllen

Erzwungener Passwortwechsel alle 90 Tage

Der regelmäßige Zwangswechsel gilt als überholt. Er führt zu schwächeren, systematisch abgewandelten Passwörtern. Wechsel nur bei Verdacht auf Kompromittierung.

MFA nur optional

Für Remote-Zugriff, Admin-Konten und Cloud-Dienste sollte MFA verpflichtend sein, nicht freiwillig.

Keine Regel zum Passwortmanager

Ohne freigegebenen Passwortmanager landen Passwörter in Browsern, Notizen oder auf Zetteln.

Vorlage pflegen kostet Zeit. Es geht auch automatisch.

Dies ist eine gekürzte Muster-Fassung. In CompliantDesk erstellen Sie die vollständige Passwort-Richtlinie per Wizard, lassen sie freigeben und von Mitarbeitern bestätigen, inklusive Versionierung, SHA-256-Nachweis der Fassung und automatischer Review-Fristen.

Häufig gestellte Fragen

Wie lang muss ein sicheres Passwort sein?

Empfohlen sind mindestens 12 Zeichen, für privilegierte Konten mehr. Eine Passphrase aus mehreren Wörtern ist sicherer und leichter zu merken als ein kurzes, komplexes Passwort.

Muss ich Passwörter regelmäßig ändern lassen?

Nach aktuellem Stand der Technik (BSI, NIST) nein. Ein erzwungener Wechsel in festen Intervallen wird nicht mehr empfohlen. Passwörter werden nur bei Verdacht auf Kompromittierung geändert.

Erfüllt die Vorlage ISO 27001 und NIS2?

Sie deckt die Anforderungen aus ISO 27001 A.5.17 und A.8.5 sowie die NIS2-Vorgaben zu Zugriffskontrolle und MFA inhaltlich ab. Die konkrete Umsetzung müssen Sie an Ihre Organisation anpassen.

Compliance ohne Excel-Chaos

CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.