Sichere Passwörter erzeugen: Der Experten-Leitfaden 2026

Die Verwaltung von Passwörtern stellt für die meisten Anwender ein zentrales Dilemma dar. Auf der einen Seite stehen die als “sicher” geltenden Passwörter, wie etwa Tr!x1&?bA, die aufgrund ihrer Komplexität für einen Menschen kaum zu merken sind. Auf der anderen Seite stehen “einfache” Passwörter, wie das im Jahr 2023 beliebteste Passwort 123456, die faktisch einer offenen Tür für Angreifer gleichkommen.¹

Der Leitbegriff “Sichere Passwörter einfach” scheint daher ein Widerspruch in sich zu sein. Dieser Experten-Leitfaden löst diesen vermeintlichen Widerspruch auf. Basierend auf den aktuellsten Erkenntnissen internationaler Sicherheitsbehörden, wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem US-amerikanischen National Institute of Standards and Technology (NIST), wird dargelegt, dass die Lösung nicht in komplizierteren, sondern in klügeren Methoden liegt.³

Dieser Artikel wirft veraltete Regeln über Bord und präsentiert einen strukturierten Weg zu einer effektiven digitalen Verteidigung, die für Laien verständlich und im Alltag umsetzbar ist. Der Bericht folgt dabei vier Säulen:

1. Definition 2026: Was “sicher” im Lichte moderner Sicherheitsforschung (Länge vor Komplexität) heute wirklich bedeutet.
2. Manuelle Methoden: Strategien, mit denen Anwender Passwörter erstellen können, die sie sich tatsächlich merken können, ohne die Sicherheit zu kompromittieren.
3. Software-Lösungen (Tools): Warum ein Passwort-Manager die eigentlich einfachste und sicherste Lösung für die Mehrheit der Anwender darstellt.
4. Private Risiken: Eine Analyse der konkreten, realen Gefahren (wie Identitätsdiebstahl und finanzieller Verlust), die durch die Nutzung unsicherer Passwörter im Privatbereich entstehen.

---

Teil 1: Was “sicher” heute bedeutet – Ein Paradigmenwechsel bei BSI & NIST

Die Definition eines “sicheren” Passworts hat sich in den letzten Jahren fundamental gewandelt. Lange Zeit erzwangen IT-Abteilungen und Diensteanbieter Regeln, die sich in der Praxis als kontraproduktiv erwiesen haben.

Abschied von alten Regeln: Warum “P@ssw0rt!” und häufiges Ändern tot sind

Traditionelle Passwort-Richtlinien, die oft noch aus den 1980er Jahren stammen, basierten auf drei Säulen: eine Mindestlänge (oft nur 8 Zeichen), erzwungene Komplexität (je ein Großbuchstabe, Kleinbuchstabe, Zahl und Sonderzeichen) und ein erzwungener, regelmäßiger Passwortwechsel (z. B. alle 90 Tage).³

Sowohl das BSI als auch das NIST sind von diesen starren Vorgaben inzwischen abgerückt.³ Der Grund liegt im menschlichen Verhalten:

1. Erzwungene Komplexität: Diese Regel führt nicht zu mehr Sicherheit, sondern zu vorhersehbaren Mustern. Anwender hängen ein “!” an ein Wort oder ersetzen ein “o” durch eine “0” (z. B. P@ssw0rt1!). Angreifer kennen diese Muster und beziehen sie in ihre Angriffe ein.⁴
2. Erzwungener Wechsel: Die Pflicht, Passwörter alle paar Monate zu ändern, führt zu einer Verschlechterung der Sicherheit. Anwender nutzen simple, sequentielle Muster, um der Regel Genüge zu tun (z. B. Sommer2024, Herbst2024, Winter2025).⁴

Die neue Empfehlung des BSI lautet daher: Qualität vor Häufigkeit. Ein Passwort muss nur dann geändert werden, wenn der konkrete Verdacht besteht, dass es kompromittiert wurde (z. B. durch ein Datenleck).³

Die neue Formel: Länge schlägt Komplexität

Der Kern des Paradigmenwechsels bei BSI und NIST lautet: Die Länge eines Passworts ist der mit Abstand wichtigste Faktor für dessen Sicherheit, nicht die Verwendung von Sonderzeichen.⁵

NIST-Richtlinien (Stand 2025) einfach erklärt:

Das NIST hat in seiner Publikation SP 800-63B die Standards für die digitale Identität in den USA neu definiert, woran sich globale Anbieter orientieren.4

• Länge: Eine Mindestlänge von 8 Zeichen wird als absolutes Minimum betrachtet; für Passwörter, die als einziger Authentifizierungsfaktor dienen, wird eine Mindestlänge von 15 Zeichen empfohlen.⁷ Systeme sollten Passwörter bis zu einer Länge von 64 Zeichen erlauben und akzeptieren.⁴
• Keine Komplexitätsregeln: Das NIST rät explizit davon ab, Komplexitätsregeln (Mix aus Zeichenarten) zu erzwingen.⁴ Stattdessen sollten alle druckbaren Zeichen, inklusive Leerzeichen, erlaubt sein, um die Erstellung von “Passphrasen” (ganzen Sätzen) zu fördern.
• Blocklisten: Statt Komplexität zu fordern, sollen Dienstanbieter sogenannte “Blocklisten” führen. Diese verhindern die Nutzung von bekanntermaßen schlechten Passwörtern (z. B. 123456, password), branchenspezifischen Begriffen oder Passwörtern, die bereits in Datenlecks aufgetaucht sind.⁴

BSI-Richtlinien (Stand 2025) einfach erklärt:

Das BSI folgt in seinen Empfehlungen, etwa im IT-Grundschutz-Kompendium, diesem internationalen Kurs.3

• Länge und Einzigartigkeit: Das BSI legt den Fokus auf die Länge und die Einzigartigkeit des Passworts.³ Die wichtigste Regel lautet: Jedes Passwort darf nur für einen einzigen Dienst verwendet werden.³
• Risikobasierter Ansatz: Das BSI empfiehlt, die Strenge der Regeln vom Schutzbedarf abhängig zu machen. Ein Konto für eine kritische Kundendatenbank muss stärker geschützt werden (z. B. durch ein sehr langes Passwort plus Zwei-Faktor-Authentifizierung (2FA)) als ein unwichtiges Foren-Konto.³

Experten-Einblick: Was ist “Passwort-Entropie” und warum ist sie entscheidend?

