Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 15. April 2026 eine umfassende Neufassung seiner Empfehlungen zur digitalen Authentifizierung. Die Behörde reagierte damit auf die steigende Rechenleistung spezialisierter Hardware, die herkömmliche Sicherheitsmechanismen zunehmend unwirksam macht. In der Einleitung stellt das Dokument die grundlegende Frage Was Sind Zeichen Beim Passwort und definiert diese als Kombinationen aus dem ISO-8859-1-Standard, um eine maximale Entropie zu gewährleisten.
Die neuen Richtlinien markieren eine Abkehr von der bisherigen Praxis, die Nutzer zu häufigen Wechseln ihrer Zugangsdaten zwang. Experten der Behörde stellten fest, dass regelmäßige erzwungene Änderungen oft zu schwächeren Mustern führten. Stattdessen setzt das BSI nun auf eine Mindestlänge von 12 bis 16 Stellen, wobei die Komplexität gegenüber der Gesamtlänge in den Hintergrund tritt.
Technische Definition und Was Sind Zeichen Beim Passwort
In den technischen Spezifikationen erläutert die Bonner Behörde detailliert die Kategorien der zulässigen Eingaben. Die Frage Was Sind Zeichen Beim Passwort umfasst demnach Groß- und Kleinbuchstaben, Ziffern sowie eine breite Palette an Sonderzeichen wie Satzzeichen und mathematische Symbole. Laut BSI-Präsidentin Claudia Plattner erhöht die Einbeziehung des gesamten verfügbaren Zeichensatzes die Anzahl der möglichen Kombinationen exponentiell.
Die Behörde unterscheidet dabei zwischen der theoretischen Sicherheit und der praktischen Umsetzbarkeit für den Endanwender. Ein Passwort, das lediglich aus Kleinbuchstaben besteht, erfordert laut einer Analyse der Hasso-Plattner-Institut (HPI) eine deutlich größere Länge, um den gleichen Schutz wie eine gemischte Zeichenfolge zu bieten. Das HPI betreibt eine Datenbank für gestohlene Identitäten und warnt vor der Verwendung von Begriffen, die in Wörterbüchern vorkommen.
Mathematische Entropie und Zeichensätze
Die Sicherheit einer Zeichenfolge bemisst sich an ihrer Entropie, einem Maß für die Unvorhersehbarkeit der gewählten Kombination. Ein Passwort mit 12 Stellen, das aus einem Pool von 95 möglichen Werten schöpft, bietet laut mathematischen Modellen des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) einen Schutzraum, der mit aktueller Hardware kaum in realistischer Zeit zu knacken ist.
Das Fraunhofer SIT betont, dass die reine Anzahl der Stellen wichtiger ist als die Komplexität der gewählten Symbole. Dennoch raten die Wissenschaftler dazu, Leerzeichen oder Sonderzeichen einzubauen, um automatisierte Wörterbuchangriffe zu erschweren. Diese Methode zielt darauf ab, die Vorhersagbarkeit für Algorithmen zu minimieren, die auf linguistischen Mustern basieren.
Die Rolle von Passwort-Managern in der Infrastruktur
Angesichts der steigenden Anforderungen an die Komplexität empfiehlt das BSI verstärkt den Einsatz von Verwaltungssoftware. Solche Programme generieren zufällige Zeichenfolgen, die den hohen Sicherheitsstandards genügen und für den Menschen nicht mehr merkbar sein müssen. Diese Entwicklung entlastet den Anwender von der Notwendigkeit, sich dutzende verschiedene Kombinationen einzuprägen.
Kritiker dieser zentralisierten Speicherung weisen jedoch auf das Risiko eines „Single Point of Failure“ hin. Falls die Master-Datenbank eines solchen Dienstes kompromittiert wird, erhielten Angreifer potenziell Zugriff auf sämtliche hinterlegten Konten. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt daher, den Zugang zum Passwort-Manager zwingend mit einer Multi-Faktor-Authentifizierung (MFA) abzusichern.
