World Password Day 2026 — wie sicher sind Ihre Passwörter wirklich?

Am ersten Donnerstag im Mai ist World Password Day — ein Aktionstag, der seit 2013 jährlich auf die Bedeutung sicherer Passwörter aufmerksam macht. 2026 fällt der Tag auf den 7. Mai. Anlass genug, einen Blick auf die aktuellen Zahlen zu werfen: Wie schnell knackt moderne Hardware heute eigentlich Passwörter? Und was bedeutet das ganz praktisch für kleine und mittelständische Unternehmen?

Die nüchterne Realität: Cracking-Zeiten 2026

Wer in Studien und Sicherheitsblogs nach Cracking-Zeiten sucht, stößt auf scheinbar widersprüchliche Werte. Eine Quelle nennt für ein achtstelliges Passwort wenige Millisekunden — eine andere mehrere Wochen oder gar Jahre. Beide Werte sind nicht falsch; sie beziehen sich auf unterschiedliche Annahmen.

Die drei entscheidenden Variablen sind:

• Hash-Verfahren der Anwendung (z. B. das veraltete MD5 vs. das moderne bcrypt)
• Zur Verfügung stehende Hardware (eine GPU vs. ein Cluster aus zwölf NVIDIA-RTX-5090-Karten)
• Zeichensatz des Passworts (nur Ziffern, nur Buchstaben oder alle Zeichentypen inklusive Sonderzeichen)

Die folgende Tabelle zeigt typische Brute-Force-Cracking-Zeiten für zufällig gewählte Passwörter gegen modern gehashte Daten (bcrypt mit realitätsnahem Cost-Faktor 10), basierend auf 12x NVIDIA RTX 5090. Die Werte sind Schätzungen und sollen Größenordnungen vermitteln — nicht Sekunden-Genauigkeit.

Länge	Buchstaben + Zahlen	Buchstaben + Zahlen + Sonderzeichen
8 Zeichen	~ 15 Tage	~ 165 Jahre
10 Zeichen	~ 100 Jahre	~ 1 Mio. Jahre
12 Zeichen	~ 350.000 Jahre	~ 3 Mrd. Jahre
13 Zeichen	~ 3 Mio. Jahre	~ 200 Mrd. Jahre

Quellen: Hive Systems Password Table 2025, Brute-Force-Berechnungen via 1pw.de.

Wichtig: Liegt das Passwort gehasht in einer Datenbank, die noch MD5 oder SHA-1 verwendet, sind die Cracking-Zeiten dramatisch niedriger — ein achtstelliges Passwort kann dann in Sekunden bis Minuten geknackt werden. Genau deshalb sind nicht nur die Passwörter selbst, sondern auch die dahinterliegenden Verfahren entscheidend.

Die zentrale Erkenntnis: Ein Standard-Passwort mit 8 Zeichen — wie es in vielen Unternehmen noch Alltag ist — hält modernen Angriffen teilweise nur wenige Sekunden stand. Selbst mit Sonderzeichen sind es bei veralteten Hash-Verfahren nur Minuten. Erst ab 13 Zeichen lohnt sich der Aufwand für Angreifer schlicht nicht mehr — die benötigte Rechenzeit übersteigt jedes realistische Szenario. Länge schlägt Komplexität — jedenfalls dann, wenn das Passwort wirklich zufällig ist und nicht aus einem Wörterbuch stammt.

Ein zusätzlicher Trend, der die Lage weiter verschärft: Verglichen mit der Vorjahres-Tabelle hat sich die Cracking-Geschwindigkeit gegenüber 2024 nochmals um knapp 20 Prozent erhöht. Mit spezialisierter KI-Hardware — derselben Klasse, die auch für das Training großer Sprachmodelle eingesetzt wird — schrumpfen die Zeiträume nochmals dramatisch.

Was bedeutet das für Ihr Unternehmen?

In unserem Artikel IT-Sicherheit für KMU: 5 Maßnahmen die sofort wirken haben wir bereits die wichtigsten Grundlagen zusammengefasst. Passwort-Sicherheit ist dabei einer der zentralen Hebel. Drei Konsequenzen, die wir aus den aktuellen Zahlen ziehen:

1. Mindestlänge anheben — konsequent

Eine Passwortrichtlinie, die “mindestens 8 Zeichen” vorgibt, ist 2026 nicht mehr zeitgemäß. Die aktuellen Empfehlungen des National Institute of Standards and Technology (NIST) in der 2025 final veröffentlichten Revision 4 der SP 800-63-Reihe setzen auf längere Passwörter, blocklist-basierte Prüfungen und das Vermeiden unnötiger Komplexitätszwänge. Für neue Passwörter sind mindestens 12 bis 15 Zeichen ein sinnvoller Praxiswert — insbesondere in Kombination mit MFA.