Um zu verstehen, warum Länge wichtiger ist als Komplexität, muss man den Begriff der Entropie verstehen. In der Passwort-Sicherheit ist Entropie ein Maß für die Unvorhersehbarkeit oder Zufälligkeit eines Passworts.¹⁰ Laienverständlich ausgedrückt: Die Entropie (gemessen in Bits) beziffert, wie viele Ja/Nein-Fragen ein Angreifer im Durchschnitt stellen müsste, um das Passwort zu erraten.¹²

Ein Passwort wie P@ssw0rt1! hat, obwohl es komplexe Zeichen enthält, eine sehr geringe Entropie. Es basiert auf einem bekannten Wort und einem gängigen Muster. Ein Angreifer wird dieses Muster vor einem rein zufälligen Raten (Brute Force) ausprobieren.

Ein Passwort wie FahrradBlumeKaffee123! ¹³ hat eine extrem hohe Entropie. Obwohl es nur aus einfachen Wörtern und Zahlen besteht, ist die spezifische Kombination dieser Wörter unvorhersehbar.

Dieser Wandel in den Empfehlungen ist das Ergebnis einer sozio-technischen Wende. Die alten Regeln waren rein mathematisch und ignorierten das menschliche Verhalten.⁶ Die neuen Richtlinien von BSI und NIST sind sozio-technisch: Sie erkennen an, dass eine Sicherheitsregel, die von Anwendern systematisch umgangen wird (wie bei Sommer2025), inhärent unsicher ist.³ Sicherheit muss benutzbar sein, um effektiv zu sein. “Sichere Passwörter einfach” ist damit nicht nur ein Schlagwort, sondern der Kern der modernen Sicherheitstheorie.

Dabei muss ein zentrales Entropie-Missverständnis ausgeräumt werden: Laien glauben oft, Sonderzeichen würden die Sicherheit exponentiell erhöhen. Wie das NIST feststellte, führen sie aber zu Mustern, die Hacker leicht erraten können.⁴ Die wahre Sicherheit (Entropie) ergibt sich aus der Länge und der Zufälligkeit der Auswahl der Komponenten.¹⁰ Das Hinzufügen eines einzigen, zufällig gewählten Wortes zu einer Passphrase erhöht die Entropie um ein Vielfaches stärker als das Anhängen eines “!” an ein bekanntes Wort.¹⁴

---

Teil 2: Kreativ und unknackbar: Sichere Passwörter erzeugen, die man sich merken kann

Das Ziel ist also, ein Passwort mit hoher Entropie zu erstellen, das sich ein Mensch dennoch merken kann. Hierfür haben sich “Passphrasen” – Sätze oder Wortketten – als überlegen erwiesen.⁵

Eine entscheidende Grundregel dabei: Die gewählten Wörter dürfen keinen offensichtlichen persönlichen Bezug zum Anwender haben. Namen von Haustieren, Kindern, Geburtsdaten oder Hobbys sind tabu, da diese durch sogenanntes “Target Guessing” (gezieltes Raten) von Angreifern leicht ermittelt werden können, etwa über soziale Medien.⁵

Methode 1 (Gut): Die Satz- oder Akronym-Methode

Diese Methode nutzt ganze Sätze als Merkhilfe, um komplexe, lange Zeichenketten zu generieren.¹⁶

• Variante A (Die Satz-Methode): Hierbei wird ein einfacher Satz gebildet und leicht modifiziert.
• Beispiel: Aus dem Satz “Mein erstes Auto war ein blauer Kadett E” wird das Passwort Mein1.Autowar1blauerKadettE.¹⁶
• Variante B (Die Akronym-Methode): Hierbei werden die Anfangsbuchstaben eines leicht merkbaren, aber persönlichen Satzes verwendet.¹⁶

• Beispiel 1: Aus dem Satz “Das Haus stand auf einer kleinen Anhöhe genau am Rand des Ortes.” wird das Passwort DHsaekAgaRdO..¹⁶
• Beispiel 2: Aus dem Satz “Schokolade zum Frühstück von 2001 ist mein Lieblingsfilm” wird SzFv01imL..¹³

Bewertung: Diese Methoden bieten eine gute Balance aus Merkbarkeit und Sicherheit.¹⁶ Die Sicherheit ist jedoch stark davon abhängig, dass der Basissatz nicht trivial oder ein bekanntes Zitat ist (das Beispiel aus ¹⁶ mit “Per Anhalter durch die Galaxis” ist als Merkhilfe gut, als echtes Passwort jedoch riskant, da der Satz öffentlich bekannt ist).

Methode 2 (Besser): Die Mnemotechnik (Kreativ-Methode)

Mnemotechniken nutzen die Fähigkeit des Gehirns, sich Bilder und Geschichten besser zu merken als abstrakte Daten.¹⁷

• Kombination unverbundener Wörter: Die einfachste Form ist die Aneinanderreihung von drei bis vier Wörtern, die keinen logischen Zusammenhang haben.

