Starke Passwörter im Active Directory nach BSI IT‑Grundschutz: So setzen Sie sie richtig um

Veröffentlicht am 8. Juni 2026 von Günter Born

SpecopsWerbung – Wie können Organisationen sicherstellen, dass im Active Directory nur starke Passwörter verwendet werden? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt IT-Administratoren mit dem "IT-Grundschutz" entsprechende Leitlinien an die Hand, um die Ressourcen einer Institution zu schützen. Specops Software, ein Anbieter von Lösungen für Passwortmanagement und Authentifizierung, gibt einen Überblick über die Anforderungen des IT-Grundschutz-Kompendiums im Bereich Passwörter und stellt Maßnahmen und Tools vor, die bei der Umsetzung helfen können.

Passwörter im Active Directory mit PowerShell verwalten. eBook herunterladen » (Sponsored by IT Pro)


"Der Zugang zu schützenswerten Ressourcen einer Institution ist auf berechtigte Benutzende und berechtigte IT-Komponenten einzuschränken. Benutzende und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden." – so steht es in der Einleitung des Moduls "Identitäts- und Berechtigungsmanagement" (ORP.4) des aktuellen IT-Grundschutz-Kompendiums (PDF, Ausgabe 2023, abrufbar über die Website des BSI).

Auch wenn passwortlose Verfahren zunehmend verbreitet sind, setzen die meisten Organisationen weiterhin auf die Kombination aus Benutzername bzw. E-Mail-Adresse und Passwort. Passwortsicherheit bleibt somit ein zentraler Bestandteil der IT-Sicherheit. Das BSI fordert daher, je nach Schutzbedarf, den Einsatz starker Passwörter zum Schutz von Unternehmensnetzwerken und sensiblen Daten.

Starke Passwörter ohne unnötige Komplexität

Im Abschnitt ORP.4.A22 zur Passwortqualität werden folgende Anforderungen an Passwörter gestellt:

"In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende in der Lage sind, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden."

Die Länge und Komplexität von Passwörtern sind jedoch nicht die einzigen Kriterien für deren Qualität. Passwörter, die beispielsweise auf Unternehmens- oder Produktnamen basieren, lassen sich von Angreifern ebenfalls leicht erraten und dürfen laut IT‑Grundschutzkompendium (ORP.4.A8) nicht verwendet werden. Gleiches gilt für leicht zu erratende Passwörter oder solche, die in gängigen Passwortlisten auftauchen.

Specops Password Policy Abbildung 1: Mit Specops Password Policy können Sie individuelle Blacklists erstellen, um leicht zu erratende Begriffe zu blockieren, (zum Vergrößern klicken)

Neben den in Gruppenrichtlinien oder über "Fine Grained Password Policies" in Active Directory festgelegten Einstellungen zur Länge und Komplexität von Passwörtern erweitern Tools wie Specops Password Policy die Möglichkeiten, indem sie bei Bedarf über Blacklists oder Ausschlusslisten leicht zu erratende Passwörter mit Bezug zur Organisation verhindern.

Gleichzeitig betont das BSI, dass Passwörter nicht so komplex sein dürfen, dass sie nicht mehr "mit vertretbarem Aufwand" genutzt werden können (ORP.4.A22). Der Hintergrund: Wenn Nutzer sich zu komplexe Passwörter merken müssen, greifen sie oft zu unsicheren Strategien, wie das Aufschreiben am Arbeitsplatz oder die Wiederverwendung desselben "sicheren" Passworts für mehrere Systeme. Das IT-Grundschutz-Kompendium erlaubt das Aufschreiben nur im Notfall und nur bei sicherer Aufbewahrung (ORP.4.A8).

Passwortwiederverwendung vermeiden

Viele Nutzer unterschätzen, dass ein einmal kompromittiertes Passwort bei Mehrfachverwendung den Zugriff auf mehrere Systeme ermöglicht. Das BSI stellt daher klar:

"Passwörter DÜRFEN NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden" (ORP.4.A8)

Zu den bevorzugten Maßnahmen zählen Awareness-Trainings sowie Tools wie Passwortmanager, die dabei helfen, Zugangsdaten sicher zu verwalten.

Kompromittierte Passwörter erkennen und ausschließen

ORP.4.A8 besagt außerdem: "…Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden. Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR den Benutzenden persönlich bekannt sein…", und A23 fordert: "… Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen…".

Wie lässt sich das praktisch umsetzen?

Online-Dienste wie haveibeenpwned ermöglichen über eine API die Prüfung, ob Passwörter in bekannten Leak-Listen auftauchen. Auch regelmäßige automatische Prüfungen im Active Directory helfen dabei, schwache Passwörter schnell zu identifizieren.

Gängige Lösungen wie Specops Password Policy mit "Breached Password Protection" bieten kontinuierliche Überprüfungen der Passwörter. Dabei werden Passwort-Hashes mit einer umfangreichen, täglich aktualisierten Datenbank kompromittierter Passwörter abgeglichen. In dieser Datenbank sind inzwischen über 6 Milliarden kompromittierte Passwörter aus Leak-Listen, Password-Spray-Angriffen auf Honeypot-Systeme sowie durch Infostealer-Malware gestohlene Daten enthalten.

Wer sich schnell einen Überblick über den Zustand des Active Directory verschaffen möchte, kann mit dem kostenlosen Read-Only-Tool Specops Password Auditor Passwort-Risiken identifizieren. Dazu gehört auch ein Abgleich mit einer Datenbank von über einer Milliarde kompromittierter Passwörter.

Scans auf kompromittierte PasswörterAbbildung 2: Durch regelmäßige Scans von kompromittierten Passwörtern lassen sich die Risiken durch Passwortwiederverwendung, Infostealer und bereits bekannte Leaks reduzieren (zum Vergrößern klicken)

Passwortwechsel nach IT-Grundschutz richtig umsetzen

Werden kompromittierte Passwörter gefunden, müssen sie sofort geändert werden. Das gilt ebenso für Passwörter, die unbefugten Personen bekannt geworden sind. Laut ORP.4.A8 gilt das bereits bei einem bloßen Verdacht.

Das BSI distanziert sich zudem klar von der früheren Pflicht zu regelmäßigen Passwortwechseln:

"IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden"(ORP.4.A23).

Nur wenn keine Möglichkeit zur Erkennung kompromittierter Passwörter besteht, ist zu prüfen, ob "die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können."

Um Nutzer zur Verwendung längerer Passwörter zu motivieren, empfehlen wir, den Wechselrhythmus flexibel an die Passwortlänge zu koppeln. Mit Specops Password Policy können beispielsweise Passwörter mit 15 oder mehr Zeichen mit einer längeren Gültigkeitsdauer – etwa einem jährlichen Wechsel – belohnt werden. Kürzere Passwörter hingegen sollten entsprechend häufiger geändert werden.

Einstellmöglichkeiten Specops Password PolicyAbbildung 3: Konfigurationsoptionen zur Umsetzung längenbasierter Passwortabläufe in Specops Password Policy

Ausrichtung an den BSI-Richtlinien mit Specops

Das IT-Grundschutz-Kompendium enthält zahlreiche Anforderungen und Empfehlungen zu Passwortrichtlinien, Drittanbieterlösungen und zur Sensibilisierung von Mitarbeitenden im Bereich Cybersicherheit. Die Experten von Specops Software unterstützen Sie dabei, konforme Passwortstrategien einfach und effizient in Ihrer Organisation umzusetzen.

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.