{"id":325931,"date":"2026-06-08T00:01:29","date_gmt":"2026-06-07T22:01:29","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325931"},"modified":"2026-06-05T13:32:18","modified_gmt":"2026-06-05T11:32:18","slug":"starke-passwoerter-im-active-directory-nach-bsi-it-grundschutz-so-setzen-sie-sie-richtig-um","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/08\/starke-passwoerter-im-active-directory-nach-bsi-it-grundschutz-so-setzen-sie-sie-richtig-um\/","title":{"rendered":"Starke Passw\u00f6rter im Active Directory nach BSI IT\u2011Grundschutz: So setzen Sie sie richtig um"},"content":{"rendered":"

\"Specops\"Werbung<\/em> \u2013 Wie k\u00f6nnen Organisationen sicherstellen, dass im Active Directory nur starke Passw\u00f6rter verwendet werden? Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) gibt IT-Administratoren mit dem \"IT-Grundschutz\" entsprechende Leitlinien an die Hand, um die Ressourcen einer Institution zu sch\u00fctzen. Specops Software, ein Anbieter von L\u00f6sungen f\u00fcr Passwortmanagement und Authentifizierung, gibt einen \u00dcberblick \u00fcber die Anforderungen des IT-Grundschutz-Kompendiums im Bereich Passw\u00f6rter und stellt Ma\u00dfnahmen und Tools vor, die bei der Umsetzung helfen k\u00f6nnen.<\/p>\n


\n\"Der Zugang zu sch\u00fctzenswerten Ressourcen einer Institution ist auf berechtigte Benutzende und berechtigte IT-Komponenten einzuschr\u00e4nken. Benutzende und IT-Komponenten m\u00fcssen zweifelsfrei identifiziert und authentisiert werden<\/em>.\" – so steht es in der Einleitung des Moduls \"Identit\u00e4ts- und Berechtigungsmanagement\" (ORP.4) des aktuellen IT-Grundschutz-Kompendiums<\/a> (PDF, Ausgabe 2023, abrufbar \u00fcber die Website des BSI).<\/p>\n

Auch wenn passwortlose Verfahren zunehmend verbreitet sind, setzen die meisten Organisationen weiterhin auf die Kombination aus Benutzername bzw. E-Mail-Adresse und Passwort. Passwortsicherheit bleibt somit ein zentraler Bestandteil der IT-Sicherheit. Das BSI fordert daher, je nach Schutzbedarf, den Einsatz starker Passw\u00f6rter zum Schutz von Unternehmensnetzwerken und sensiblen Daten.<\/p>\n

Starke Passw\u00f6rter ohne unn\u00f6tige Komplexit\u00e4t<\/h2>\n

Im Abschnitt ORP.4.A22 zur Passwortqualit\u00e4t werden folgende Anforderungen an Passw\u00f6rter gestellt:<\/p>\n

\"In Abh\u00e4ngigkeit von Einsatzzweck und Schutzbedarf M\u00dcSSEN sichere Passw\u00f6rter geeigneter Qualit\u00e4t gew\u00e4hlt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende in der Lage sind, das Passwort mit vertretbarem Aufwand regelm\u00e4\u00dfig zu verwenden.\"<\/p><\/blockquote>\n

Die L\u00e4nge und Komplexit\u00e4t von Passw\u00f6rtern sind jedoch nicht die einzigen Kriterien f\u00fcr deren Qualit\u00e4t. Passw\u00f6rter, die beispielsweise auf Unternehmens- oder Produktnamen basieren, lassen sich von Angreifern ebenfalls leicht erraten und d\u00fcrfen laut IT\u2011Grundschutzkompendium (ORP.4.A8) nicht verwendet werden. Gleiches gilt f\u00fcr leicht zu erratende Passw\u00f6rter oder solche, die in g\u00e4ngigen Passwortlisten auftauchen.<\/p>\n