• Beispiel 1: rageducksimplemoon.¹⁹
• Beispiel 2: FahrradBlumeKaffee123!.¹³
• Loci-Methode (Gedächtnispalast): Fortgeschrittene Anwender können die Loci-Methode nutzen. Man stellt sich einen bekannten Weg vor (z. B. durch die eigene Wohnung) und verknüpft markante Punkte (Ankerpunkte wie Eingangstür, Garderobe, Spüle) mit Teilen des Passworts.¹⁷

Methode 3 (Am besten): Die Diceware-Methode (Zufalls-Passphrase)

Die Diceware-Methode gilt als Goldstandard für manuell erstellte, merkbare Passwörter, da sie als einzige dieser Methoden auf echtem, nachprüfbarem Zufall basiert und die menschliche Voreingenommenheit bei der Auswahl eliminiert.²⁰

Anleitung für Laien:

1. Vorbereitung: Benötigt werden ein oder mehrere physische Würfel und eine “Diceware-Wortliste”. Diese Listen (oft für fünf Würfel ausgelegt) finden sich online.
2. Länge bestimmen: Für eine hohe Sicherheit werden mindestens fünf, besser sechs Wörter empfohlen.²⁰
3. Würfeln: Für jedes zu generierende Wort wird fünfmal gewürfelt. Die Augenzahlen ergeben eine fünfstellige Zahl (z. B. 1-2-3-4-5).
4. Nachschlagen: Diese Zahlenkombination (z. B. 12345) wird in der Diceware-Liste nachgeschlagen. Die Liste ordnet dieser Zahl ein Wort zu (z. B. “Katze”).²⁰
5. Wiederholen: Dieser Vorgang wird für alle 5-6 Wörter wiederholt.
6. Ergebnis: Das Ergebnis ist eine Kette von absolut zufälligen Wörtern, z. B. fabric-fool-regime-hamstring-zealous.¹⁴

Warum dies sicher ist: Diese Passphrase hat eine extrem hohe Entropie. Obwohl sie aus Wörtern besteht, ist sie für das menschliche Gehirn merkbar, da es die Wörter als “Chunks” (Einheiten) abspeichern kann.²²

Diese Methode löst auch einen scheinbaren Widerspruch auf: Während Sicherheitsbehörden wie das BSI vor “Wörterbuchwörtern” warnen ⁵, nutzt Diceware genau diese.²⁰ Der entscheidende Unterschied liegt in der Auswahl. Jede Methode, die auf menschlicher Auswahl basiert (z. B. das eigene Haustier), ist für Angreifer erratbar.⁵ Die Diceware-Methode ist überlegen, weil sie die menschliche, voreingenommene Auswahl komplett eliminiert und durch verifizierbaren Zufall (den Würfelwurf) ersetzt.²⁰

Tabelle 1: Passwort-Methoden im Vergleich

Die folgende Tabelle fasst die Entwicklung und Eignung der verschiedenen Methoden zusammen.

Methode	Beispiel	Sicherheit (Entropie)	Merkbarkeit	Fazit (Empfehlung 2026)
Veraltete Komplexität	P@ssw0rt1!	Gering. Trotz Sonderzeichen sehr niedrig, da es ein bekanntes Muster ist.4	Gering	Veraltet. Wird von NIST/BSI nicht mehr empfohlen.4
Satz-Methode (Akronym)	DHsaekAgaRdO. (aus 16)	Hoch. Wenn der Satz lang und nicht-trivial ist.	Hoch (Man muss sich nur den Satz merken).16	Gut. Eine solide, merkbare Alternative.
Passphrase (Kreativ)	FahrradBlumeKaffee123! (aus 13)	Hoch bis Sehr Hoch. Kombination aus Länge und fehlendem Zusammenhang.	Mittel bis Hoch	Besser. Gut geeignet für ein “Master-Passwort”.
Passphrase (Diceware)	stoff-narr-regime-zealous (vgl. 14)	Extrem Hoch. Basiert auf echtem Zufall.20	Mittel (Wörter müssen gelernt werden, aber “Chunking” hilft).20	Goldstandard. Die sicherste manuelle Methode.

---

Teil 3: Die ultimative Lösung: Passwort-Manager als Ihr digitaler Tresor

Die in Teil 2 beschriebenen Methoden sind exzellent, um sich einige wenige, sehr wichtige Passwörter zu merken. Sie scheitern jedoch an der Realität des modernen Internets.

Warum das Gehirn nicht für das Internet gemacht ist

Der durchschnittliche Anwender verwaltet Dutzende, oft Hunderte verschiedener Online-Konten.⁵ Die wichtigste Sicherheitsregel, die das BSI propagiert, lautet: Für jeden Dienst ein separates, einzigartiges Passwort zu verwenden.³

Diese Regel ist menschlich unmöglich zu erfüllen.²⁴ Kein Gehirn kann sich 100 verschiedene, starke Passwörter merken. Genau hier setzen Software-Lösungen, sogenannte Passwort-Manager, an.²³

Was ist ein Passwort-Manager und welche Probleme löst er?

