Ein technischer Nachruf mit strategischem Blick
Einleitung: Mein Beileid – und mein Verständnis
Passwörter sind wie alte Glühbirnen: Sie funktionieren – bis sie plötzlich explodieren und den Sicherungskasten mitreißen. Ich erinnere mich noch gut an meinen ersten Passwortverlust.
Damals hatte ich keinen Bart, aber schon eine Sicherheitslücke. Mein Passwort lautete „start123“. Clever, dachte ich. Leicht zu merken, dachte ich. Und wie sich später herausstellte – auch leicht zu knacken.
Seitdem hat sich vieles verändert: Die Welt, die Angriffsvektoren, die Tools. Nur das Passwort – das lebt irgendwie weiter. Wie ein Zombie, der nicht weiß, dass seine Zeit längst vorbei ist.
Heute schreibe ich seinen Nachruf. Nicht aus Nostalgie, sondern weil es höchste Zeit ist, diesen digitalen Irrweg zu beenden. Für unsere Sicherheit. Für unsere Nerven. Und für unsere Nutzer.
Der lange Weg in die Bedeutungslosigkeit
Passwörter wurden in den 1960er Jahren erfunden. Damals, als Computer noch ganze Räume einnahmen und „Cybersecurity“ bedeutete, dass man den Raum abschließt.
Heute bewegen wir uns in einer Welt aus Phishing-as-a-Service, MFA-Bombing, Credential-Stuffing und automatisierten Angriffen in Millisekunden-Taktung.
Und trotzdem hängen Millionen Nutzer – und leider auch Unternehmen – noch immer an alphanumerischen Zeichenfolgen, die wahlweise auf Post-its kleben, im Browser gespeichert sind oder im Klartext in Excel-Dateien lagern. Willkommen im 21. Jahrhundert.
Das Problem mit Passwörtern: eine toxische Beziehung
Was macht Passwörter eigentlich so gefährlich?
- Sie sind geteiltes Wissen: Sobald es gespeichert, übertragen oder wiederverwendet wird, ist es angreifbar.
- Menschen sind das schwächste Glied: Wir wählen schlechte Passwörter, wiederholen sie, vergessen sie – und wir lassen uns phishen.
- Sie skalieren nicht: In einer vernetzten Welt mit dutzenden Systemen pro Nutzer wird das Passwort zur organisatorischen Belastung.
- Sie sind reaktiv statt proaktiv: Passwörter können gestohlen, geleakt oder erraten werden – oft ohne dass es jemand merkt.
Passwörter geben uns das Gefühl von Kontrolle. Doch Kontrolle ist nicht gleich Sicherheit.
Das ist wie beim Autoschlüssel: Nur weil er in deiner Tasche ist, heißt das nicht, dass das Auto sicher ist – wenn du den Schlüssel jedem gibst, der danach fragt.
Die Alternativen: Die neue Sicherheitselite
Zum Glück gibt es inzwischen eine ganze Reihe von Alternativen, die nicht nur sicherer sind, sondern auch benutzerfreundlicher. Hier die wichtigsten:
1. Passkeys (FIDO2/WebAuthn)
Die Hoffnung der Sicherheitsbranche. Passkeys ersetzen das Passwort durch ein Schlüsselpaar – du authentifizierst dich mit deinem Fingerabdruck, Gesicht oder Gerät. Kein Shared Secret, kein Phishing.
2. Biometrie
Finger, Gesicht, Iris oder Stimme – Biometrie ist bequem und schnell. Wenn sie lokal verarbeitet wird (nicht in der Cloud), ist sie auch sicher. Aber: biometrische Merkmale kann man nicht ändern. Bei einem Leak ist Schluss mit lustig.
3. Hardware-Token (z. B. YubiKey)
Physische Sicherheit in USB-Form. Kein Passwort, keine Phishing-Chance, keine Cloud. Nur: Wer seinen Schlüssel verliert, braucht Backup – oder starke Nerven.
4. Single Sign-On (SSO) & Identity Federation
Ein Login für viele Systeme. Besonders in Unternehmen relevant: Kontrolle, Auditierbarkeit und zentrale Sicherheitsrichtlinien. Solange das Hauptkonto sicher ist, funktioniert das System gut.
5. Device-bound Identity
Dein Gerät wird zur Identität. Besonders sinnvoll in Unternehmen mit Mobile Device Management: Wer kein vertrauenswürdiges Gerät hat, kommt nicht rein. Punkt.
6. Continuous Authentication
Statt einmal einloggen und dann ewig offen bleiben, wird ständig geprüft: Verhalten, Standort, Gerät, Netzwerk. Wenn etwas seltsam wirkt, wird der Zugang gesperrt oder erneut geprüft.
7. Smartcards & eID-Lösungen
Gerade im Behördenumfeld etabliert: Chipkarten mit kryptografischer Authentifizierung. Sehr sicher, aber auch wartungsintensiv.
8. Self-Sovereign Identity (SSI)
Noch nicht im Mainstream, aber vielversprechend: Digitale Identitäten auf Blockchain-Basis, vollständig unter Nutzerkontrolle. Kein zentraler Speicher, keine zentralen Leaks.
Governance sagt: Genug ist genug
Sicherheitsorganisationen weltweit sind sich einig: Das Passwort ist kein tragfähiges Sicherheitskonzept mehr.
- NIST (USA) rät längst von regelmäßigem Passwortwechsel ab – es sei denn, es liegt ein konkreter Verdacht auf Kompromittierung vor.
- BSI (Deutschland) empfiehlt passwortlose Verfahren wie FIDO2 oder Zwei-Faktor-Kombinationen.
- ENISA (EU) drängt auf Zero-Trust-Architekturen und starke Authentifizierung ohne Shared Secrets.
Governance bedeutet: Klarheit schaffen, Risiken minimieren, Wiederholbarkeit ermöglichen. Ein Passwort erfüllt heute keine dieser Anforderungen mehr.
Was jetzt zu tun ist
Unternehmen müssen handeln. Und zwar nicht erst nach dem nächsten Leak, sondern jetzt.
Hier sind fünf Schritte, die ich immer wieder empfehle:
- Inventur machen: Welche Systeme setzen noch auf Passwörter? Welche können migriert werden?
- Standard setzen: FIDO2, SSO, Device-bound Identity – was passt zu den Use Cases?
- Benutzer mitnehmen: Kommunikation, Schulung, UX-Test. Ein gutes System ist nur so gut, wie es genutzt wird.
- Backup planen: Biometrie ausfallen? Token verloren? Wiederherstellungsstrategien müssen sicher und realistisch sein.
- Zero Trust denken: Nicht nur Authentifizierung – auch Autorisierung, Zugriffskontrolle und Verhalten gehören ins Sicherheitskonzept.
Der digitale Nachlass
Das Passwort ist tot. Vielleicht nicht überall, aber dort, wo Sicherheit zählt, hat es ausgedient. Und was tot ist, sollte nicht künstlich beatmet, sondern ordentlich beerdigt werden.
Passwörter gehören in den digitalen Nachlass.
Und wer heute noch Systeme mit Passwortfeldern plant, implementiert oder verkauft, ist Teil des Problems – nicht der Lösung.
Euer Simon
#Passwörter, #Passkeys, #Authentifizierung, #Identität, #Sicherheit, #Cybersecurity, #ZeroTrust, #IAM, #Phishing, #Governance
