Ein unterschätztes Risiko in Organisationen
Ob in der kommunalen Einrichtung, im Verein oder in einem Unternehmen – überall dort, wo Menschen mit digitalen Systemen arbeiten, spielen Passwörter eine zentrale Rolle. Sie schützen sensible Informationen, personenbezogene Daten, interne Abläufe und IT-Infrastruktur. Und trotzdem erleben Datenschutzbeauftragte in Organisationen immer wieder das Gleiche: Auf eine freundlich formulierte
Nachfrage hin wird das persönliche Passwort bereitwillig weitergegeben – ganz ohne Argwohn. Das ist kein seltenes Einzelfall-Phänomen, sondern ein verbreitetes Muster. Und es zeigt: Selbst die besten Richtlinien und IT-Sicherheitskonzepte helfen wenig, wenn sie im Alltag nicht gelebt werden. Es braucht mehr als technische Lösungen – es braucht ein klares Bewusstsein bei den Mitarbeitenden.
Übersicht
1) Die überraschend einfache Preisgabe
Viele Organisationen setzen auf Firewalls, Virenscanner und komplexe IT-Richtlinien. Aber das eigentliche Risiko sitzt nicht in der Technik – sondern vor dem Bildschirm. Passwörter sind der direkteste Zugang zu geschützten Informationen: personenbezogene Daten, Mails, Verträge, Systeme, Verzeichnisse. Und trotzdem wird ihre Weitergabe oft so behandelt, als sei es nur eine nette Gefälligkeit. Was sich harmlos anfühlt – etwa einem Kollegen schnell Zugang zu verschaffen, weil dieser „nur eben was nachsehen“ will – ist in Wahrheit eine fundamentale Sicherheitslücke.
Und sie ist kein Einzelfall, sondern Alltag: In Schulungen und Audits berichten Mitarbeitende offen, dass sie ihre Passwörter schon weitergegeben haben – „weil es halt schnell gehen musste“ oder „weil der Kollege keine eigene Berechtigung hatte“.
Solche Aussagen sind ehrlich – und sie offenbaren, wie wenig präsent das Thema im täglichen Denken ist. Denn viele Mitarbeitende sehen das Passwort nicht als persönlichen Identifikator, sondern als gemeinsames Arbeitstool. Genau da beginnt das Problem.
2) Warum Passwörter so leichtfertig geteilt werden – und was das über Organisationen verrät
Die Preisgabe von Passwörtern ist fast nie Ausdruck von Gleichgültigkeit. Sie ist vielmehr ein Spiegel organisationaler Kommunikationskultur. Menschen handeln so, weil sie in Situationen geraten, in denen Hilfsbereitschaft, Zeitdruck oder Autorität stärker wirken als das abstrakte Wissen über Datenschutz. Ein Beispiel: Ein neuer Kollege benötigt kurzfristig Zugriff auf ein Fachverfahren, aber die Rechtevergabe durch die IT dauert noch. Was passiert? Man hilft „ausnahmsweise“ aus, indem man das eigene Passwort weitergibt – „nur für einen Tag“. Damit beginnt der Kontrollverlust. Denn jede Handlung dieses Kollegen läuft nun unter einem fremden Namen. Ob versehentlich etwas gelöscht, heruntergeladen oder weitergeleitet wird – niemand kann später mehr belegen, wer tatsächlich verantwortlich war.
Noch kritischer wird es, wenn Mitarbeitende ihre Passwörter gegenüber vermeintlich autorisierten Personen preisgeben. In einem realen Test fragte ein Prüfer im Rahmen einer
Datenschutzbegehung beiläufig: „Wie lautet nochmal Ihr Passwort? Ich muss mich kurz einloggen.“ Die Antwort kam prompt – ohne Nachfrage, ohne Zweifel. Für den Prüfer war es ein Test. Für die Organisation ein ernstzunehmendes Risiko. Solche Situationen zeigen: Nicht das Wissen fehlt – sondern das situative Verhalten. Mitarbeitende begegnen ihrem Gegenüber mit einem grundsätzlichen Vertrauensvorschuss. Und genau dieser Reflex wird im Alltag oft ausgenutzt – bewusst oder unbewusst. Wie ein Wolf im Schafspelz treten manche Personen freundlich, hilfsbereit oder offiziell auf und lösen damit Kooperationsbereitschaft aus, wo eigentlich Vorsicht angebracht wäre. Schulungen müssen deshalb nicht nur die technischen Grundlagen vermitteln, sondern vor allem das Bewusstsein für soziale Manipulation stärken. Nur wer erlebt und übt, dass Fragen nach Passwörtern niemals legitim sind – egal wie harmlos sie klingen, kann im Ernstfall angemessen reagieren.