Kritik an starren Komplexitätsregeln durch Sicherheitsforscher
Nicht alle Experten teilen die Ansicht, dass komplizierte Zeichensätze der beste Weg zu mehr Sicherheit sind. Der Sicherheitsforscher Bill Burr, der einst die strengen Passwort-Regeln für das US-amerikanische National Institute of Standards and Technology (NIST) verfasste, drückte später Bedauern über diese Empfehlungen aus. Er argumentierte, dass Nutzer bei zu hohen Hürden dazu neigen, einfache Eselsbrücken wie „P@ssword1“ zu verwenden, die leicht zu erraten sind.
Moderne Angriffsvektoren nutzen heute primär Social Engineering oder Phishing, anstatt Passwörter durch rohe Gewalt zu errechnen. Die European Union Agency for Cybersecurity (ENISA) berichtete in ihrem jährlichen Threat Landscape Report, dass gestohlene Zugangsdaten oft über manipulierte Webseiten oder gefälschte E-Mails abfließen. In diesen Fällen spielt die Stärke der ursprünglichen Kombination keine Rolle für den Erfolg des Angriffs.
Alternative Authentifizierungsverfahren und Biometrie
Als Reaktion auf die Schwächen textbasierter Systeme forcieren Technologieunternehmen wie Google, Apple und Microsoft den Einsatz von Passkeys. Diese Technologie basiert auf dem FIDO2-Standard und ersetzt das herkömmliche Passwort durch eine kryptografische Signatur. Der Zugriff erfolgt über biometrische Merkmale wie den Fingerabdruck oder die Gesichtserkennung des Nutzers auf einem lokalen Gerät.
Die FIDO Alliance erklärte in einer Pressemitteilung, dass Passkeys gegen Phishing-Angriffe immun seien, da der private Schlüssel das Gerät niemals verlässt. Dennoch bleibt die Akzeptanz bei älteren Systemen und kleineren Webseitenbetreibern eine Herausforderung. Viele Plattformen unterstützen den neuen Standard noch nicht und verlassen sich weiterhin auf die klassische Eingabe von Zeichenfolgen.
Regulatorische Anforderungen in der Europäischen Union
Die Einführung der NIS-2-Richtlinie verpflichtet Unternehmen in der EU zu strengeren Sicherheitsmaßnahmen für ihre IT-Infrastruktur. Dazu gehört auch die Implementierung robuster Identitäts- und Zugriffsmanagementsysteme. Unternehmen müssen nachweisen, dass sie angemessene technische Maßnahmen ergreifen, um unbefugten Zugriff auf sensible Daten zu verhindern.
Ein Verstoß gegen diese Richtlinien kann laut dem Text der Verordnung empfindliche Bußgelder nach sich ziehen, die sich am weltweiten Jahresumsatz orientieren. Diese rechtliche Lage zwingt IT-Abteilungen dazu, die internen Richtlinien für die Erstellung von Zugangsdaten grundlegend zu überarbeiten. Die IT-Sicherheitsbeauftragten müssen sicherstellen, dass die verwendeten Systeme die geforderte Zeichenvielfalt technisch überhaupt verarbeiten können.
Technologische Hürden bei der Implementierung
Ein oft übersehenes Problem ist die Kompatibilität älterer Datenbanken mit modernen Zeichensätzen. Manche Systeme können bestimmte Symbole oder längere Zeichenketten nicht korrekt speichern, was zu Fehlern beim Login führt. Systemadministratoren stehen vor der Aufgabe, diese Legacy-Systeme zu aktualisieren, ohne den laufenden Betrieb zu gefährden.
Darüber hinaus gibt es länderspezifische Unterschiede bei der Tastaturbelegung, die bei internationalen Diensten zu Problemen führen können. Ein Sonderzeichen, das auf einer deutschen Tastatur leicht erreichbar ist, kann auf einem US-Layout an einer anderen Stelle liegen oder gänzlich fehlen. Das National Institute of Standards and Technology (NIST) rät Entwicklern daher, bei der Validierung von Eingaben so flexibel wie möglich zu sein.
In den kommenden Monaten wird das BSI weitere technische Richtlinien veröffentlichen, die sich speziell mit der Absicherung von Cloud-Diensten befassen. Ein besonderer Schwerpunkt liegt dabei auf der Integration von MFA in kleinen und mittleren Unternehmen. Ob sich die neuen Empfehlungen in der Breite durchsetzen, hängt maßgeblich davon ab, wie einfach die Software-Hersteller die Umsetzung für ihre Endkunden gestalten.
