Sicherheit

Passwort-Policy allein reicht nicht.

Acht Zeichen, Großbuchstabe, Sonderzeichen — und trotzdem sind Zugänge das schwächste Glied. Was in KMU wirklich hilft.

· Benjamin Raulf, BR-Systems

Fast jeder Betrieb hat eine Passwort-Richtlinie. Mindestlänge, Komplexität, regelmäßiger Wechsel — steht irgendwo in der IT-Richtlinie oder wurde mal im Intranet veröffentlicht. Und trotzdem sehen wir bei Sicherheits-Checks dieselben Lücken: Admin-Konten im Alltag, MFA nur für einzelne Personen, ehemalige Mitarbeitende mit aktivem Zugang.

Passwörter sind ein Baustein. Aber wer nur die Policy verschärft, ohne den Rest anzufassen, verschiebt das Problem — nicht löst es.

Multi-Faktor-Authentifizierung — für alle, nicht nur für die IT

Was wir häufig sehen: MFA ist für den Geschäftsführer und den IT-Verantwortlichen aktiv. Alle anderen arbeiten mit Passwort allein. Ein kompromittiertes Postfach reicht dann für einen Angriff über Phishing oder Passwort-Reuse.

In der Praxis starten wir mit Microsoft Authenticator oder vergleichbaren Apps — nicht mit SMS, das ist angreifbarer. Bei Microsoft 365 lässt sich MFA schrittweise ausrollen: zuerst Admins, dann Führungskräfte, dann der Rest. Conditional Access (bedingter Zugriff) erlaubt feinere Regeln: MFA nur von außerhalb des Büros, blockierte Anmeldungen aus bestimmten Ländern, kein Zugriff von nicht verwalteten Geräten.

Admin-Konten getrennt halten

Der Geschäftsführer nutzt sein normales Konto max.mustermann@firma.de — und ist gleichzeitig Global Admin in Microsoft 365. Er öffnet damit E-Mails, klickt Links, installiert Add-ins. Ein Fehler, und der Angreifer hat Vollzugriff auf die gesamte Umgebung.

Die Regel ist einfach: Admin-Konten nur für Admin-Aufgaben. Kein Outlook, kein Surfen, kein Teams-Chat. Ein separates Konto admin.mustermann@firma.de oder admin.mustermann@firma.onmicrosoft.com — nur für das Admin Center, nur von einem gesicherten Gerät. Klingt umständlich, verhindert aber den häufigsten Angriffsweg.

Offboarding ernst nehmen

Ein Mitarbeiter verlässt das Unternehmen. HR weiß Bescheid, der Arbeitsvertrag endet — aber der IT-Zugang? Der wird „irgendwann diese Woche“ deaktiviert. Oder das Konto bleibt aktiv, weil „da noch was auf dem Rechner liegt“.

Ein sauberes Offboarding gehört zum ersten Arbeitstag-Setup dazu: Checkliste mit allen Systemen, an denen der Nutzer beteiligt war. Am letzten Tag: Konto deaktivieren, nicht löschen (für Nachvollziehbarkeit), Lizenzen umhängen, Gerät aus der Verwaltung nehmen, Zugriffe auf Shared Resources entziehen. Das dauert 15 Minuten — wenn die Dokumentation stimmt.

Passwort-Manager statt Zettel und Wiederholung

Menschen verwenden dasselbe Passwort an mehreren Stellen. Das ist kein Charakterfehler, sondern Alltag. Ein Passwort-Manager — ob integriert in den Browser, als Business-Lösung oder über Microsoft — löst das, ohne unrealistische Komplexitätsanforderungen.

Wichtig: Der Manager muss im Team akzeptiert werden. Ein Tool, das niemand nutzt, bringt nichts. Schulen Sie kurz, zeigen Sie den Alltagsnutzen, und setzen Sie den Manager für gemeinsame Zugänge (Router, Drucker, SaaS-Tools) als Standard.

Conditional Access als nächster Schritt

Wer Microsoft 365 Business Premium oder vergleichbare Lizenzen hat, kann Conditional Access nutzen. Damit definieren Sie Regeln wie: „Anmeldung von außerhalb Deutschlands blockieren“ oder „MFA erzwingen, wenn das Gerät nicht im Intune-Verwaltung ist“. Das ist kein Hexenwerk — aber es braucht jemanden, der die Regeln versteht und testet, bevor sie produktiv gehen.

Unsere Checkliste IT-Sicherheit für KMU — 15 Praxispunkte hilft beim ersten Abgleich. Ausführlicher gehen wir das Thema Zugänge und Identitäten auf der Seite IT-Sicherheit durch.

Zugangssicherheit ist kein einmaliges Projekt. Sie braucht klare Regeln, die Technik dahinter und den Willen, sie im Alltag durchzuziehen — besonders beim Personalwechsel.

← Alle Blog-Beiträge