Ein Passwort-Manager ist ein digitaler Tresor, der die Passwortverwaltung systematisch löst:

1. Problem: Erstellen: Passwort-Manager verfügen über integrierte Passwort-Generatoren. Diese erstellen auf Knopfdruck extrem starke, hoch-entropische und absolut zufällige Passwörter (z. B. u7&kP#aE9!zTqW5).¹⁵
2. Problem: Speichern: Die Software speichert alle diese komplexen Passwörter in einem stark verschlüsselten “Tresor” (Vault).¹⁵
3. Problem: Merken: Der Anwender muss sich nicht mehr Hunderte von Passwörtern merken, sondern nur noch ein einziges: das Master-Passwort.¹⁵ (Für dieses Master-Passwort sollte eine der starken Methoden aus Teil 2, z. B. Diceware, verwendet werden).
4. Problem: Eingeben: Die Manager integrieren sich in den Web-Browser und mobile Apps. Sie erkennen die Login-Seite und füllen die korrekten Zugangsdaten automatisch aus (Auto-Fill).³⁰
5. Problem: Teilen: Passwörter können sicher mit Familienmitgliedern oder Kollegen geteilt werden, ohne sie unverschlüsselt per E-Mail oder Messenger versenden zu müssen.¹⁵

Das “Zero-Knowledge”-Prinzip: Warum man dem Anbieter vertrauen kann (oder nicht muss)

Die häufigste Sorge von Laien gegenüber Passwort-Managern lautet: “Was ist, wenn der Anbieter des Passwort-Managers gehackt wird? Hat der Hacker dann alle meine Passwörter?”

Die Antwort darauf ist das wichtigste Sicherheitsmerkmal moderner Manager: die “Zero-Knowledge”-Architektur.³³

Einfach erklärt: “Zero Knowledge” (Null-Wissen) bedeutet, dass der Dienstanbieter zu keinem Zeitpunkt Kenntnis von den Daten hat, die der Anwender bei ihm speichert.³⁷

• Analogie: Das Master-Passwort ist ein einzigartiger, physischer Schlüssel. Die Passwort-Datenbank ist ein Tresor. Der Anwender gibt dem Passwort-Manager-Dienst (z. B. Bitwarden, NordPass) nur den Tresor zur Aufbewahrung in der Cloud. Den Schlüssel (das Master-Passwort) behält der Anwender bei sich und dieser verlässt niemals sein Gerät.³³
• Technisch: Alle Ver- und Entschlüsselungsvorgänge finden ausschließlich lokal auf dem Gerät des Anwenders (PC oder Smartphone) statt, bevor die Daten verschlüsselt an den Server gesendet werden.³⁴

Diese Zero-Knowledge-Architektur ist der zentrale Vertrauensanker. Sie verlagert das Vertrauen weg vom Anbieter (dem man nicht vertrauen muss) hin zur Kryptografie (der reinen Mathematik).³⁷ Selbst wenn die Server des Anbieters vollständig kompromittiert und gestohlen würden, erbeuten die Angreifer nur unlesbaren, verschlüsselten Datenmüll, mit dem sie ohne das individuelle Master-Passwort jedes einzelnen Nutzers nichts anfangen können.³⁹

Der einzige und wichtigste Schwachpunkt in diesem System ist und bleibt das Master-Passwort des Anwenders. Dies unterstreicht, warum dieses eine Passwort extrem stark und nach den Methoden aus Teil 2 erstellt sein muss.

Kernfunktionen im Jahr 2026: Worauf Anwender achten sollten

Moderne Passwort-Manager sind im Jahr 2026 weit mehr als nur digitale Tresore.³² Sie entwickeln sich zu zentralen Plattformen für die Verwaltung der digitalen Identität.

• Breach Monitoring (Dark Web Monitoring): Der Manager überwacht das Internet und das Darknet. Taucht eines der gespeicherten Passwörter in einem neuen Datenleck auf, schlägt die Software Alarm, sodass der Anwender es ändern kann.³²
• Passkey-Integration: Passkeys gelten als die Zukunft des Logins (siehe Fazit).²³ Moderne Manager können diese neuen, passwortlosen Anmeldeinformationen bereits verwalten und synchronisieren.³²
• 2FA/MFA-Speicherung: Viele Manager können auch die zeitbasierten Einmal-Codes (TOTP) für die Zwei-Faktor-Authentifizierung speichern und automatisch einfügen.³²
• Plattformübergreifende Synchronisierung: Eine nahtlose Funktion über alle Geräte (Windows, Mac, iOS, Android) und Browser-Plugins ist Standard.²⁶
• Zusatzfunktionen: Je nach Anbieter können auch sichere Notizen, Dokumente, Kreditkarteninformationen ⁴⁴, VPN-Zugänge ⁴¹ oder E-Mail-Aliase ⁴¹ verwaltet werden.

Tabelle 2: Top Passwort-Manager 2026 im Experten-Check (Auswahl)

Die folgende Auswahl basiert auf Tests und Analysen renommierter Fachmagazine und Sicherheitsvergleiche.³²

Manager	Beste Eigenschaft (Test / )	Zero-Knowledge	Wichtige Funktionen (2026)
NordPass	Bester Premium-Manager (PCMag 41)	Ja (XChaCha20) 32	Passkey-Support 32, Breach Scanner 45
Proton Pass	Bester Gratis-Manager (PCMag 41)	Ja (Open-Source) 40	E-Mail-Aliase 41, Hoher Datenschutz
1Password	Bester für Familien/Reisen (PCMag 41)	Ja	Reise-Modus 41, Sehr gute UI, Passkey-Support
Bitwarden	Beste Open-Source-Option	Ja 35	Exzellente Gratis-Version 26, Self-Hosting-Optionen 40
RoboForm	Bester für Anfänger (PCMag 41)	Ja 32	Bestes Auto-Fill für komplexe Formulare 41

---

Teil 4: Das passiert wirklich: Die Risiken unsicherer Passwörter im Privatleben

Die Notwendigkeit für die in Teil 1-3 beschriebenen Maßnahmen wird oft unterschätzt, bis ein Schaden eintritt. Unsichere Passwörter im Privatbereich sind keine Lappalie, sondern ein erhebliches Risiko für Finanzen und Identität.²

Wie Hacker angreifen: Das Passwort als Ressource

Angreifer nutzen keine “Magie”, sondern systematische, oft automatisierte Methoden, um an Passwörter zu gelangen. Das Verständnis dieser Methoden zeigt, warum die modernen Schutzmaßnahmen (Länge, Einzigartigkeit, 2FA) so effektiv sind.