\"Specops<\/a>Abbildung 1: Mit Specops Password Policy k\u00f6nnen Sie individuelle Blacklists erstellen, um leicht zu erratende Begriffe zu blockieren, (zum Vergr\u00f6\u00dfern klicken<\/a>)<\/em><\/p>\n

Neben den in Gruppenrichtlinien oder \u00fcber \"Fine Grained Password Policies\" in Active Directory festgelegten Einstellungen zur L\u00e4nge und Komplexit\u00e4t von Passw\u00f6rtern erweitern Tools wie Specops Password Policy<\/a> die M\u00f6glichkeiten, indem sie bei Bedarf \u00fcber Blacklists oder Ausschlusslisten leicht zu erratende Passw\u00f6rter mit Bezug zur Organisation verhindern.<\/p>\n

Gleichzeitig betont das BSI, dass Passw\u00f6rter nicht so komplex sein d\u00fcrfen, dass sie nicht mehr \"mit vertretbarem Aufwand\" genutzt werden k\u00f6nnen (ORP.4.A22). Der Hintergrund: Wenn Nutzer sich zu komplexe Passw\u00f6rter merken m\u00fcssen, greifen sie oft zu unsicheren Strategien, wie das Aufschreiben am Arbeitsplatz oder die Wiederverwendung desselben \"sicheren\" Passworts f\u00fcr mehrere Systeme. Das IT-Grundschutz-Kompendium erlaubt das Aufschreiben nur im Notfall und nur bei sicherer Aufbewahrung (ORP.4.A8).<\/p>\n

Passwortwiederverwendung vermeiden<\/h2>\n

Viele Nutzer untersch\u00e4tzen, dass ein einmal kompromittiertes Passwort bei Mehrfachverwendung den Zugriff auf mehrere Systeme erm\u00f6glicht. Das BSI stellt daher klar:<\/p>\n

\"Passw\u00f6rter D\u00dcRFEN NICHT mehrfach verwendet werden. F\u00fcr jedes IT-System bzw. jede Anwendung MUSS ein eigenst\u00e4ndiges Passwort verwendet werden\" (ORP.4.A8)<\/p><\/blockquote>\n

Zu den bevorzugten Ma\u00dfnahmen z\u00e4hlen Awareness-Trainings sowie Tools wie Passwortmanager, die dabei helfen, Zugangsdaten sicher zu verwalten.<\/p>\n

Kompromittierte Passw\u00f6rter erkennen und ausschlie\u00dfen<\/h2>\n

ORP.4.A8 besagt au\u00dferdem: \"\u2026Passw\u00f6rter, die leicht zu erraten sind oder in g\u00e4ngigen Passwortlisten gef\u00fchrt werden, D\u00dcRFEN NICHT verwendet werden. Passw\u00f6rter M\u00dcSSEN geheim gehalten werden. Sie D\u00dcRFEN NUR den Benutzenden pers\u00f6nlich bekannt sein\u2026\", und A23 fordert: \"\u2026 Es M\u00dcSSEN Ma\u00dfnahmen ergriffen werden, um die Kompromittierung von Passw\u00f6rtern zu erkennen\u2026\".<\/p>\n

Wie l\u00e4sst sich das praktisch umsetzen?<\/h3>\n

Online-Dienste wie haveibeenpwned<\/a> erm\u00f6glichen \u00fcber eine API die Pr\u00fcfung, ob Passw\u00f6rter in bekannten Leak-Listen auftauchen. Auch regelm\u00e4\u00dfige automatische Pr\u00fcfungen im Active Directory helfen dabei, schwache Passw\u00f6rter schnell zu identifizieren.<\/p>\n

G\u00e4ngige L\u00f6sungen wie\u00a0Specops Password Policy<\/a> mit \"Breached Password Protection\" bieten kontinuierliche \u00dcberpr\u00fcfungen<\/a> der Passw\u00f6rter. Dabei werden Passwort-Hashes mit einer umfangreichen, t\u00e4glich aktualisierten Datenbank kompromittierter Passw\u00f6rter abgeglichen. In dieser Datenbank sind inzwischen \u00fcber 6 Milliarden kompromittierte Passw\u00f6rter aus Leak-Listen, Password-Spray-Angriffen auf Honeypot-Systeme sowie durch Infostealer-Malware gestohlene Daten enthalten.<\/p>\n

