Was der BSI-Lagebericht für Verbraucher – und für Unternehmen – wirklich bedeutet
🚨 Aktuelle Lage: Die Cybersicherheit in Deutschland bleibt laut BSI-Lagebericht 2025 „angespannt“. Besonders alarmierend: Die Passwort-Hygiene bröckelt.
📉 Nur noch 44 % der Verbraucher nutzen starke Passwörter (2023: 53 %).
📈 56 % nutzen schwache oder wiederverwendete Passwörter – ein direktes Geschäftsrisiko.
1. Ausgangslage: Die Resilienz-Lücke hinter der Firewall
Der aktuelle Lagebericht zur IT-Sicherheit in Deutschland 2025 beschreibt die Cybersicherheitslage weiterhin als „angespannt“. Entwarnung gibt es ausdrücklich nicht. Spannend ist weniger die reine Bedrohungslage – die bleibt auf hohem Niveau –, sondern eine andere Entwicklung:
Die technische Abwehr wird besser, aber die digitale Resilienz der Bevölkerung bröckelt.
Konkret: Nur noch 44 % der Verbraucher in Deutschland nutzen laut Umfrage im BSI-Lagebericht „starke Passwörter“. 2023 waren es noch 53 % – ein deutlicher Rückgang.
Heißt im Klartext: 56 % der Menschen in Deutschland schützen ihre Online-Konten mit schwachen oder wiederverwendeten Passwörtern. Das ist nicht nur ein Privatproblem, sondern ein unmittelbares Geschäftsrisiko – insbesondere für kleine und mittlere Unternehmen.
Parallel dazu zeigt der Lagebericht: Ransomware und Datenlecks bleiben zentrale Schadensursachen für Wirtschaft und Gesellschaft. Angriffe treffen zunehmend genau die, die am wenigsten vorbereitet sind: KMU, Verwaltungen, Vereine und Privatpersonen.
Die Kombination aus professioneller Cyberkriminalität und schlechter Passwort-Hygiene ist der Kern der „deutschen Passwort-Krise 2025“.
2. Warum schwache Passwörter plötzlich zum Geschäftsrisiko werden
Auf den ersten Blick scheinen Passwörter ein Privatthema zu sein – jeder ist schließlich für seine Logins selbst verantwortlich. In der Praxis funktioniert das nicht mehr.
Drei zentrale Punkte für die Geschäftsführung:
-
🔑
Private Passwörter wandern ins Unternehmen
Mitarbeitende nutzen dieselben oder sehr ähnliche Passwörter für private E-Mail, soziale Netzwerke, Online-Shopping und – kritisch – Firmenzugänge (VPN, Cloud, M365, CRM). -
🔓
Datenlecks wirken wie Generalschlüssel
Werden Zugangsdaten in einem privaten Portal geleakt, testen Angreifer die Kombination aus E-Mail-Adresse und Passwort systematisch auf anderen Portalen – inklusive Unternehmensdiensten. Wiederverwendete Passwörter sind hier das Einfallstor. -
🎯
KMU sind „leichte Beute“
Studien und Lageberichte zeigen seit Jahren: KMU und kleinere Organisationen setzen grundlegende Schutzmaßnahmen oft nicht konsequent um – trotz kostenloser oder sehr günstiger technischer Lösungen.
Organisatorisches & Wirtschaftliches Risiko
Aus privater Nachlässigkeit wird eine direkte Gefahr für das Unternehmen:
- ❌ Betriebsstillstand durch Ransomware
- ❌ DSGVO-Datenpannen durch Kontoübernahmen
- ❌ Reputationsschäden durch missbrauchte Firmenaccounts
- ❌ Mögliche Bußgelder und Haftungsfragen
Passwörter sind 2025 kein reines IT-Thema mehr, sondern ein Chefthema.
3. Die neue Definition des „sicheren Passworts“ – was heute Standard ist
Das BSI hat die Empfehlung für Passwörter klar geschärft: Weg vom ritualisierten 90-Tage-Wechsel, hin zu „Qualität vor Häufigkeit“.
