Passwort-Sicherheit: Was Unternehmen 2026 wissen müssen
Zuletzt aktualisiert: März 2026 · Lesezeit: 6 Minuten
„123456" ist immer noch das häufigste Passwort in Deutschland. Gleichzeitig werden jährlich Milliarden von Zugangsdaten bei Datenlecks kompromittiert. Passwort-Sicherheit ist kein IT-Randthema — es ist Unternehmensschutz.
Warum Passwörter das größte Risiko sind
Credential Stuffing. Angreifer nutzen geleakte Passwörter aus Datenlecks und probieren sie auf anderen Diensten. Wer dasselbe Passwort mehrfach verwendet, ist bei jedem Leak betroffen.
Brute Force. Kurze oder einfache Passwörter werden in Sekunden geknackt. Moderne Hardware testet Milliarden Kombinationen pro Sekunde.
Phishing. Gefälschte Login-Seiten fangen Passwörter ab. Kein noch so starkes Passwort schützt, wenn es an der falschen Stelle eingegeben wird.
Wirksame Schutzmaßnahmen
Passwort-Manager. Tools wie Bitwarden, 1Password oder KeePass generieren und speichern einzigartige Passwörter für jeden Dienst. Das Team braucht sich nur ein Master-Passwort zu merken.
Multi-Faktor-Authentifizierung (MFA). Ein zweiter Faktor — Authenticator-App, Hardware-Key oder SMS — macht gestohlene Passwörter wertlos. MFA ist die wirksamste einzelne Schutzmaßnahme.
Passwort-Richtlinien. Mindestens 12 Zeichen, keine gängigen Wörter, keine Wiederverwendung. Regelmäßiges Ändern ist weniger wichtig als Einzigartigkeit und Länge.
Leak-Prüfung. Dienste wie „Have I Been Pwned" prüfen, ob eure E-Mail-Adressen in bekannten Datenlecks auftauchen. Drupal kann per Modul gegen Leak-Datenbanken prüfen.
Passwort-Sicherheit in Drupal
Drupal speichert Passwörter als gesalzene Hashes — selbst bei einem Datenbank-Zugriff sind die Passwörter nicht im Klartext lesbar. Darüber hinaus bietet Drupal Module für:
Passwort-Richtlinien (Password Policy), Zwei-Faktor- Authentifizierung (TFA), Login-Versuche begrenzen (Flood Control) und Session-Management mit automatischem Logout.
Sicherheit eurer Plattform prüfen?
arocom prüft die Sicherheitskonfiguration als Teil des Zukunfts-Checks. Schwachstellen werden identifiziert und priorisiert. Ab 2.500 EUR zzgl. MwSt., anrechenbar auf das Folgeprojekt.
Wie oft sollten Passwörter geändert werden?
Aktuelle Empfehlungen (BSI, NIST) raten von regelmäßigem Passwortwechsel ab, wenn starke, einzigartige Passwörter und MFA verwendet werden. Ändern ist nötig nach einem bekannten Sicherheitsvorfall.
Ist SMS als zweiter Faktor sicher?
SMS ist besser als kein zweiter Faktor, aber anfällig für SIM-Swapping. Authenticator-Apps (Google Authenticator, Authy) oder Hardware-Keys (YubiKey) sind sicherer.
Kann Drupal Zwei-Faktor-Authentifizierung?
Ja. Das TFA-Modul (Two-Factor Authentication) integriert TOTP-basierte Authenticator-Apps und andere zweite Faktoren. arocom konfiguriert MFA als Standard für Admin- und Redakteurs-Zugänge.
Weiterlesen
- SSO-Integration — Single Sign-On für Drupal
- DSGVO und Drupal — Datenschutz in der Praxis
- HTTPS-Migration — Verschlüsselung einrichten
Entdeckt einen zufälligen Artikel
Wie steht es um Entwicklung & Business auf eurer Website? Der Zukunfts-Check zeigt in 2–4 Wochen, wo die größten Hebel liegen.
CMS-Vergleich 2025
Drupal vs. WordPress vs. TYPO3: Ein objektiver Vergleich für Enterprise-Projekte.
Kopiert diesen Prompt und fügt ihn in ChatGPT, Claude oder eine andere KI ein — ihr bekommt einen persönlichen Lernplan zu „Passwort-Sicherheit: Was Unternehmen wissen müssen“.
Du bist ein erfahrener Coach für Entwicklung & Business. Ich möchte das Thema "Passwort-Sicherheit: Was Unternehmen wiss...War dieser Artikel hilfreich?