Sicheres Passwort: Der umfassende Leitfaden zum Schutz Ihrer Konten im Jahr 2026

Auteur: Stéphane Chapuis
10. September 2025
Aktualisiert am: 10. April 2026
Temps de lecture: 12 min

Ein sicheres Passwort muss mindestens 15 Zeichen lang sein (Empfehlung NIST SP 800-63B Rev. 4, 2024), Klein- und Großbuchstaben, Zahlen und Symbole mischen und für jedes Konto einzigartig sein. In Kombination mit der Zwei-Faktor-Authentifizierung (2FA) reduziert es das Risiko einer Kompromittierung drastisch – selbst wenn ein Hacker Ihr Passwort erhält.

Die Bedrohung ist real: Laut dem Verizon Data Breach Investigations Report 2025 (22.000 analysierte Vorfälle) sind kompromittierte Zugangsdaten an 22 % der Verstöße beteiligt, und 88 % der Angriffe auf Webanwendungen verwenden gestohlene Zugangsdaten. In der Schweiz empfiehlt das Bundesamt für Cybersicherheit (BACS) KMU ausdrücklich die Verwendung eines Passwortmanagers und die Zwei-Faktor-Authentifizierung.

Wichtige Erkenntnisse

Mindestens 15 Zeichen: Empfehlung NIST SP 800-63B Rev. 4 (2024) für sensible Konten
1 Passwort = 1 Konto: Wiederverwendung ist die Ursache Nr. 1 für kaskadierende Kompromittierung
2FA obligatorisch für primäre E-Mail, Bank und soziale Netzwerke
Passwortmanager (Bitwarden, Proton Pass, KeePass): endgültige Lösung für KMU
HIBP-Überprüfung: Testen Sie Ihre Adressen noch heute auf haveibeenpwned.com

Teil 1 – Wie Hacker Ihre Passwörter angreifen

Um eine wirksame Verteidigung aufzubauen, muss man die Methoden des Angreifers kennen.

Definition – Brute-Force-Angriff: Eine Angriffstechnik, bei der eine automatisierte Software systematisch alle möglichen Zeichenkombinationen testet, bis das richtige Passwort gefunden ist. Die Angriffsgeschwindigkeit hängt von der verfügbaren Rechenleistung ab – von wenigen Sekunden für 6 Zeichen bis zu Jahrhunderten für 20 gut konstruierte Zeichen.

Die vier wichtigsten Angriffstechniken:

Der Brute-Force-Angriff: Eine Software testet automatisch alle möglichen Kombinationen. Ein Passwort mit 6 Zeichen kann mit einem modernen Computer in weniger als 6 Sekunden geknackt werden.
Der Wörterbuchangriff: Die Software testet Millionen von gängigen Wörtern, Daten, Vornamen und Passwörtern, die bereits bei Lecks preisgegeben wurden. Aus diesem Grund gehört «P@ssword1» trotz seiner scheinbaren Komplexität zu den gefährlichsten Passwörtern.
Der hybride Angriff: Kombiniert das Sammeln persönlicher Informationen (Name, Geburtsdatum, Name Ihrer Kinder oder Tiere) mit Brute Force. Ein Passwort wie «Milo2018!» wird in wenigen Minuten geknackt.
Das Phishing: Der Hacker verleitet Sie dazu, Ihr Passwort auf einer gefälschten Website einzugeben. Selbst das stärkste Passwort schützt nicht – nur Wachsamkeit und 2FA können dies. Um mehr zu erfahren: PhishTrainer, Plattform zur Simulation von Phishing.

Nur 3 % der kompromittierten Passwörter erfüllten die grundlegenden Komplexitätsanforderungen. Verizon Data Breach Investigations Report 2025

Teil 2 – Die zwei Säulen eines unknackbaren Passworts

Säule Nr. 1 – Die Länge: Ihre beste Waffe

Die Länge ist der entscheidende Faktor für die Stärke eines Passworts. Jedes zusätzliche Zeichen addiert sich nicht zur Schwierigkeit: Es multipliziert sie exponentiell.

