Passwort-Wiederverwendung ist out: Die 8 goldenen Regeln für sichere Logins in KMU

Erkenntnis-Vorsprung geliefert von Experten

Dieser Beitrag ist keine graue Theorie zu abstrakten Bedrohungen. Vielmehr haben hier drei Experten Ihre Erfahrungen aus der täglichen Arbeit für euch ausgewertet und 8 Goldenne Regeln aufgestellt:

• Jürgen Wirobski: Vorstandsmitglied, BAFA- und INQA-akkreditierter Prozessberater mit den Schwerpunkten Unternehmensnachfolge, Merchant Acquisition und Strategiebegleitung. Wirobski und Rathje GbR. Website
• Wolfgang Koll: Stv. Landesvorsitzender, Inhaber der Agentur N3MO. Spezialisiert auf menschzentrierte Kommunikation und Recruiting für. Als Anwender KI-Pionier („Keine KI ohne IQ“) begleitet er Unternehmen bei der Generative AI Optimization (GAIO) und der Umsetzung barrierefreier Webauftritte. Website
• Werner Lassen: Mitglied, Experte für  digitale, vollautomatische Arbeitssicherheit und Cybersicherheit. Bietet speziell für den Mittelstand bezahlbare Lösungen. Website

Cyberangriffe zielen heute selten auf „ein Passwort“. Häufiger werden Konten übernommen – und damit E-Mail, Cloud-Daten, Rechnungsprozesse und Kundenkommunikation.  

Die gute Nachricht: Mit wenigen, pragmatischen Maßnahmen senkst du das Risiko spürbar – ohne Perfektionsanspruch, nach dem Pareto-Prinzip. 

Vorab die wichtigste Klarstellung: Passwörter sind nicht „out“. Out ist, Passwörter im Kopf zu merken und immer wieder dasselbe zu nutzen. Genau das nutzen Angreifer aus. 

Die 8 goldenen Regeln (Pareto-tauglich und sofort umsetzbar) 

1) Nicht merken – verwalten: Passwortmanager statt Kopf 

Wo Passwörter noch nötig sind: Nutze einen Passwortmanager und erstelle für jeden Dienst ein eigenes, langes Passwort. Das ist der größte Hebel gegen Kontoübernahmen durch „Leak + Wiederverwendung“. 

2) Passkeys aktivieren – überall, wo es geht 

Passkeys sind ein echter Sicherheitsgewinn, weil kein Passwort eingegeben und abgefangen werden kann. Viele Plattformen bauen Passkeys konsequent aus. 
Nicht jeder Dienst kann das schon – darum gilt: Passkeys dort, wo möglich; sonst Regel 1 und 3. 

3) MFA sinnvoll nutzen: von „irgendwie“ zu „wirksam“ 

Multi-Faktor-Authentifizierung (MFA) ist Pflicht – aber nicht jede Variante ist gleich stark. SMS ist vergleichsweise anfälliger (z. B. SIM-Swap/SS7/Phishing). CISA empfiehlt „phishing-resistant MFA“ als stärkste Form. 
Pragmatisch: Starte mit App-MFA, priorisiere Finanz- und Admin-Konten und steigere später auf phishing-resistente Verfahren (z. B. Security Key/FIDO2). 

4) E-Mail ist dein Generalschlüssel – Postfächer besonders schützen 

Wer Zugriff aufs E-Mail-Postfach hat, kann oft Passwörter zurücksetzen und Prozesse kapern. Prüfe regelmäßig: Regeln, Weiterleitungen, unbekannte Geräte/Anmeldungen. Manipulierte Inbox-Rules sind ein typisches Muster, um Kommunikation zu verstecken oder umzuleiten. 

5) Alte Zugänge schließen: Legacy reduzieren 

Viele erfolgreiche Angriffe nutzen veraltete Anmeldewege. Schau, ob ältere Clients/Protokolle/„Sonderlösungen“ wirklich nötig sind – und schalte unnötige Altpfade ab. 

6) Domain-Schutz aktivieren (SPF/DKIM/DMARC) 

SPF/DKIM/DMARC reduzieren Spoofing und Imitation deiner Domain deutlich und sind heute Basishygiene – gerade bei Angeboten, Rechnungen und Vertragskommunikation per E-Mail. 

7) Admin-Rechte klein halten: getrennte Konten, nur bei Bedarf 

Ein kompromittiertes Konto darf nicht „alles können“. Trenne Standard- und Admin-Konto und gib Admin-Rechte nur bei Bedarf (zeitlich begrenzt, nachvollziehbar). 

8) 30-Minuten-Notfallplan statt Perfektion 

Schreib kurz auf: Wer reagiert? Welche Konten sind kritisch (E-Mail, Cloud, Banking)? Was sind die ersten Schritte (Zugang sperren, MFA/Recovery prüfen, Regeln/Weiterleitungen kontrollieren)? Ein kleiner Plan ist besser als „Hoffen“. 