Ebenfalls klar in den aktuellen NIST-Empfehlungen: Erzwungene regelmäßige Passwortwechsel werden ausdrücklich nicht mehr empfohlen — außer bei einem konkreten Verdacht auf Kompromittierung. Der Grund: Anwender umgehen häufige Wechselzwänge erfahrungsgemäß durch minimale Variationen (“Sommer2025!” → “Sommer2026!”), was die Sicherheit eher senkt.

2. Mehrfaktor-Authentifizierung ist die wichtigste Einzelmaßnahme

Selbst das stärkste Passwort hilft nichts, wenn es per Phishing oder Social Engineering abgegriffen wird. Die Zahl KI-gestützter Phishing-Mails steigt rasant — klassische Erkennungsmerkmale wie Rechtschreibfehler oder holprige Übersetzungen fallen zunehmend weg. Angreifer setzen KI-Tools ein, um täuschend echte Nachrichten in Sekundenschnelle zu generieren.

Mehrfaktor-Authentifizierung (MFA) — idealerweise mit phishing-resistenten Verfahren wie FIDO2/Passkeys statt SMS-Codes — ist daher die wirksamste Einzelmaßnahme. MFA mit FIDO2/Passkeys ist gegenüber SMS-Codes klar vorzuziehen, da SMS-Codes per SIM-Swapping oder Umleitung abgefangen werden können. Wie MFA in ein umfassendes Sicherheitskonzept passt, erklären wir in unserem Artikel zum Zero-Trust-Ansatz für KMU.

3. Passwort-Manager sind kein Komfort-, sondern ein Sicherheitsthema

Ein durchschnittlicher Anwender verwaltet rund 100 Accounts. Es ist illusorisch zu erwarten, dass jeder Mitarbeiter dafür hundert lange, einzigartige Passwörter im Kopf behält. Die Praxis sieht entsprechend aus: Passwörter werden wiederverwendet, in Excel-Dateien gespeichert oder auf Notizzetteln aufgeschrieben.

Ein zentral verwalteter Passwort-Manager — ob lokal gehostet oder als Cloud-Dienst — senkt das Risiko spürbar, wenn er sauber konfiguriert ist:

• Master-Passwort kombiniert mit einem zweiten Faktor (z. B. Hardware-Token)
• Klare Trennung von Berechtigungen (Vertrieb sieht keine Buchhaltungs-Logins)
• Definierter Notfall-Recovery-Prozess für Ausnahmefälle
• Regelmäßige Auswertung schwacher oder mehrfach verwendeter Passwörter

Ein Blick auf die aktuelle Bedrohungslage

Parallel zum Trend “stärkere Passwörter” lohnt sich der Blick auf die Bedrohungslage in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in den letzten Wochen verstärkt vor mehreren Phänomenen:

• Quishing (Phishing per QR-Code) hat sich zu einer der am schnellsten wachsenden Angriffsmethoden entwickelt. Laut einer Analyse von Microsoft stieg das Quishing-Volumen allein von Januar bis März 2026 um 146 Prozent. Manipulierte QR-Codes tauchen auf Parkscheinautomaten, in gefälschten Rechnungen oder in E-Mails auf. Das BSI warnt: “Durch KI erreicht das Quishing eine neue Dimension.”
• ClickFix-Kampagnen mit gefälschten CAPTCHA-Abfragen sollen Anwender dazu bringen, eigenständig Schadcode aus der Zwischenablage auszuführen.
• NIS2-Umsetzung: Mit der nationalen Umsetzung der EU-NIS2-Richtlinie rücken phishing-resistente Authentifizierungsverfahren bei privilegierten Zugängen stärker in den Fokus regulatorischer Anforderungen.

Warum gerade Ihre Mitarbeiter die wichtigste Verteidigungslinie gegen diese Bedrohungen sind, haben wir in einem separaten Beitrag ausführlich beleuchtet.