Passwort	Länge	Geschätzte Zeit zum Knacken
`P@ssw*`	6 Zeichen	6 Sekunden
`P@ssw*rd`	8 Zeichen	8 Minuten
`LongP@ssw*rd`	12 Zeichen	3 Tage
`LongP@sswrd#*^`	16 Zeichen	75 Jahre

Schätzungen: zxcvbn-Rechner, bei 10.000 Versuchen/Sekunde – Annahme eines Servers mit Standardschutz gegen Online-Angriffe.

Offizielle Empfehlungen 2026:

NIST SP 800-63B Rev. 4 (2024): Mindestens 15 Zeichen empfohlen; Systeme müssen bis zu 64 Zeichen akzeptieren
BACS (Bundesamt für Cybersicherheit, Schweiz): Mindestens 12 Zeichen, mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen
Unsere Empfehlung: Verwenden Sie 16 Zeichen oder mehr für Ihre sensiblen Konten

Säule Nr. 2 – Intelligente Komplexität

Ein starkes Passwort muss vier Arten von Zeichen mischen: Kleinbuchstaben (a-z), Großbuchstaben (A-Z), Zahlen (0-9) und Symbole (!, @, #, $, %, ^, &, *).

Niveau	Beispiel	Geschätzte Zeit zum Knacken
Schwach	`securityhard`	23 Sekunden
Gut	`S3cur!TyR0cks#`	10 Tage
Exzellent	`#S3cur!TyR0cks#`	4 Jahre

Teil 3 – Zwei professionelle Techniken für einprägsame Passwörter

Technik 1 – Der Kennsatz

Definition – Kennsatz (Passphrase): Eine Folge von mehreren Wörtern, die einen langen Satz bilden (20-40 Zeichen), oft unsinnig oder persönlich, der als Passwort verwendet wird. Seine natürliche Länge macht es exponentiell schwieriger zu knacken als ein kurzes und komplexes Passwort, während es für den Menschen einprägsam bleibt.

Die Idee: Fünf rosa Schildkröten, die auf einem Regenbogen tanzen
Der Kennsatz: 5T0rtuesRosesDansentSurUnArc-en-ciel! → geschätzte Widerstandsfähigkeit: Jahrhunderte

Warum diese Methode funktioniert:

Einprägsam: Das Bild ist originell genug, um nicht vergessen zu werden
Natürlich lang: Sätze generieren Passwörter mit 20 bis 40 Zeichen ohne Anstrengung
Komplex: Ersetzen Sie «Fünf» durch 5, das «o» von «Schildkröten» durch eine 0 und fügen Sie die Zeichensetzung hinzu, um Zahlen und Symbole organisch zu integrieren

Technik 2 – Das mnemonische Akrostichon

Nehmen Sie einen persönlichen, einprägsamen Satz und verwenden Sie den ersten Buchstaben jedes Wortes.

Satz: Diesen Winter werde ich 3 Mal mit 2 Freunden in Les Diablerets Ski fahren!
Passwort: Dw,iw3miLDa2f! → geschätzte Widerstandsfähigkeit: Jahrhunderte

Detaillierte Konstruktion: erster Buchstabe jedes Wortes unter Beachtung der Großschreibung, Zahlen an ihrer Position eingefügt, «mit» durch & ersetzt, Zeichensetzung beibehalten. Das Ergebnis scheint völlig zufällig, aber Sie können es in wenigen Sekunden rekonstruieren.

Teil 4 – Die Zwei-Faktor-Authentifizierung (2FA): die wirksamste Maßnahme

Definition – Zwei-Faktor-Authentifizierung (2FA): Ein Sicherheitsmechanismus, der nach der Eingabe des Passworts eine zweite, unabhängige Überprüfung erfordert – in der Regel ein temporärer Einmalcode (TOTP), der von einer Anwendung generiert oder per SMS gesendet wird. Selbst wenn ein Angreifer Ihr Passwort erhält, kann er ohne diesen zweiten Faktor nicht auf Ihr Konto zugreifen.