Zwei gültige Wege zu einem starken Passwort
1. Kurz & Komplex
- Mind. 8–12 Zeichen
- Vier Zeichenarten (Groß, Klein, Zahl, Sonderzeichen)
- Beispiel:
X9!pL7&z
2. Lang & Merkbar (Passphrase)
- Mind. 20–25 Zeichen
- Zwei Zeichenarten reichen (z.B. nur Buchstaben)
- Beispiel:
Drei gelbe Busse fahren langsam
Diese längeren Passphrasen sind für Menschen wesentlich leichter zu merken, aber für Angreifer sehr schwer zu knacken.
📡 Sonderfall: WLAN im Unternehmen
Für WLAN-Passwörter (WPA2/WPA3) empfiehlt sich mindestens 20 Zeichen, da hier besonders schnelle Offline-Angriffe möglich sind.
Was klar zu vermeiden ist
- ⛔ Wiederverwendung desselben Passworts
- ⛔ Namen (Partner, Kinder, Haustiere), Geburtstage
- ⛔ Tastaturmuster („qwertz“), einfache Erweiterungen („Passwort1!“)
- ⛔ Umlaute (ä, ö, ü, ß) in international genutzten Accounts
Wesentlich ist: Jeder Zugang braucht ein eigenes, einzigartiges Passwort. Manuell ist das nicht mehr realistisch – genau hier kommt der Passwort-Manager ins Spiel.
4. Passwort-Manager: technisch optimal, psychologisch schwierig
Fachliche Sicht (Best Practice)
Ein Passwort-Manager (PM) generiert für jeden Dienst ein eigenes, langes, zufälliges Passwort. Nutzer merken sich nur noch ein starkes Masterpasswort (idealerweise in Kombination mit 2FA).
Problem in der Praxis
Die Nutzung von Passwort-Managern in der Bevölkerung stagniert im niedrigen zweistelligen Prozentbereich. Hauptgründe: wahrgenommene Komplexität, Misstrauen, fehlende Bekanntheit.
Lösung für Unternehmen
Passwort-Manager lassen sich nicht allein über freiwillige „Wir empfehlen“-Mails einführen. Es braucht:
- ✅ Klare Entscheidung der Geschäftsleitung
- ✅ Standardisierte Einführung (Tool-Auswahl, Onboarding, Support)
- ✅ Vorgaben in Richtlinien (z.B. Nutzungspflicht)
Der technische Best Case ist klar – die Herausforderung liegt in Akzeptanz und Usability.
5. Zwei-Faktor-Authentisierung (2FA) – der Mindeststandard 2025
Ein starkes Passwort allein reicht 2025 nicht mehr.
🛡️ Das BSI empfiehlt ausdrücklich, 2FA immer zu aktivieren, sobald ein Dienst diese anbietet.
Was 2FA leistet: 2FA kombiniert zwei unterschiedliche Faktoren (Wissen: Passwort; Besitz: Smartphone/Token; Biometrie: Fingerabdruck). Angreifer müssen dann mindestens zwei Hürden überwinden.
Sicherheitsranking typischer 2FA-Methoden
Gelten als veraltet und nicht mehr ausreichend sicher.
Besser als keine 2FA, aber angreifbar (SIM-Swap, Malware). Kritisch: Passwort-Eingabe und SMS-Empfang auf demselben kompromittierten Gerät.
Generieren zeitbasierte Einmal-Codes. Unabhängig von SMS, phishingsicherer und robuster. Heute der sinnvolle Standard.
Sehr hoher Schutz, insbesondere gegen Phishing und Man-in-the-Middle-Angriffe.
Für Unternehmen ergibt sich ein klares Bild: Wichtige Konten ohne 2FA sind 2025 nicht mehr vertretbar.
