Einleitung
„admin“ und „12345“ — das sind laut aktueller Auswertungen die beiden beliebtesten Passwörter in deutschen Unternehmen. Wer sich das vergegenwärtigt, versteht, warum das Bundesamt für Sicherheit in der Informationstechnik (BSI) im IT-Grundschutz-Kompendium klare Anforderungen an Passwortrichtlinien stellt. Doch viele Active-Directory-Umgebungen hängen noch an Einstellungen aus den frühen 2000er-Jahren: Passwörter, die alle 90 Tage ablaufen, erzwungene Sonderzeichen, Historienlängen von 3 — und trotzdem kaum echte Sicherheit.
Dieser Artikel erklärt, was das BSI heute tatsächlich fordert, warum sich das Denken über Passwortsicherheit grundlegend verändert hat, und wie Sie eine domänenweite Richtlinie aufbauen, die dem aktuellen Stand entspricht.
1. Warum alte Passwortregeln oft mehr schaden als nützen
Jahrzehntelang galten drei Regeln als unumstößlich: kurze Ablauffristen, erzwungene Komplexität, regelmäßiger Wechsel. Die Logik dahinter klingt plausibel. In der Praxis führt sie jedoch zu vorhersehbaren Mustern.
Das Problem mit erzwungener Komplexität: Wenn ein System vorschreibt, dass ein Passwort Großbuchstaben, Ziffern und Sonderzeichen enthalten muss, entstehen Passwörter wie „Sommer2024!“. Es erfüllt jede Komplexitätsregel — und steht trotzdem in jeder öffentlichen Passwortliste. Angreifer kennen diese Muster und integrieren sie in ihre Angriffswerkzeuge.
Das Problem mit erzwungenen Ablauffristen: Wer sein Passwort alle 90 Tage wechseln muss, wählt typischerweise Variationen des alten: „Herbst2024!“ folgt auf „Sommer2024!“. Die effektive Sicherheit sinkt, obwohl formal ein Wechsel stattfand.
2. Was das BSI heute konkret fordert
Das BSI formuliert seine Anforderungen an Passwörter im IT-Grundschutz-Kompendium unter dem Baustein ORP.4 „Identitäts- und Berechtigungsmanagement“. Drei Anforderungen sind für die domänenweite Richtlinie zentral:
ORP.4.A22 — Passwortqualität
Das Passwort muss so komplex sein, dass es nicht leicht zu erraten ist — darf aber nicht so kompliziert sein, dass Nutzende es nicht mehr mit vertretbarem Aufwand verwenden können. Das BSI beschreibt zwei gleichwertige Wege:
Ansatz | Anforderung | Typisches Beispiel |
|---|---|---|
Kurz & komplex | Mindestens 8 Zeichen, alle 4 Zeichenarten (Groß, Klein, Ziffern, Sonderzeichen) | J7!kPm2X |
Lang & weniger komplex | Mindestens 25 Zeichen, 2 Zeichenarten — z. B. eine Passphrase | Blauer Hund rennt schnell über Wiesen |
Mit MFA | Mindestens 8 Zeichen, 3 Zeichenarten, wenn ein zweiter Faktor aktiv ist | Blue42!dog |
Passwörter, die in öffentlichen Leak-Listen geführt werden oder auf Unternehmens- und Produktnamen basieren, dürfen gemäß ORP.4.A8 nicht verwendet werden.
ORP.4.A23 — Passwortwechsel nur bei konkretem Anlass
IT-Systeme und Anwendungen sollten NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel sollten vermieden werden. Das bedeutet in der Praxis: kein maximales Kennwortalter, dafür aber eine funktionierende Erkennung kompromittierter Kennwörter. Ist diese Erkennung nicht möglich, erlaubt das BSI als Kompromiss einen zeitgesteuerten Wechsel — aber ausdrücklich nur dann.
ORP.4.A8 — Passwortgebrauch
Jedes Konto muss ein einzigartiges Passwort haben. Passwörter dürfen nicht im Klartext oder mit umkehrbarer Verschlüsselung gespeichert werden. Die Weitergabe an andere Personen — auch an eine Urlaubsvertretung — ist ausdrücklich untersagt. Passwort-Manager werden als Merkhilfe empfohlen.
Paradigmenwechsel: Länge statt Rotation
Die neue BSI-Philosophie lässt sich in einem Satz zusammenfassen: Die Länge eines Passworts ist der wichtigste Sicherheitsfaktor, nicht seine Komplexität oder sein Ablaufdatum.
Das hat konkrete Konsequenzen für die Kommunikation mit Nutzenden. Statt kurzer, schwer merkbarer Zeichenfolgen wie „X7!kPm2W“ sollte die Richtlinie lange Passphrasen fördern: „Blauer Hund rennt schnell über die Wiesen“ ist deutlich sicherer, leichter zu merken und erfüllt die BSI-Anforderungen für das Langpasswort-Modell (25+ Zeichen, 2 Zeichenarten).
