Passwörter und Authentifizierung richtig umsetzen -- So schützt du dein Startup
Hand aufs Herz: Wie viele deiner Passwörter sind wirklich einzigartig und stark? Und wie viele sind Variationen von "Startup2028!" oder dem Namen deines Hundes? Keine Sorge, du bist nicht allein. Aber genau hier liegt eines der grössten Sicherheitsrisiken für dein Startup.
Im ersten Beitrag unserer Cybersecurity-Serie haben wir die Grundlagen besprochen. Jetzt wird es konkret: Passwörter und Authentifizierung sind deine erste Verteidigungslinie -- und die muss sitzen.
Warum Passwörter immer noch wichtig sind
Trotz aller Fortschritte in der Biometrie und bei passwortlosen Verfahren sind Passwörter nach wie vor der Standard für die meisten Online-Dienste. Und die Statistiken sind erschreckend:
- 81% aller Datenlecks gehen auf schwache oder gestohlene Passwörter zurück
- Das durchschnittliche Passwort wird in unter 10 Sekunden geknackt
- 65% der Menschen verwenden dasselbe Passwort für mehrere Dienste
- 123456 ist immer noch eines der häufigsten Passwörter weltweit
Als Startup-Gründer im Burgenland denkst du vielleicht: "Bei uns gibt es nichts zu holen." Falsch gedacht. Dein E-Mail-Konto, dein Cloud-Speicher, dein Bankkonto, dein CRM -- all das ist über Passwörter geschützt. Und wenn ein Passwort fällt, fallen oft alle.
Was ein sicheres Passwort ausmacht
Vergiss alles, was du früher über Passwörter gelernt hast. Die alten Regeln ("mindestens 8 Zeichen, Grossbuchstaben, Sonderzeichen") sind überholt. Hier sind die aktuellen Best Practices:
Länge schlägt Komplexität
Ein langes Passwort ist sicherer als ein kurzes, komplexes. Warum? Weil die Rechenzeit zum Knacken exponentiell mit der Länge steigt:
| Passwort-Typ | Beispiel | Zeit zum Knacken |
|---|---|---|
| 6 Zeichen, einfach | "katze1" | Sofort |
| 8 Zeichen, komplex | "K@tz3!x9" | Wenige Stunden |
| 12 Zeichen, gemischt | "MeineKatzeIstSuper" | Mehrere Jahre |
| 16+ Zeichen, Passphrase | "BurgenlandHatDieBestenStartups2028" | Praktisch unknackbar |
Passphrasen statt Passwörter
Die beste Methode ist eine Passphrase -- eine Reihe von zufälligen Wörtern, die du dir merken kannst:
- Gut: "Neusiedlersee-Schilf-Radweg-Sonne-42"
- Schlecht: "P@ssw0rt!"
- Gut: "Eisenstadt-Schloss-Esterhazy-Burgenland"
- Schlecht: "qwerty123"
Die Diceware-Methode ist besonders empfehlenswert: Du würfelst zufällig Wörter aus einer Liste. Schon 5-6 Wörter ergeben ein Passwort, das praktisch unknackbar ist.
Was du vermeiden solltest
- Persönliche Informationen: Name, Geburtsdatum, Firma, Haustier
- Wörterbuch-Wörter: Einzelne Wörter, auch mit Zahlen am Ende
- Tastaturmuster: "qwertz", "123456", "asdfgh"
- Bekannte Substitutionen: "P@ssw0rt" ist nicht sicherer als "Passwort"
- Wiederverwendung: Jeder Dienst braucht ein eigenes Passwort
Passwort-Manager -- dein wichtigstes Security-Tool
Wenn du aus diesem Beitrag nur eine Sache mitnimmst, dann diese: Nutze einen Passwort-Manager. Punkt.
Warum ein Passwort-Manager unverzichtbar ist
Du kannst dir unmöglich für jeden Dienst ein einzigartiges, starkes Passwort merken. Ein durchschnittliches Startup nutzt 30-50 verschiedene Tools und Dienste. Ein Passwort-Manager:
- Generiert starke, zufällige Passwörter
- Speichert sie sicher verschlüsselt
- Füllt sie automatisch in Login-Formulare ein
- Synchronisiert über alle Geräte
- Warnt dich bei kompromittierten Passwörtern
Die besten Passwort-Manager für Startups
Hier eine Übersicht der empfehlenswertesten Optionen:
Bitwarden
- Open Source und transparent
- Kostenlose Version für Einzelpersonen
- Team-Plan ab 4 EUR pro Nutzer/Monat
- Self-Hosting möglich
- DSGVO-konform
- Empfehlung für preisbewusste Startups
1Password
- Hervorragende Benutzeroberfläche
- Business-Plan ab 8 EUR pro Nutzer/Monat
- Watchtower-Funktion warnt bei Sicherheitsproblemen
- Guter Team-Support
- Startup-Programm mit Rabatten verfügbar
KeePass
- Komplett kostenlos und Open Source
- Lokale Speicherung -- keine Cloud nötig
- Sehr flexibel, aber weniger benutzerfreundlich
- Gut für technisch versierte Teams
Passwort-Manager im Team einführen
So führst du einen Passwort-Manager in deinem Startup ein:
- Wähle einen Anbieter: Für die meisten Startups empfehle ich Bitwarden (Preis-Leistung) oder 1Password (Benutzerfreundlichkeit)
- Richte ein Team-Konto ein: Erstelle Ordner für verschiedene Bereiche (Marketing, Entwicklung, Finanzen)
- Migriere bestehende Passwörter: Die meisten Manager können Passwörter aus Browsern importieren
- Definiere Regeln: Mindestlänge 16 Zeichen, automatische Generierung für neue Dienste
- Schulung: Zeig deinem Team, wie der Manager funktioniert
- Browser-Passwörter deaktivieren: Keine Passwörter mehr im Browser speichern
Zwei-Faktor-Authentifizierung (2FA) -- dein Sicherheitsnetz
Selbst das beste Passwort kann gestohlen werden. Deshalb brauchst du eine zweite Sicherheitsebene: die Zwei-Faktor-Authentifizierung.