Unser Fazit für KMU

Passwort-Sicherheit ist keine technische Detailfrage — sie ist eine der zentralen Stellschrauben für die Cyber-Resilienz eines Unternehmens. Die wichtigsten Punkte zusammengefasst:

1. Mindestens 12 bis 15 Zeichen für neue Passwörter — lieber Passphrasen als Sonderzeichen-Hieroglyphen
2. MFA überall, wo es geht — FIDO2/Passkeys sind gegenüber SMS-Codes vorzuziehen
3. Passwort-Manager zentral einführen, nicht jeder Mitarbeiter mit eigener Lösung
4. Awareness regelmäßig auffrischen — einmalige Schulungen verpuffen
5. Keine erzwungenen Wechselzyklen — nur bei konkretem Verdacht auf Kompromittierung

Häufige Fragen zur Passwort-Sicherheit

Wie lang sollte ein sicheres Passwort 2026 mindestens sein?

Aktuelle Empfehlungen (unter anderem vom NIST) legen einen Praxiswert von mindestens 12 bis 15 Zeichen nahe. Entscheidend ist dabei vor allem die Länge — nicht die Anzahl verschiedener Zeichentypen. Eine Passphrase wie "Kaffee-Montag-Regen-Buch" ist sicherer und leichter zu merken als "P@s5w0rd!".

Muss ich mein Passwort regelmäßig ändern?

Nach den aktuellen NIST-Empfehlungen (SP 800-63 Revision 4, 2025) wird ein erzwungener regelmäßiger Passwortwechsel ausdrücklich nicht mehr empfohlen. Passwörter sollten nur dann geändert werden, wenn ein konkreter Verdacht auf Kompromittierung besteht.

Was ist sicherer — SMS-Code oder FIDO2/Passkeys?

FIDO2/Passkeys sind deutlich sicherer als SMS-Codes. SMS können per SIM-Swapping, SS7-Angriff oder Umleitung abgefangen werden. FIDO2 basiert auf kryptographischen Schlüsseln, die das Gerät nie verlassen, und ist damit phishing-resistent.

Braucht mein kleines Unternehmen wirklich einen Passwort-Manager?

Ja. Ab etwa 10 verschiedenen Diensten (E-Mail, ERP, Cloud-Speicher, Banking etc.) ist es unrealistisch, überall einzigartige, lange Passwörter zu verwenden — ohne dass Mitarbeiter auf unsichere Notlösungen wie Excel-Listen oder Notizzettel zurückgreifen. Ein zentral verwalteter Passwort-Manager mit MFA ist die praktikabelste Lösung.

Was ist Quishing und warum nimmt es zu?

Quishing ist Phishing per QR-Code. Angreifer platzieren manipulierte QR-Codes auf Parkscheinautomaten, in Briefen oder E-Mails. Beim Scannen wird man auf eine täuschend echte Fake-Webseite geleitet. Laut Microsoft stieg das Quishing-Volumen allein in Q1/2026 um 146 Prozent. Das BSI warnt, dass KI die Qualität dieser Angriffe erheblich steigert.

Sie wollen das Thema in Ihrem Unternehmen sauber aufstellen?

Wir unterstützen kleine und mittelständische Unternehmen in der Region Hildesheim und darüber hinaus bei der praktischen Umsetzung — von der Passwort-Richtlinie über die Einführung eines Passwort-Managers bis zur Mitarbeiter-Awareness-Schulung. Sprechen Sie uns gerne an.

---

Quellen

• Hive Systems Password Table 2025 (hivesystems.com/password)
• 1pw.de — Brute-Force-Attacke und Passwortlänge
• heise online: Studie zu Passwort-Cracking 2025 (heise.de)
• NIST SP 800-63 Revision 4 (pages.nist.gov/800-63-4/) — final veröffentlicht 2025
• BSI — Bundesamt für Sicherheit in der Informationstechnik (bsi.bund.de)
• BSI Newsletter “Einfach Cybersicher” 01.04.2026 — KI-gestütztes Quishing

---

Lars Neumann ist Inhaber von LNIT — Lars Neumann IT, einem IT-Systemhaus und Managed Services Provider mit Sitz in Diekholzen bei Hildesheim. LNIT betreut kleine und mittelständische Unternehmen in den Bereichen IT-Infrastruktur, Cyber-Sicherheit, Telefonie und Dokumentenmanagement.