Die Zwei-Faktor-Authentifizierung ist die Sicherheitsmaßnahme mit dem besten Aufwand/Schutz-Verhältnis, die im Jahr 2026 verfügbar ist.

Art der 2FA	Sicherheitsniveau	Benutzerfreundlichkeit	Empfohlen für
Code per SMS	Mittel	Sehr einfach	Anfänger
Anwendung (Google Authenticator, Authy)	Hoch	Einfach	Täglicher Gebrauch
Physischer Schlüssel (YubiKey)	Sehr hoch	Moderat	Kritische Konten

Obligatorische Aktion: Aktivieren Sie die 2FA für alle Ihre sensiblen Konten – primäre E-Mail, soziale Netzwerke, Bankdienstleistungen, Passwortmanager. Dies ist die Maßnahme mit der größten Wirkung bei geringstem Aufwand.

Teil 5 – Der Passwortmanager: die endgültige Lösung für Schweizer KMU

Definition – Passwortmanager: Eine Software, die für jeden Online-Dienst automatisch eindeutige und komplexe Passwörter generiert, speichert und ausfüllt. Die Daten werden lokal mit AES-256 verschlüsselt, bevor sie in der Cloud gespeichert oder synchronisiert werden – der Herausgeber selbst kann nicht auf Ihre Passwörter zugreifen (Zero-Knowledge-Architektur).

Ein Passwortmanager ist das effektivste Tool, um alle Ihre Konten zu sichern, da er das grundlegende Problem löst: Es ist für den Menschen unmöglich, sich Dutzende von eindeutigen und komplexen Passwörtern zu merken.

Generiert automatisch zufällige und unknackbare Passwörter für jede Website
Speichert alle Ihre Zugangsdaten unter AES-256-Verschlüsselung (Militärstandard)
Füllt automatisch die Anmeldeformulare auf Websites und in Anwendungen aus

Empfohlene Lösungen für KMU in der Westschweiz, Lausanne, Genf und Bern:

Lösung	Hosting	Open Source	Richtpreis
Bitwarden	Cloud (EU verfügbar)	Ja	Kostenlos / ~3 €/Monat/Benutzer
Proton Pass	Schweiz (Genf)	Ja	Kostenlos / ~4 €/Monat
KeePass	Lokal (auf Ihrem Gerät)	Ja	Kostenlos
1Password	Cloud	Nein	~3,50 €/Monat/Benutzer

Proton Pass, entwickelt von Proton AG (Genf, Schweiz), unterliegt dem Schweizer Datenschutzrecht – besonders relevant für Unternehmen, die im Rahmen des revDSG Daten von Schweizer Kunden verarbeiten.

51 %

der Passwörter eines Benutzers werden im Median wiederverwendet – die Hälfte der Zugriffe wird durch ein einziges Leck gefährdet. Verizon DBIR 2025

Teil 6 – Die digitale Hygiene: vier nicht verhandelbare Regeln

Digitale Sicherheit ist keine einmalige Handlung, sondern eine Routine. Hier sind die vier Grundregeln:

Verwenden Sie NIEMALS ein Passwort wieder – wenn eine Website kompromittiert wird, werden alle Ihre Konten, die dasselbe Passwort verwenden, anfällig
Erneuern Sie Ihre wichtigen Passwörter alle 6 bis 12 Monate oder sofort nach einem gemeldeten Leck
Überprüfen Sie, ob Ihre Konten auf Have I Been Pwned kompromittiert wurden – Milliarden von offengelegten Zugangsdaten
Hüten Sie sich vor Phishing: Überprüfen Sie immer die URL, bevor Sie Ihre Zugangsdaten eingeben. Das BACS hat 2024 einen besorgniserregenden Anstieg des Phishings in der Schweiz gemeldet

Fazit: drei Aktionen, die Sie noch heute ausführen sollten

Der Schutz Ihres digitalen Lebens lässt sich auf konkrete und zugängliche Aktionen reduzieren. Warten Sie nicht, bis ein Vorfall eintritt, um zu handeln.