6. Passkeys: vom Reparieren der Nutzer zum Reparieren des Systems
Der BSI-Fokus verschiebt sich: Statt nur das Verhalten der Nutzer zu „reparieren“, rückt eine technische Lösung in den Mittelpunkt – Passkeys.
💡 Kernidee Passkeys
Passkeys basieren auf einem Schlüsselpaar (öffentlicher Schlüssel beim Dienst, privater Schlüssel auf dem Gerät). Die Anmeldung erfolgt z.B. via Fingerabdruck, Gesichtsscan oder GerätepIN.
Vorteile:
- ✅ Keine wiederverwendbaren Passwörter
- ✅ Praktisch phishing-resistent
- ✅ Wesentlich komfortabler für Nutzer
Deutschland geht voran
Das BSI hat einen Community Draft der Technischen Richtlinie TR-03188 „Passkey Server“ veröffentlicht, um Passkeys als Stand der Technik zu etablieren.
Die BSI-Präsidentin betont öffentlich, dass Passkeys als Zukunft der sicheren Authentisierung gesehen werden – einfach und robust zugleich.
Für Unternehmen bedeutet das strategisch: Passkeys sollten in der mittelfristigen Digitalstrategie fest verankert werden. Wo große Plattformen (Google, Microsoft, Apple) Passkeys anbieten, ist die Aktivierung meist nur eine Entscheidungssache.
7. Ein 3-Stufen-Plan für Unternehmen: Vom Problem zur Strategie
Damit aus dem BSI-Lagebericht konkrete Maßnahmen werden, hilft ein klarer Fahrplan. Für Geschäftsführung und Führungskräfte bietet sich ein 3-Stufen-Ansatz an:
Stufe 1: Audit 🔍
Bestandsaufnahme der Passwort-Realität
- ➡️ Überlick über alle Systeme (M365, VPN, ERP, CRM).
- ➡️ Fragen: Wird 2FA genutzt? Gibt es eine Passwort-Richtlinie?
- ➡️ Gibt es einen zentralen Passwort-Manager?
- ➡️ Sensibilisierung & Nutzung von Datenleck-Check-Diensten.
Stufe 2: Härtung 🛡️
Mindeststandard umsetzen
- ➡️ Starke Passwörter (komplex oder lang) definieren.
- ➡️ Verbindlich: kein Passwort-Recycling.
- ➡️ Unternehmensweiten Passwort-Manager einführen (mind. für Admins, HR, Finanzen).
- ➡️ Pflicht zur 2FA für E-Mail, Admin-Zugänge, Finanzen.
- ➡️ 2FA auf sichere Verfahren (App, Token) ausrichten.
Stufe 3: Zukunft 🚀
Roadmap zur passwortlosen Anmeldung
- ➡️ Identifikation von Systemen, die Passkeys unterstützen.
- ➡️ Testphase mit ausgewählten Nutzergruppen.
- ➡️ Integration von Passkeys in IAM/SSO-Strategien.
- ➡️ Passkey-Fähigkeit als Beschaffungskriterium.
8. Datenschutz und DSGVO: Passwort-Sicherheit als Compliance-Baustein
⚖️ Passwortsicherheit ist Pflicht (Art. 32 DSGVO)
Aus Sicht der DSGVO ist die Passwortfrage Teil der Pflichtaufgabe „geeignete technische und organisatorische Maßnahmen“ (TOM) zu treffen.
Schwache Passwörter erhöhen direkt das Risiko von:
- ➡️ Unbefugten Zugriffen auf personenbezogene Daten
- ➡️ Meldepflichtigen Datenschutzverletzungen
- ➡️ Bußgeldern und zivilrechtlicher Haftung
Wer sich an BSI-Empfehlungen (2FA, Passkeys) orientiert, kann seine Rechenschaftspflicht besser erfüllen und gewinnt Argumentationskraft gegenüber Geschäftsführung, Betriebsrat und Belegschaft.