Wer sich schnell einen \u00dcberblick \u00fcber den Zustand des Active Directory verschaffen m\u00f6chte, kann mit dem kostenlosen Read-Only-Tool Specops Password Auditor<\/a> Passwort-Risiken identifizieren. Dazu geh\u00f6rt auch ein Abgleich mit einer Datenbank von \u00fcber einer Milliarde kompromittierter Passw\u00f6rter.<\/p>\n

\"Scans<\/a>Abbildung 2: Durch regelm\u00e4\u00dfige Scans von kompromittierten Passw\u00f6rtern lassen sich die Risiken durch Passwortwiederverwendung, Infostealer und bereits bekannte Leaks reduzieren (zum Vergr\u00f6\u00dfern klicken<\/a>)<\/em><\/p>\n

Passwortwechsel nach IT-Grundschutz richtig umsetzen<\/h2>\n

Werden kompromittierte Passw\u00f6rter gefunden, m\u00fcssen sie sofort ge\u00e4ndert werden. Das gilt ebenso f\u00fcr Passw\u00f6rter, die unbefugten Personen bekannt geworden sind. Laut ORP.4.A8 gilt das bereits bei einem blo\u00dfen Verdacht.<\/p>\n

Das BSI distanziert sich zudem klar von der fr\u00fcheren Pflicht zu regelm\u00e4\u00dfigen Passwortwechseln:<\/p>\n

\"IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden\"(ORP.4.A23).<\/p><\/blockquote>\n

Nur wenn keine M\u00f6glichkeit zur Erkennung kompromittierter Passw\u00f6rter besteht, ist zu pr\u00fcfen, ob \"die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden k\u00f6nnen.<\/em>\"<\/p>\n

Um Nutzer zur Verwendung l\u00e4ngerer Passw\u00f6rter zu motivieren, empfehlen wir, den Wechselrhythmus flexibel an die Passwortl\u00e4nge zu koppeln. Mit Specops Password Policy<\/a> k\u00f6nnen beispielsweise Passw\u00f6rter mit 15 oder mehr Zeichen mit einer l\u00e4ngeren G\u00fcltigkeitsdauer \u2013 etwa einem j\u00e4hrlichen Wechsel \u2013 belohnt werden. K\u00fcrzere Passw\u00f6rter hingegen sollten entsprechend h\u00e4ufiger ge\u00e4ndert werden.<\/p>\n

\"Einstellm\u00f6glichkeitenAbbildung 3: Konfigurationsoptionen zur Umsetzung l\u00e4ngenbasierter Passwortabl\u00e4ufe in Specops Password Policy<\/em><\/p>\n

Ausrichtung an den BSI-Richtlinien mit Specops<\/h2>\n

Das IT-Grundschutz-Kompendium enth\u00e4lt zahlreiche Anforderungen und Empfehlungen zu Passwortrichtlinien, Drittanbieterl\u00f6sungen und zur Sensibilisierung von Mitarbeitenden im Bereich Cybersicherheit. Die Experten von Specops Software unterst\u00fctzen Sie dabei, konforme Passwortstrategien einfach und effizient in Ihrer Organisation<\/a> umzusetzen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Werbung \u2013 Wie k\u00f6nnen Organisationen sicherstellen, dass im Active Directory nur starke Passw\u00f6rter verwendet werden? Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) gibt IT-Administratoren mit dem \"IT-Grundschutz\" entsprechende Leitlinien an die Hand, um die Ressourcen einer Institution zu sch\u00fctzen. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,426],"tags":[4293,451,4328],"class_list":["post-325931","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-sicherheit","tag-allgemein","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325931","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=325931"}],"version-history":[{"count":8,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325931\/revisions"}],"predecessor-version":[{"id":325941,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325931\/revisions\/325941"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=325931"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=325931"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=325931"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}