3. Die zwei Instrumente in Active Directory
Active Directory bietet zwei sich ergänzende Werkzeuge, um abgestufte Passwortanforderungen je nach Kontotyp durchzusetzen.
Default Domain Policy — die Basis für alle Konten
Die domänenweite Passwortrichtlinie gilt für alle Nutzerkonten, die keine spezifischere Richtlinie erhalten. Sie wird in der Default Domain Policy unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie konfiguriert.
Fine-Grained Password Policies — schärfere Regeln für privilegierte Konten
Fein abgestimmte Kennwortrichtlinien (FGPP) ermöglichen es, für bestimmte Gruppen — etwa Domänen-Admins oder Service-Konten — strengere Anforderungen zu definieren. Sie werden im Active Directory-Verwaltungscenter unter Domäne > System > Kennworteinstellungscontainer erstellt und direkt auf Benutzerobjekte oder globale Sicherheitsgruppen angewendet.
Das Rangfolge-Prinzip entscheidet bei Konflikten: Ein niedrigerer Wert bedeutet höhere Priorität. Für Domain-Admins empfiehlt sich daher eine Richtlinie mit Rangfolge 1 und strengeren Längenanforderungen von mindestens 15 Zeichen.
4. Empfohlene Konfiguration nach aktuellem BSI-Standard
Die folgende Tabelle zeigt eine praxisnahe Konfiguration, die die BSI-Anforderungen aus ORP.4 erfüllt und gleichzeitig in realen Unternehmensumgebungen umsetzbar ist.
| Einstellung | Standardnutzer | Privilegierte Konten (FGPP) |
|---|---|---|
| Minimale Länge | 12 Zeichen | 15–20 Zeichen |
| Komplexität | Aktiviert | Aktiviert |
| Kennwortchronik | 12 Passwörter | 24 Passwörter |
| Maximales Alter | 0 (kein Ablauf) bei aktivierter Breach-Erkennung, sonst 365 Tage | 0 (kein Ablauf) + MFA-Pflicht |
| Minimales Alter | 0 Tag | 0 Tage |
| Umkehrbare Verschlüsselung | Deaktiviert | Deaktiviert |
5. Was die Richtlinien & das Active Directory allein nicht leisten kann
Active Directory bietet native Einstellungen für Länge, Komplexität, Chronik und Sperrschwellen. Zwei Lücken lassen sich damit jedoch nicht schließen:
- Bekannte kompromittierte Passwörter sperren: GPO und FGPP prüfen nicht, ob ein Passwort in öffentlichen Leak-Listen geführt wird. Nur Lösungen wie Microsoft Entra Password Protection (auch für lokales AD verfügbar) oder vergleichbare Drittanbieter-Tools schließen diese Lücke — und sind laut BSI ORP.4.A23 die Voraussetzung dafür, auf zeitgesteuerte Wechsel verzichten zu dürfen.
- Organisationsspezifische Begriffe ausschließen: Passwörter, die auf dem Unternehmensnamen, dem Produktportfolio oder gängigen internen Abkürzungen basieren, sind laut ORP.4.A8 verboten — technisch erzwingen lässt sich das nur über erweiterte Richtlinienwerkzeuge mit konfigurierbaren Blocklisten.
Wer diese Anforderungen vollständig umsetzen möchte, muss über die Bordmittel von Active Directory hinausgehen.
6. Passwortrichtlinien als Teil einer umfassenderen Sicherheitsstrategie
Passwortrichtlinien sind keine isolierte Maßnahme. Das BSI bettet sie im Baustein ORP.4 in ein Gesamtbild des Identitäts- und Berechtigungsmanagements ein. Folgende Aspekte gehören dazu:
- Mehr-Faktor-Authentifizierung (MFA): Wo möglich, sollte MFA die Passwortlänge ergänzen. Das BSI erlaubt bei aktivem zweitem Faktor ausdrücklich kürzere Passwörter (8 Zeichen, 3 Zeichenarten).
- Privilegierte Identitäten separat absichern: Administratoren brauchen eine eigene FGPP mit strengeren Anforderungen und dedizierte Admin-Konten, die nicht für den Tagesgeschäftsbetrieb genutzt werden.
- Regelmäßige Überprüfung: Richtlinien veralten. Das BSI empfiehlt, Passwortrichtlinien in angemessenen Abständen zu überprüfen und an neue Bedrohungslagen anzupassen.
- Sensibilisierung der Nutzenden: Technische Vorgaben können nur dann wirken, wenn Nutzende verstehen, warum sie existieren. ORP.3 (Sensibilisierung und Schulung) ist kein Anhang — er ist Voraussetzung dafür, dass Richtlinien nicht durch Umgehungsstrategien ausgehöhlt werden.
Weiterführende Quellen
- BSI IT-Grundschutz ORP.4 — bsi.bund.de/grundschutz
- BSI: Sichere Passwörter erstellen — bsi.bund.de/dok/6596574
- Microsoft: Entra Password Protection — learn.microsoft.com