9. Fazit: Die Passwort-Krise ist lösbar – wenn Führung sie zur Chefsache macht
Die Zahlen sind klar: Mehr als die Hälfte der Bevölkerung ist 2025 mit schlechten Passwörtern unterwegs. Parallel dazu verschieben Angreifer ihren Fokus weg von schwer gesicherten Großkonzernen hin zu den „einfachen Zielen“: KMU, Verwaltungen, Vereine und Privatpersonen.
In dieser Konstellation ist Passwort-Sicherheit nicht mehr bloß ein technisches Detail, sondern eine strategische Frage der Unternehmensführung.
Die gute Nachricht
Die Anforderungen sind klar definiert (starke Passwörter, 2FA, Passkeys), die Technik ist ausgereift und der Weg ist in drei Stufen (Audit – Härtung – Zukunft) überschaubar planbar.
Wer heute handelt, reduziert nicht nur das Risiko von Ransomware, Datenlecks und DSGVO-Bußgeldern, sondern stärkt aktiv die digitale Widerstandsfähigkeit des eigenen Unternehmens.
Nächster Schritt: Passwortstrategie professionell aufsetzen
Geschäftsführung und Führungskräfte müssen Passwortsicherheit nicht allein lösen. Ein externer, fachkundiger Blick hilft, den Status quo realistisch einzuschätzen, eine klare Passwort- und 2FA-Strategie zu definieren und Mitarbeitende mit praxisnahen Schulungen mitzunehmen. Wer die eigene Organisation aus der „leichten Beute“ in die Kategorie „harte Nuss“ verschieben möchte, sollte jetzt den Schritt gehen.
JETZT kostenloses Erstgespräch vereinbarenHäufig gestellte Fragen (FAQ)
Warum sind private Passwörter ein Problem für mein Unternehmen?
Mitarbeitende neigen dazu, Passwörter wiederzuverwenden. Wird ein privater Account (z.B. Social Media) gehackt, testen Angreifer dieselbe E-Mail-Passwort-Kombination sofort bei Unternehmensdiensten (wie M365, VPN oder CRM). Ein privates Datenleck wird so zum direkten Einfallstor ins Unternehmen.
Reicht es nicht, wenn wir alle 90 Tage das Passwort ändern?
Nein, das BSI rät von dieser veralteten Praxis ab. Häufige, erzwungene Wechsel führen zu schlechteren Passwörtern (z.B. „Passwort2025!“, „Passwort2026!“). Der Fokus liegt heute auf „Qualität vor Häufigkeit“: Ein sehr starkes Passwort (oder eine Passphrase), das einzigartig ist und nur bei einem Kompromissverdacht geändert wird, ist sicherer.
Was ist 2FA und warum ist SMS-TAN (mTAN) nicht mehr ideal?
2FA (Zwei-Faktor-Authentisierung) kombiniert Ihr Passwort (Faktor „Wissen“) mit einem zweiten Faktor, meist „Besitz“ (z.B. Ihr Smartphone).
SMS-TAN ist zwar besser als keine 2FA, aber angreifbar. Angreifer können durch „SIM-Swapping“ (Übernahme Ihrer Handynummer) oder Malware auf dem Smartphone die SMS abfangen. Sicherer sind Authenticator-Apps (zeitbasierte Codes) oder Hardware-Token (FIDO/Passkeys), da diese nicht an Ihre Telefonnummer gebunden sind.
Was sind Passkeys und ersetzen sie bald alle Passwörter?
Passkeys sind der technische Nachfolger des Passworts. Statt sich ein Passwort zu merken, authentifizieren Sie sich direkt über Ihr Gerät (z.B. per Fingerabdruck oder Gesichtsscan auf dem Smartphone).
Sie sind phishing-resistent und sehr komfortabel. Kurzfristig werden sie Passwörter nicht komplett ersetzen, aber mittelfristig (Stufe 3 der Strategie) werden sie der Standard für sichere Logins, insbesondere bei großen Plattformen (Microsoft, Google, Apple).