Was ist 2FA?
Bei 2FA musst du beim Login zwei verschiedene Nachweise erbringen:
- Etwas, das du weisst (Passwort)
- Etwas, das du hast (Smartphone, Hardware-Key) oder etwas, das du bist (Fingerabdruck)
Selbst wenn ein Angreifer dein Passwort kennt, kommt er ohne den zweiten Faktor nicht rein.
2FA-Methoden im Vergleich
| Methode | Sicherheit | Bequemlichkeit | Empfehlung |
|---|---|---|---|
| SMS-Code | Niedrig | Hoch | Nicht empfohlen |
| Authenticator-App | Hoch | Mittel | Standard-Empfehlung |
| Hardware-Key (z.B. YubiKey) | Sehr hoch | Mittel | Für kritische Zugänge |
| Push-Benachrichtigung | Mittel | Hoch | Gute Alternative |
| Biometrie | Hoch | Sehr hoch | Ergänzend |
Warum SMS-Codes unsicher sind
SMS-basierte 2FA ist besser als keine 2FA, aber sie hat ernste Schwächen:
- SIM-Swapping: Angreifer übernehmen deine Telefonnummer
- SS7-Schwachstellen: Das Telefonprotokoll hat bekannte Sicherheitslücken
- Abfangen: SMS können technisch abgefangen werden
Nutze stattdessen eine Authenticator-App wie:
- Google Authenticator: Einfach und zuverlässig
- Authy: Backup-Funktion und Multi-Device-Support
- Microsoft Authenticator: Gut integriert mit Microsoft-Diensten
Wo du 2FA unbedingt aktivieren solltest
Priorisiere diese Dienste:
- E-Mail-Konto (der Schlüssel zu allem)
- Cloud-Dienste (AWS, Google Cloud, Azure)
- Bankkonto und Finanz-Tools
- Domain-Registrar (jemand könnte deine Domain stehlen)
- Code-Repository (GitHub, GitLab)
- Passwort-Manager (schütze den Schlüssel zum Tresor)
- Social-Media-Konten
- CRM und Kundendaten
Hardware-Security-Keys -- das Nonplusultra
Für maximale Sicherheit empfehle ich Hardware-Security-Keys wie den YubiKey:
Vorteile
- Phishing-resistent (funktioniert nur auf der echten Webseite)
- Keine Batterie nötig
- Extrem robust und langlebig
- Unterstützt FIDO2/WebAuthn-Standard
Empfehlung für Startups
- Kaufe mindestens 2 Keys pro Person (einen als Backup)
- YubiKey 5 NFC ist eine gute Wahl (USB-A/USB-C + NFC)
- Kosten: ca. 50-70 EUR pro Key
- Setze sie mindestens für Gründer und Admins ein
Passwort-Richtlinien für dein Startup
Erstelle eine einfache Passwort-Richtlinie für dein Team. Hier ein Vorschlag:
Passwort-Policy (Vorlage)
Geltungsbereich: Alle Mitarbeiter und Auftragnehmer
Passwort-Anforderungen:
- Mindestlänge: 16 Zeichen (oder 4+ zufällige Wörter)
- Alle Passwörter müssen im Passwort-Manager gespeichert werden
- Kein Passwort darf für mehrere Dienste verwendet werden
- Automatische Passwort-Generierung ist Standard
2FA-Anforderungen:
- 2FA ist Pflicht für alle geschäftlichen Konten
- Authenticator-App oder Hardware-Key (keine SMS)
- Backup-Codes müssen sicher verwahrt werden
Verboten:
- Passwörter per E-Mail, Chat oder Telefon teilen
- Passwörter in Klartext speichern (Notizzettel, Textdateien)
- Passwörter im Browser speichern
- Firmen-Passwörter für private Konten verwenden
Bei Verdacht auf Kompromittierung:
- Passwort sofort ändern
- Vorfall an die zuständige Person melden
- Alle aktiven Sessions beenden
Single Sign-On (SSO) für Startups
Wenn dein Team wächst, wird SSO interessant. Damit melden sich deine Mitarbeiter einmal an und haben Zugang zu allen verbundenen Diensten.