Tabelle 3: Angriffs-Check: Wie Hacker Konten knacken

Angriffsmethode	Wie es funktioniert (Laien-Erklärung)	Was es ausnutzt	Der Schutz (aus diesem Leitfaden)
Brute-Force-Angriff (Rohe Gewalt) 46	Ein Programm probiert alle möglichen Zeichenkombinationen systematisch durch (z. B. “a”, “b”,… “aa”, “ab”).46	Kurze Passwörter.	Länge. Jedes zusätzliche Zeichen erhöht die Dauer eines Brute-Force-Angriffs exponentiell. Ein langes Passwort macht diesen Angriff praktisch unmöglich.2
Wörterbuchangriff (Dictionary Attack) 46	Ein Programm probiert nicht alle Kombinationen, sondern nur Wörter aus Listen (Wörterbücher, geleakte Passwörter, gängige Namen).48	Einfache, bekannte Wörter (z. B. “Sommer2024”, “password”, “qwertz”).1	Zufälligkeit & Komplexität. (Ein per Diceware 20 oder Generator erstelltes Passwort kommt in keiner sinnvollen Wortliste vor).
Credential Stuffing (Ausstopfen mit Zugangsdaten) 50	Ein Hacker nimmt E-Mail/Passwort-Listen aus einem alten Datenleck (z. B. von “Forum-A”) und probiert sie bei anderen Diensten (z. B. “Bank-B”) automatisch aus.51	Passwort-Wiederverwendung. Der häufigste und gefährlichste Fehler von Anwendern.52	Einzigartigkeit. (Für jedes Konto ein eigenes Passwort. Nur per Passwort-Manager zuverlässig machbar).3
Phishing 54	Der Anwender erhält eine gefälschte E-Mail (z. B. “Ihre Bank”), klickt auf einen Link und gibt sein Passwort freiwillig auf einer gefälschten Webseite ein.55	Menschliche Gutgläubigkeit und Unachtsamkeit.	Passwort-Manager (erkennt die falsche URL und füllt nichts aus) und Zwei-Faktor-Authentifizierung (2FA).

Der Domino-Effekt: Vom E-Mail-Hack zum Totalverlust

Die schwerwiegendsten Folgen entstehen oft nicht durch den ersten Hack, sondern durch die Kaskade, die er auslöst.

Fallbeispiel 1: Das gehackte E-Mail-Konto – Der “Generalschlüssel”

Das E-Mail-Konto ist der wichtigste Baustein der digitalen Identität.57 Wird dieses Konto kompromittiert, ist der Schaden immens.

• Was passiert: Der Angreifer loggt sich ein, ändert das Passwort und sperrt den rechtmäßigen Besitzer aus.⁵⁸
• Der Folgeschaden (Domino): Der Angreifer nutzt nun bei Diensten wie Amazon, PayPal, sozialen Netzwerken oder Online-Banken die “Passwort vergessen”-Funktion.⁵⁷ Alle Links zum Zurücksetzen der Passwörter landen nun im Postfach, das der Angreifer kontrolliert. Innerhalb von Minuten kann er so alle verknüpften Konten übernehmen.⁵⁷

Fallbeispiel 2: Identitätsdiebstahl – Der “Einkaufsbummel”

Selbst der Verlust eines “weniger wichtigen” Shopping-Kontos kann gravierende Folgen haben (oft durch Credential Stuffing).59

• Was passiert: Kriminelle nutzen gestohlene Daten (Name, Geburtsdatum, Adresse, Kontonummer), um im Namen ihrer Opfer online Waren zu bestellen oder Verträge abzuschließen.⁵⁹ Die Ware wird an eine abweichende Lieferadresse oder Packstation geschickt.⁶⁰
• Der Folgeschaden: Das Opfer erfährt von dem Betrug erst, wenn Rechnungen und Inkassoforderungen eintreffen.⁶¹ In schlimmeren Fällen werden die Daten genutzt, um Kredite zu beantragen oder Mobilfunkverträge abzuschließen.⁶²

Fallbeispiel 3: Das leere Bankkonto – Der finanzielle Super-GAU

Beim Online-Banking-Betrug, oft eingeleitet durch Phishing 66 oder Banking-Trojaner, ist der finanzielle Schaden direkt.66

• Die Haftungsfrage: Grundsätzlich sind Bankkunden in der EU und Deutschland gut geschützt. Die Bank muss nicht autorisierte Überweisungen in der Regel erstatten (gemäß § 675u BGB).⁶⁸
• Die Haftungsfalle “Grobe Fahrlässigkeit”: Die Bank kann die Erstattung verweigern, wenn sie dem Kunden “grobe Fahrlässigkeit” nachweisen kann.⁶⁸

Das Konzept der “groben Fahrlässigkeit” ist ein zentraler finanzieller Anreiz für Passwortsicherheit. Als grob fahrlässig kann von Gerichten gewertet werden, wenn Anwender ihre Zugangsdaten ungesichert aufbewahren, an Dritte weitergeben oder auf offensichtliche Phishing-Mails hereinfallen.⁶⁸ Im Jahr 2026 könnte die fortgesetzte Nutzung eines Passworts wie “123456” oder die bewusste Wiederverwendung eines einzigen Passworts für Banking und unwichtige Foren potenziell als grob fahrlässig eingestuft werden. Ebenso das Nicht-Aktivieren einer von der Bank angebotenen Zwei-Faktor-Authentifizierung.⁶⁸ Unsichere Passwörter sind somit nicht nur ein Sicherheitsrisiko, sondern ein direktes privates Haftungsrisiko.