Wählen Sie ein kritisches Konto aus (Ihre primäre E-Mail) und erstellen Sie ein neues Passwort mit 16+ Zeichen, indem Sie die Kennsatzmethode anwenden.
Aktivieren Sie noch heute die Zwei-Faktor-Authentifizierung für dieses Konto.
Testen Sie Ihre E-Mail-Adresse auf Have I Been Pwned, um herauszufinden, ob sie in bekannten Lecks enthalten ist.

Diese drei Schritte bedeuten weniger als 15 Minuten Aufwand für einen radikal besseren Schutz.

Sind Sie ein KMU in der Westschweiz, in Lausanne, Genf oder Bern?
Kontaktieren Sie das Bexxo-Team für ein Audit Ihrer Zugriffspraktiken.

Fordern Sie ein Audit an →

Häufig gestellte Fragen zu sicheren Passwörtern

Was ist die empfohlene Mindestlänge für ein sicheres Passwort im Jahr 2026?

Das NIST (National Institute of Standards and Technology, SP 800-63B Rev. 4, 2024) empfiehlt ein Minimum von 15 Zeichen. Das Schweizer BACS empfiehlt 12 Zeichen mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen. Verwenden Sie für sensible Konten 16 Zeichen oder mehr – jedes zusätzliche Zeichen multipliziert die Zeit, die zum Knacken des Passworts benötigt wird, exponentiell.

Sollte man seine Passwörter regelmäßig ändern?

Es wird empfohlen, die Passwörter wichtiger Konten alle 6 bis 12 Monate zu erneuern und sofort, wenn ein Datenleck bei einem verwendeten Dienst gemeldet wird. Ein Passwortmanager erleichtert diese regelmäßige Erneuerung, ohne die Komplexität zu beeinträchtigen.

Ist ein Passwortmanager wirklich sicher?

Anerkannte Manager (Bitwarden, Proton Pass, KeePass) verwenden eine AES-256-Verschlüsselung und eine Zero-Knowledge-Architektur: Selbst der Herausgeber kann nicht auf Ihre Daten zugreifen. Laut dem Verizon DBIR 2025 werden mehr als 51 % der Passwörter der Benutzer im Median wiederverwendet – der Manager löst dieses Problem an der Wurzel.

Was ist die Zwei-Faktor-Authentifizierung (2FA)?

2FA ist ein Sicherheitsmechanismus, der nach der Eingabe des Passworts eine zweite Überprüfung erfordert – in der Regel ein temporärer Code, der von einer Anwendung (Google Authenticator, Authy) generiert oder per SMS gesendet wird. Selbst wenn Ihr Passwort gestohlen wird, kann ein Hacker ohne diesen zweiten Faktor nicht auf Ihr Konto zugreifen.

Was ist der Unterschied zwischen einem Passwort und einem Kennsatz?

Ein Kennsatz ist eine Folge von mehreren Wörtern, die einen langen Satz bilden (20-40 Zeichen). Seine natürliche Länge macht es exponentiell schwieriger zu knacken als ein kurzes, komplexes Passwort (wie X#k9!mZ2), während es einprägsam ist. Beispiel: 5T0rtuesRosesDansentSurUnArc-en-ciel! ist sicherer und einprägsamer als X#k9!mZ2.

Woher weiß ich, ob mein Passwort kompromittiert wurde?

Überprüfen Sie Ihre E-Mail-Adresse auf Have I Been Pwned, einem kostenlosen Dienst, der von dem Sicherheitsforscher Troy Hunt gegründet wurde und Milliarden von Zugangsdaten auflistet, die in Tausenden von bekannten Lecks offengelegt wurden. Viele Manager (Bitwarden, 1Password) integrieren diese Überprüfung automatisch bei jeder Anmeldung.

Quellen: Verizon Data Breach Investigations Report 2025 · NIST SP 800-63B Rev. 4 (2024) – pages.nist.gov/800-63-4 · BACS – Bundesamt für Cybersicherheit, ncsc.admin.ch (2025) · Have I Been Pwned – haveibeenpwned.com (Troy Hunt) · zxcvbn-Rechner (Annahme: 10.000 Versuche/Sekunde, geschützter Server)