Große Erschütterung: Das BSI, Herrscher über die Standard-Sicherheitsvorgaben in Deutschland, hat die Vorgaben für Passwörter geändert. Sind Passwörter also nicht mehr so wichtig? Können Sie darauf verzichten, diese sicher auszugestalten? Natürlich nicht. Das BSI hat nur einen kleinen Teil der Anforderungen verändert!
Bisher war es so, dass im BSI-Grundschutzhandbuch unter anderem vorgeschrieben, dass ein Passwort regelmäßig geändert werden müsse. Auch die Länge und Komplexität der Passwörter war geregelt. Diese beiden Vorgaben standen aber schon lange in der Kritik der Experten: Je mehr man einem Benutzer vorschreibt, dass er sein Passwort erneuern muss, und je komplexer man es verlangt, desto mehr steigt die Gefahr, dass dieser es sich irgendwo unsicher aufschreibt. Das hat am Ende viel schlimmere Auswirkungen als ein Passwort, dass weniger komplex ist oder länger nicht geändert wird.
Was hat sich konkret geändert?
Das BSI ist 2026 endgültig von der jahrzehntelangen Praxis abgerückt, erzwungene regelmäßige Passwort-Änderungen zu fordern. Stattdessen gilt jetzt: Ein Passwort sollte nur dann geändert werden, wenn es tatsächlich kompromittiert wurde oder der Verdacht darauf besteht. Diese Kehrtwende folgt internationalen Standards wie dem NIST Special Publication 800-63B, das bereits seit Jahren vor zu häufigen Passwort-Wechseln warnt.
Auch bei der Komplexität rudert das BSI zurück: Statt auf komplizierte Zeichenkombinationen zu setzen, empfiehlt die Behörde nun längere, aber leichter merkbare Passwörter. Ein Satz wie „MeinHund42läuftgernedurch!denPark“ ist deutlich sicherer als „K7$mP9@“ – und ihr könnt ihn euch auch viel besser merken.
Passkeys revolutionieren die Authentifizierung
Parallel zu den gelockerten Passwort-Regeln gewinnen Passkeys massiv an Bedeutung. Diese FIDO2-basierte Technologie macht Passwörter in vielen Fällen überflüssig. Google, Apple, Microsoft und Meta haben ihre Passkey-Integration 2025/2026 deutlich ausgebaut. Bei Gmail, iCloud, WhatsApp und Co. könnt ihr bereits komplett auf Passwörter verzichten.
Passkeys funktionieren mit biometrischen Daten wie Fingerabdruck oder Gesichtserkennung. Sie werden lokal auf eurem Gerät generiert und niemals übertragen – was Phishing-Angriffe praktisch unmöglich macht. Der große Vorteil: Ihr müsst euch nichts merken, und trotzdem ist die Sicherheit höher als bei jedem Passwort.
Zwei-Faktor-Authentifizierung wird Standard
Was das BSI weiterhin stark betont: die Zwei-Faktor-Authentifizierung (2FA). Moderne Authenticator-Apps wie Authy, Google Authenticator oder 1Password haben 2026 wichtige Updates erhalten. Sie synchronisieren jetzt verschlüsselt zwischen euren Geräten und bieten Backup-Funktionen für den Fall, dass ihr euer Smartphone verliert.
Besonders interessant: Hardware-Security-Keys wie YubiKey oder Google Titan haben ihre Kompatibilität massiv erweitert. Sie funktionieren jetzt nahtlos mit praktisch allen wichtigen Online-Diensten und kosten unter 30 Euro. Für sensible Accounts – Banking, E-Mail, Cloud-Speicher – sind sie die sicherste Option.
Password-Manager sind unverzichtbar geworden
Die BSI-Änderungen bedeuten nicht, dass Passwort-Sicherheit unwichtig wird. Im Gegenteil: Ein guter Password-Manager ist 2026 unverzichtbarer denn je. Bitwarden, 1Password, KeePass und Dashlane haben ihre Funktionen deutlich erweitert. Sie generieren nicht nur sichere Passwörter, sondern warnen auch vor Datenlecks, erkennen schwache Passwörter automatisch und integrieren sich nahtlos in Browser und Apps.
Der Trend geht zu Familien- und Team-Tarifen. Für 2-3 Euro monatlich bekommt ihr Premium-Features wie verschlüsselte Dateispeicherung, erweiterte 2FA-Optionen und Sicherheitsberichte. Die kostenlosen Varianten reichen aber für die meisten Nutzer völlig aus.
KI verändert das Spiel
Ein neuer Faktor sind KI-basierte Angriffe. Moderne Hacking-Tools können mit Machine Learning schwache Passwörter in Sekundenschnelle knacken. Gleichzeitig helfen KI-Systeme aber auch bei der Verteidigung: Sie erkennen verdächtige Login-Versuche, analysieren euer Verhalten und schlagen automatisch sicherere Alternativen vor.
Google und Microsoft haben 2025/2026 ihre KI-gestützten Sicherheitssysteme massiv ausgebaut. Sie lernen eure typischen Anmeldegewohnheiten und schlagen Alarm, wenn sich jemand anders Zugang zu euren Accounts verschafft.
Praktische Tipps für 2026
Trotz aller technischen Neuerungen bleiben die Grundregeln bestehen: Verwendet niemals dasselbe Passwort für mehrere Accounts. „123456“, „password“ oder euer Geburtsdatum sind nach wie vor tabu. Wenn ihr das Gefühl habt, dass jemand euer Passwort kennt oder ein Account kompromittiert wurde, dann ändert es sofort.
Für neue Accounts: Probiert Passkeys aus, wo verfügbar. Aktiviert immer 2FA. Nutzt einen Password-Manager. Und vertraut nicht blind auf biometrische Daten – sie sind praktisch, aber nicht unfehlbar.
Die BSI-Änderungen sind ein längst überfälliger Realitätscheck. Sicherheit entsteht nicht durch bürokratische Komplexität, sondern durch praktikable Lösungen, die ihr auch wirklich nutzt.
Zuletzt aktualisiert am 02.03.2026