---

Fazit: Ihre Checkliste für einfache und sichere Passwörter

Die Lösung des Dilemmas “sicher vs. einfach” liegt nicht darin, das menschliche Gehirn zu überfordern. Sie liegt in der Anwendung einer klugen, dreistufigen Strategie, die Technologie als Hilfsmittel begreift.

Ihre 3-Schritte-Strategie für 2026

1. Schritt 1: Aufräumen (Das Master-Passwort).
   Anwender sollten sich auf das Merken von einem einzigen Passwort konzentrieren: dem Master-Passwort für den Passwort-Manager. Dieses muss extrem stark sein (mindestens 15-20 Zeichen) und sollte mit der Diceware-Methode 20 oder einer robusten Satz-Methode 13 erstellt werden.
2. Schritt 2: Auslagern (Der Manager).
   Installation eines vertrauenswürdigen Passwort-Managers (z. B. NordPass, Proton Pass, Bitwarden).41 Dieses Tool wird mit dem Master-Passwort gesichert. Anschließend wird der Manager genutzt, um alle bestehenden Konten zu inventarisieren und für jedes einzelne Konto ein langes, einzigartiges, zufälliges Passwort zu generieren und zu speichern. Dies ist die einzige effektive Abwehrmaßnahme gegen Credential Stuffing.50
3. Schritt 3: Doppelt absichern (2FA).
   Aktivierung der Zwei-Faktor-Authentifizierung (2FA) überall, wo sie angeboten wird.3 Dies ist obligatorisch für das E-Mail-Konto (den Generalschlüssel) und das Online-Banking. Selbst wenn Angreifer das Passwort (oder Master-Passwort) erbeuten, kommen sie ohne den zweiten Faktor (z. B. eine App auf dem Smartphone) nicht in das Konto.

Der Blick in die Zukunft: Das Ende der Passwörter?

Die Branche arbeitet bereits an der Ablösung des Passworts. Die vielversprechendste Technologie sind Passkeys.²³ Ein Passkey ersetzt das Passwort durch einen kryptografischen Schlüssel, der sicher auf dem Endgerät (Smartphone oder PC) gespeichert ist. Der Login wird dann einfach per Biometrie (Fingerabdruck, Gesichtsscan) oder Geräte-PIN freigegeben.²³

Passwörter werden uns zwar noch einige Jahre begleiten, doch die besten Passwort-Manager (siehe Teil 3) unterstützen Passkeys bereits und fungieren als Brückentechnologie.⁴⁰

Abschließend lässt sich sagen: Der Ansatz “Sichere Passwörter einfach” bedeutet im Jahr 2026 nicht mehr, sich 100 komplizierte Passwörter zu merken. Es bedeutet, sich eines sehr gut zu merken und die Verwaltung der restlichen 99 einer spezialisierten, sicheren Technologie (dem Passwort-Manager) zu überlassen.