Bonus-Tipps (optional, aber sehr wirkungsvoll) 

Die folgenden Punkte sind bewusst als Ergänzung gedacht: nicht als neue Pflicht, sondern als „wenn du noch einen Schritt weitergehen willst“. 

Bonus 1) Für Logins nicht dein echtes Haupt-Postfach nutzen – lieber Alias/Weiterleitung 

Nutze für Registrierungen und Logins nach Möglichkeit Alias- oder Weiterleitungs-Adressen statt deiner „echten“ Hauptadresse. Vorteil: Wenn eine Adresse später in Spamlisten/Leaks landet, kannst du sie gezielt stilllegen oder umleiten, ohne dein zentrales Postfach aufzugeben. 
Wichtig: Die Alias-Adresse muss Recovery-Mails zuverlässig erreichen. 

Bonus 2) Login-Mailadressen regelmäßig auf Leaks prüfen

Gerade die E-Mail-Adressen, die du als Login nutzt, solltest du regelmäßig auf bekannte Leaks prüfen. Der HPI Identity Leak Checker zeigt dazu auch öffentliche Statistikwerte: aktuell (Januar 2026) 14.508.455.217 Accounts aus 1.986 Leaks und im Schnitt 1.505.859 geleakte Accounts pro Tag (die Zahlen ändern sich laufend). 
Hinweis: Aus Datenschutzgründen liefert der Dienst keine vollständigen Details zu einzelnen Leak-Inhalten. 

Bonus 3) „Detonation statt Raten“: Sandboxing für Anhänge und Links 

Viele Schadprogramme sehen auf den ersten Blick harmlos aus. Sandboxing öffnet verdächtige Anhänge/Links in einer isolierten Umgebung und bewertet das Verhalten, bevor Nutzer damit arbeiten. 
Wichtig: Sandboxing ist meist Teil einer E-Mail-Sicherheitslösung oder eines Security Gateways und ergänzt (statt ersetzt) andere Schutzschichten. 

Bonus 4) Cyberversicherung prüfen – als finanzielle Rückfallebene, nicht als Ersatz 

Eine Cyber-Police kann für KMU sinnvoll sein, um z. B. Kosten für Incident Response, Betriebsunterbrechung oder bestimmte Haftungsfragen abzufedern. Gleichzeitig gilt: Policen enthalten Bedingungen/Obliegenheiten und teils Ausschlüsse; der GDV stellt dafür Musterbedingungen bereit. 
Pragmatisch: Cyberversicherung ja – aber zusammen mit Grundschutzmaßnahmen (sonst drohen Leistungskürzungen oder Ablehnungen im Streitfall). 

Bonus 5) Nutze eine eigene Domain und einen deutschen/europäischen Anbieter – vermeide Freemailer, wenn’s geschäftlich wird 

Wenn du geschäftlich kommunizierst, ist eine eigene Domain (z. B. name@deinbetrieb.de) fast immer die bessere Basis – sowohl für Seriosität als auch für Kontrolle. 

Warum das sinnvoll ist: 

• Du kontrollierst deine Identität: Mit eigener Domain kannst du Postfächer, Aliase und Weiterleitungen sauber steuern (und bei Bedarf auch den Anbieter wechseln), ohne deine E-Mail-Adresse zu verlieren. 

• Freemailer finanzieren sich häufig indirekt über Daten/Ads: „Kostenlos“ bedeutet bei vielen Internetdiensten, dass das Geschäftsmodell über Werbung und Datenverwertung mitläuft – du bezahlst also nicht mit Geld, sondern (zumindest teilweise) mit Daten und Aufmerksamkeit.  
   

• EU/DE-Anbieter erleichtern Datenschutz- und Vertragsfragen: Die DSGVO verlangt nicht zwingend EU-Hosting – aber für viele Unternehmen ist es organisatorisch einfacher, wenn Datenverarbeitung und Vertragspartner in Europa sitzen und Drittlandtransfers reduziert werden.  

• Pareto-Empfehlung: 
  Wenn du heute bei einem Freemailer bist, musst du nicht panisch wechseln. Aber: Für zentrale geschäftliche Konten (E-Mail, Cloud-Admin, Buchhaltung) lohnt sich der Umstieg auf eigene Domain + professionelles Mail-Hosting fast immer. 

Start heute: 30 Minuten Minimal-Check (ohne Überforderung) 

1. Passwortmanager konsequent für alle Logins nutzen (keine Wiederverwendung). 

2. MFA für E-Mail/Cloud/Banking aktivieren und auf die wirksamere Variante umstellen. 

3. Postfach-Regeln/Weiterleitungen prüfen und „komische“ Anmeldehinweise ernst nehmen. 

4. Passkeys aktivieren, wo verfügbar. 

5. Optional: Alias-Logins einführen und Leak-Checks für Login-Mailadressen etablieren. 

Brauchst du weitere Tipps oder Beratung? Unser Professionals der BDS SG Community helfen die gerne weiter. Melde dich einfach: office@bds-sh.de