Vorteile
- Weniger Passwörter = weniger Risiko
- Zentrales Management von Zugriffsrechten
- Einfacheres Onboarding und Offboarding
- Bessere Übersicht über alle Zugänge
Anbieter für Startups
- Google Workspace: Wenn ihr schon Google nutzt
- Microsoft Entra ID: Für Microsoft-zentrierte Teams
- Okta: Marktführer, aber teurer
- Auth0: Gut für Entwickler-Teams
Passwörter in der Software-Entwicklung
Wenn dein Startup Software entwickelt, gibt es zusätzliche Regeln:
Secrets Management
- Keine Passwörter im Code: Niemals Zugangsdaten in den Quellcode schreiben
- Umgebungsvariablen nutzen: Konfiguration gehört in .env-Dateien (die nicht ins Git-Repository kommen)
- Secrets Manager verwenden: AWS Secrets Manager, HashiCorp Vault oder ähnliche Tools
- Regelmässig rotieren: API-Keys und Tokens regelmässig erneuern
Mehr dazu in unserem Beitrag zu Sicherer Software-Entwicklung.
Passwort-Hashing
Wenn du Benutzer-Passwörter speicherst:
- Verwende bcrypt, Argon2 oder scrypt -- niemals MD5 oder SHA-1
- Verwende immer einen Salt (zufälliger Wert, der dem Passwort hinzugefügt wird)
- Setze die Cost-Parameter hoch genug (bcrypt: mindestens 12 Runden)
- Speichere niemals Passwörter im Klartext
Praxistipps für den Alltag
Recovery-Optionen absichern
- Sichere deine 2FA-Backup-Codes im Passwort-Manager oder ausgedruckt an einem sicheren Ort
- Richte Recovery-E-Mail-Adressen ein, die ebenfalls mit 2FA geschützt sind
- Dokumentiere, wer Zugang zu Recovery-Optionen hat
Offboarding nicht vergessen
Wenn jemand dein Startup verlässt:
- Sofort alle Zugänge sperren
- Passwörter für geteilte Konten ändern
- API-Keys und Tokens erneuern
- Geräte zurücksetzen oder einsammeln
Regelmässiger Passwort-Audit
Führe vierteljährlich einen Passwort-Audit durch:
- Gibt es noch geteilte Passwörter?
- Sind alle Konten mit 2FA geschützt?
- Gibt es verwaiste Konten (ehemalige Mitarbeiter)?
- Zeigt der Passwort-Manager kompromittierte Passwörter an?
Die Zukunft: Passwortlose Authentifizierung
Passkeys und FIDO2/WebAuthn sind die Zukunft. Immer mehr Dienste unterstützen passwortlose Logins:
- Apple Passkeys: In iOS und macOS integriert
- Google Passkeys: Über den Google-Account
- Windows Hello: Biometrische Anmeldung
Für dein Startup bedeutet das: Nutze Passkeys, wo sie verfügbar sind, aber verlasse dich noch nicht ausschliesslich darauf. Der Passwort-Manager bleibt vorerst unverzichtbar.
Checkliste: Passwörter und Authentifizierung
Hier deine Sofort-Checkliste:
- Passwort-Manager für das gesamte Team einrichten
- Alle bestehenden Passwörter migrieren
- Passwort-Richtlinie erstellen und kommunizieren
- 2FA für alle kritischen Dienste aktivieren
- Authenticator-App statt SMS verwenden
- Browser-Passwörter deaktivieren
- Backup-Codes sicher verwahren
- Hardware-Keys für Gründer und Admins beschaffen
- Offboarding-Prozess definieren
- Vierteljährlichen Passwort-Audit planen
Fazit
Passwörter und Authentifizierung sind kein glamouröses Thema, aber eines der wichtigsten für die Sicherheit deines Startups. Mit einem Passwort-Manager und konsequenter 2FA hast du schon 90% der gängigen Angriffe abgewehrt. Der Aufwand ist minimal, der Schutz maximal.
Im nächsten Beitrag unserer Serie widmen wir uns dem Thema HTTPS, SSL und sichere Webseiten -- ein Muss für jedes Startup mit Online-Präsenz.
Dieser Beitrag ist Teil der Serie "Cybersecurity für Startups" auf dem Startup Burgenland Blog. Du baust gerade dein Startup auf und brauchst Unterstützung? Startup Burgenland bietet dir Beratung, Förderungen und ein starkes Netzwerk -- von der Idee bis zum Markteintritt. Melde dich bei uns und werde Teil der wachsenden Startup-Community im Burgenland!
Dies ist Beitrag 2 von 10 der Serie "Cybersecurity für Startups" in der Kategorie Produkt und Technologie.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.