Referenzen

1. Ein umfassender Blick auf Passwortangriffe und wie man sie stoppt | Netwrix, Zugriff am November 11, 2025, https://netwrix.com/de/cybersecurity-glossary/cyber-security-attacks/password-attack/
2. Unsichere Passwörter: Ein anhaltendes Risiko – HypeTec, Zugriff am November 11, 2025, https://www.hypetec.net/blog/unsichere-passwoerter-ein-anhaltendes-risiko.html
3. Passwortsicherheit 2025: Warum der Passwortwechsel nicht mehr reicht | MTRIX, Zugriff am November 11, 2025, https://www.mtrix.de/blog/mtrix-blog-3/passwortsicherheit-in-unternehmen-50
4. 2025 NIST password guidelines: key updates for businesses | Proton, Zugriff am November 11, 2025, https://proton.me/blog/nist-password-guidelines
5. Passwörter Sicherheit 2024 – SECURAM-Consulting, Zugriff am November 11, 2025, https://securam-consulting.com/sichere-passwoerter/
6. BSI: Warum häufiges Passwortwechseln unsicher sein kann – neue Empfehlungen 2025, Zugriff am November 11, 2025, https://www.datenschutz-prinz.de/blog/bsi-warum-haeufiges-passwortwechseln-unsicher-sein-kann-neue-empfehlungen-2025
7. NIST Special Publication 800-63B, Zugriff am November 11, 2025, https://pages.nist.gov/800-63-4/sp800-63b.html
8. How Do I Create a Good Password? | NIST – National Institute of Standards and Technology, Zugriff am November 11, 2025, https://www.nist.gov/cybersecurity/how-do-i-create-good-password
9. NIST Password Guidelines: Key Updates You Need – Specops Software, Zugriff am November 11, 2025, https://specopssoft.com/blog/nist-password-guidelines/
10. Passwortentropie: Was sie ist und warum sie wichtig ist – Keeper Security, Zugriff am November 11, 2025, https://www.keepersecurity.com/blog/de/2024/03/04/password-entropy-what-it-is-and-why-its-important/
11. Passwort-Entropie: Warum schwer zu erratende Passwörter so wertvoll sind | Okta, Zugriff am November 11, 2025, https://www.okta.com/de-de/identity-101/password-entropy/
12. Zugriff am November 11, 2025, https://de.wikipedia.org/wiki/Passwort#:~:text=Die%20Entropie%20eines%20Passworts%20ist,einzugrenzen%20und%20schlie%C3%9Flich%20zu%20erraten.
13. Sicheres Passwort erstellen – und merken: 4 Tipps | Sparkasse.de, Zugriff am November 11, 2025, https://www.sparkasse.de/pk/ratgeber/sicherheit/sicheres-passwort.html
14. NIST password policy: Tips to keep your password secure – Bitwarden, Zugriff am November 11, 2025, https://bitwarden.com/de-de/blog/3-tips-from-nist-to-keep-passwords-secure/
15. Wie funktioniert ein Wörterbuchangriff? – Kaspersky, Zugriff am November 11, 2025, https://www.kaspersky.de/resource-center/definitions/what-is-a-dictionary-attack
16. Schwierige Passwörter merken – passwort123.de, Zugriff am November 11, 2025, https://www.passwort123.de/passwort-merken.php
17. 6 Mnemotechniken (inkl. PDF-Vorlagen & Beispielen): Wie Sie sich MEHR MERKEN, Zugriff am November 11, 2025, https://www.zeitblueten.com/news/mnemotechniken-wie-mehr-merken/
18. Mnemotechniken: Merktechniken für Vokabeln & Zahlen – Karrierebibel, Zugriff am November 11, 2025, https://karrierebibel.de/mnemotechniken/
19. Starke Passwörter – Wie man sie erstellt & ihre Vorteile – Kaspersky, Zugriff am November 11, 2025, https://www.kaspersky.de/resource-center/threats/how-to-create-a-strong-password
20. Diceware – Einfach sichere Passwörter erstellen – Jobriver.de, Zugriff am November 11, 2025, https://home.jobriver.de/lexikon/diceware/
21. Diceware: Ein einfacher Weg zu sicheren und leicht zu merkenden Passwörtern, Zugriff am November 11, 2025, https://johndekka.tech/artikel/diceware-ein-einfacher-werg-zu-sicheren-und-leicht-zu-merkenden-passwortern/
22. Diceware – Wikipedia, Zugriff am November 11, 2025, https://de.wikipedia.org/wiki/Diceware
23. Starke Passwörter – so geht’s | Verbraucherzentrale.de, Zugriff am November 11, 2025, https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/starke-passwoerter-so-gehts-11672
24. Blog lesen: Sichere Passwörter und was Sie darüber wissen müssen – TreeSolution, Zugriff am November 11, 2025, https://www.treesolution.com/blog/sichere-passworte
25. Passwörter verwalten mit dem Passwort-Manager – BSI, Zugriff am November 11, 2025, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Passwort-Manager/passwort-manager_node.html
26. Best Password Manager in 2025 – CNET, Zugriff am November 11, 2025, https://www.cnet.com/tech/services-and-software/best-password-manager/
27. Genug Betrug: Sicherer Passwort-Tag – Verbraucherzentrale Rheinland-Pfalz, Zugriff am November 11, 2025, https://www.verbraucherzentrale-rlp.de/pressemeldungen/digitale-welt/genug-betrug-sicherer-passworttag-103169
28. Passwort Generator ツ – Sicheres Passwort bei datenschutz.org, Zugriff am November 11, 2025, https://www.datenschutz.org/passwort-generator/
29. Passwort Generator: Sicheres Passwort erstellen – EXPERTE.de, Zugriff am November 11, 2025, https://www.experte.de/passwort-generator
30. The Best Password Managers With Autofill of 2025, Zugriff am November 11, 2025, https://www.passwordmanager.com/best-password-manager-with-autofill/
31. Passwort Manager Vergleich 2023 Über 10 Anbieter im Test, Zugriff am November 11, 2025, https://passwort-manager.com/
32. Comparing the Top 9 Personal Password Managers in 2025, Zugriff am November 11, 2025, https://www.keepersecurity.com/blog/2025/09/16/comparing-the-top-9-personal-password-managers-in-2025/
33. Zero-Knowledge-Sicherheit | password.es, Zugriff am November 11, 2025, https://password.es/de/sicherheit/
34. Zero-Knowledge-Prinzip einfach erklärt am Beispiel Uniqkey – Deutscher Presseindex, Zugriff am November 11, 2025, https://www.deutscherpresseindex.de/2025/10/22/zero-knowledge-prinzip-einfach-erklrt-am-beispiel-uniqkey/
35. How End-to-End Encryption Paves the Way for Zero Knowledge | Bitwarden, Zugriff am November 11, 2025, https://bitwarden.com/de-de/blog/end-to-end-encryption-and-zero-knowledge/
36. Warum Zero-Knowledge-Verschlüsselung wichtig ist – Keeper Security, Zugriff am November 11, 2025, https://www.keepersecurity.com/de_DE/resources/zero-knowledge-for-ultimate-password-security/
