Der „Ändere-dein-Passwort-Tag“ am 1. Februar ist ein guter Anlass, um mit einem weit verbreiteten Mythos aufzuräumen: Passwörter müssen nicht ständig geändert werden – sie müssen vor allem gut sein.
Die Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist klar: Lange, komplexe Passwörter oder Passphrasen, die nicht regelmäßig gewechselt werden, sind sicherer als kurze Kennwörter mit erzwungenem Monats- oder Quartalswechsel. Häufige Passwortänderungen führen in der Praxis oft dazu, dass Passwörter vereinfacht, wiederverwendet oder notiert werden – und genau das schwächt die Sicherheit. Gerade in kommunalen Verwaltungen, wo täglich mit hochsensiblen Daten gearbeitet wird – vom Melderegister über Sozialakten bis hin zu Finanzdaten – ist ein modernes Passwortkonzept entscheidend. Ein kompromittiertes Benutzerkonto kann hier schnell mehr als nur einen einzelnen Arbeitsplatz betreffen, sondern ganze Fachbereiche lahmlegen.
Die bessere Strategie: Ein starkes Passwort (idealerweise eine leicht merkbare, aber lange Passphrase) kombiniert mit einer Zwei-Faktor-Authentifizierung. Selbst wenn ein Passwort in falsche Hände gerät, bleibt der Zugriff ohne den zweiten Faktor versperrt. Damit wird aus einem einfachen Login eine echte Sicherheitsbarriere. Der Aktionstag sollte daher nicht nur zum Passwortwechsel motivieren, sondern vor allem dazu, bestehende Passwortrichtlinien kritisch zu prüfen: Sind Passwörter lang und einzigartig genug? Werden moderne Empfehlungen des BSI umgesetzt? Ist Zwei-Faktor-Authentifizierung dort aktiviert, wo sensible Daten verarbeitet werden?
Kurz gesagt: Mehr Sicherheit durch kluge Regeln, nicht durch blinden Aktionismus.