37. Zugriff am November 11, 2025, https://teamdrive.com/blog-de/zero-knowledge/#:~:text=Das%20Wichtigste%20in%20K%C3%BCrze%3A,wodurch%20absolute%20Vertraulichkeit%20gew%C3%A4hrleistet%20wird.
38. Zero-knowledge encryption: What you need to know – Bitwarden, Zugriff am November 11, 2025, https://bitwarden.com/de-de/resources/zero-knowledge-encryption/
39. Zero-Knowledge Verschlüsselung gegen Geschäftsrisiken, Zugriff am November 11, 2025, https://info.scramble.cloud/wie-eine-zero-knowledge-verschluesselung-geschaeftsrisiken-reduziert/
40. The Ultimate Guide to Password Managers in 2025 – YouTube, Zugriff am November 11, 2025, https://www.youtube.com/watch?v=yl03xtiVI14
41. The Best Password Managers We’ve Tested for 2025 | PCMag, Zugriff am November 11, 2025, https://www.pcmag.com/picks/the-best-password-managers
42. Passkeys – anmelden ohne Passwort – BSI, Zugriff am November 11, 2025, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html
43. The best password managers in 2025 – Tom’s Guide, Zugriff am November 11, 2025, https://www.tomsguide.com/us/best-password-managers,review-3785.html
44. Die besten Passwort-Manager im Test & Vergleich – Netzsieger, Zugriff am November 11, 2025, https://www.netzsieger.de/k/passwort-manager
45. The Best Password Managers of 2025, Zugriff am November 11, 2025, https://www.passwordmanager.com/best-password-managers/
46. Brute-Force-Angriffe: Passwortschutz – Kaspersky, Zugriff am November 11, 2025, https://www.kaspersky.de/resource-center/definitions/brute-force-attack
47. Zugriff am November 11, 2025, https://www.myrasecurity.com/de/brute-force-attacke/#:~:text=Was%20ist%20eine%20Brute%2DForce,Varianten%20und%20%2DKombinationen%20aufgebrochen%20werden.
48. Brute-Force-Attacke: Definition und Funktionsweise – Myra Security, Zugriff am November 11, 2025, https://www.myrasecurity.com/de/brute-force-attacke/
49. Was ist ein Wörterbuchangriff? | Proton Pass, Zugriff am November 11, 2025, https://proton.me/blog/de/what-is-dictionary-attack
50. What is credential stuffing? | Credential stuffing vs. brute force …, Zugriff am November 11, 2025, https://www.cloudflare.com/learning/bots/what-is-credential-stuffing/
51. What Is Credential Stuffing? How to Detect and Prevent – Fortinet, Zugriff am November 11, 2025, https://www.fortinet.com/resources/cyberglossary/credential-stuffing
52. Credential stuffing – Wikipedia, Zugriff am November 11, 2025, https://en.wikipedia.org/wiki/Credential_stuffing
53. What is Credential Stuffing? | CrowdStrike, Zugriff am November 11, 2025, https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/credential-stuffing/
54. Was ist ein Passwort-Angriff in der Cybersicherheit? – EasyDMARC, Zugriff am November 11, 2025, https://easydmarc.com/blog/de/was-ist-ein-passwort-angriff-in-der-cybersicherheit/
55. 6 Arten von Kennwortangriffen und wie sie gestoppt werden können – OneLogin, Zugriff am November 11, 2025, https://www.onelogin.com/de-de/learn/6-types-password-attacks
56. Passwortdiebstahl durch Phishing E-Mails – BSI, Zugriff am November 11, 2025, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/passwortdiebstahl-durch-phishing_node.html
57. Notfallplan gehacktes E-Mail-Konto – Hilfe für Betroffene – BSI, Zugriff am November 11, 2025, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Identitaetsdiebstahl/Hilfe-fuer-Betroffene/hilfe-fuer-betroffene_node.html
58. Erste Hilfe bei gehackten Online-Konten | Verbraucherzentrale.de, Zugriff am November 11, 2025, https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/erste-hilfe-bei-gehackten-onlinekonten-63228
59. 9 Arten von Identitätsmissbrauch | Verbraucherzentrale …, Zugriff am November 11, 2025, https://www.verbraucherzentrale-niedersachsen.de/themen/internet-telefon/datenschutz/9-arten-von-identitaetsmissbrauch
60. Ich wurde Opfer eines Identitätsdiebstahls | Eigentum & Diebstahl – Polizei Brandenburg, Zugriff am November 11, 2025, https://polizei.brandenburg.de/seite/ich-wurde-opfer-eines-identitaetsdiebsta/56591
61. Identitätsdiebstahl & Datenklau: Beispiele & Folgen – Proliance, Zugriff am November 11, 2025, https://www.proliance.ai/blog/identitatsdiebstahl—datenklau-mit-folgen
62. IDENTITÄTSDIEBSTAHL – Verbraucherzentrale NRW, Zugriff am November 11, 2025, https://www.verbraucherzentrale.nrw/sites/default/files/2023-08/vznrw_faktenblatt_identitaetsdiebstahl.pdf
63. Identitätsdiebstahl im Internet: Was tun? | Sparkasse.de, Zugriff am November 11, 2025, https://www.sparkasse.de/pk/ratgeber/sicherheit/datendiebstahl.html
64. Genug Betrug: Identitätsdiebstahl – Was tun bei Datenmissbrauch? | Verbraucherzentrale Rheinland-Pfalz, Zugriff am November 11, 2025, https://www.verbraucherzentrale-rlp.de/pressemeldungen/digitale-welt/genug-betrug-identitaetsdiebstahl-was-tun-bei-datenmissbrauch-88757
65. Welche Folgen Identitätsdiebstahl im Internet haben kann | Verbraucherzentrale.de, Zugriff am November 11, 2025, https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/welche-folgen-identitaetsdiebstahl-im-internet-haben-kann-17750
66. Online-Banking gehackt? | KWAG Recht, Zugriff am November 11, 2025, https://kwag-recht.de/online-banking-gehackt/
67. Onlinebanking-Betrug: Wer haftet bei leer geräumtem Konto? – PRIGGE Recht, Zugriff am November 11, 2025, https://www.prigge-recht.de/onlinebanking-betrug-wer-haftet/
68. Konto gehackt: Wie erkennen? Was tun? ‣ Dr. Michel de Araujo …, Zugriff am November 11, 2025, https://ra-araujo-kurth.de/rechtsbeitraege/konto-gehackt-wie-erkennen-was-tun/
69. Online Banking Betrug – Banken haften für Schäden – gute Erfolgsaussichten!, Zugriff am November 11, 2025, https://siburg-recht.de/thema/online-banking-betrug/
70. Sicheres Passwort – Tipps zum Schutz vor Datendiebstahl | Verbraucherzentrale Rheinland-Pfalz, Zugriff am November 11, 2025, https://www.verbraucherzentrale-rlp.de/pressemeldungen/digitale-welt/sicheres-passwort-tipps-zum-schutz-vor-datendiebstahl-80926