3) Was Organisationen wirklich tun müssen – und was reine Theorie bleibt
Technische Schutzmaßnahmen sind wichtig – aber sie greifen nur, wenn die Menschen dahinter wissen, warum sie existieren und wie sie wirken. Es bringt nichts, Passwortrichtlinien zu schreiben, wenn niemand sie verinnerlicht hat. Sicherheitsverhalten entsteht nicht durch Kontrolle, sondern durch Klarheit, Übung und Wiederholung.
Praxisnahe Empfehlungen, die wirklich greifen:
- Verantwortung klären: Jede Person ist für ihren Zugang verantwortlich. Was unter dem eigenen Login passiert, liegt juristisch und praktisch bei ihr.
- Vertretungen technisch lösen: Wenn jemand vertreten werden muss, braucht er eigene, klar definierte Zugriffsrechte – keine geteilten Logins. Das muss technisch unterstützt und organisatorisch ermöglicht werden.
- Keine Passwortzettel, keine Word-Dokumente: Passwörter auf Schreibtischen, in E-Mails oder Notizbüchern sind ein Sicherheitsrisiko. Stattdessen braucht es Passwortmanager oder zentrale Anmeldesysteme mit Rechtevergabe.
- 2-Faktor-Authentifizierung flächendeckend einführen: Sie schützt auch dann, wenn ein Passwort doch einmal abgefangen oder weitergegeben wurde.
- Grenzen kommunizieren: Mitarbeitende müssen wissen: Es ist nicht ihr Job, Zugang für andere zu ermöglichen – das ist Sache der Organisation. „Hilfsbereitschaft“ darf nicht zur Sicherheitslücke werden.
Noch ein Punkt: Die Führungsebene muss mitziehen. Wer als Vorgesetzter von der Assistenz erwartet, einfach mal „kurz das Postfach zu öffnen“ oder „den Zugang zu teilen“, unterläuft alle Sicherheitsziele. Sicherheit beginnt bei denjenigen, die Vorbilder sein sollten..
4) Fazit: Sicherheitskultur beginnt im Kopf – nicht in der IT
Wer Organisationen auf langfristige Sicherheit ausrichten will, muss an der Verhaltenskultur arbeiten. Es reicht nicht, Regeln zu verschicken oder auf Richtlinien zu verweisen. Die Mitarbeitenden müssen verstehen, warum ihr Verhalten entscheidend ist – und dass sie Rückendeckung haben, wenn sie im Zweifel Nein sagen. Ein gutes Schulungskonzept vermeidet Schuldzuweisungen. Es zeigt: Die meisten Passwortverstöße entstehen nicht aus Absicht, sondern aus Stress, Unsicherheit oder falsch verstandener Kooperation. Wer das anerkennt, schafft Raum für Lernen.
Typische Aussagen in Schulungen:
- „Ich wollte keinen Ärger machen.“
- „Ich dachte, der Kollege braucht das dringend.“
- „Ich wusste nicht, dass das verboten ist.“
Diese Reaktionen sind ehrlich – und der Schlüssel zur Veränderung. Denn wenn Menschen verstehen, dass Passwortschutz Verantwortungsübernahme statt Misstrauen bedeutet, entsteht eine Sicherheitskultur, die trägt.
Fazit: Wer ein Passwort weitergibt, gibt Kontrolle und Nachvollziehbarkeit ab. Wer fragt, macht sich verdächtig. Wer Nein sagt, schützt nicht nur sich, sondern auch die Organisation. Der wichtigste Satz in der Informationssicherheit lautet deshalb:
„Würden Sie mir bitte Ihr Passwort geben?“ – Die einzig richtige Antwort: Nein.
Melden Sie sich gerne bei uns, wenn Sie noch weitere Fragen haben oder weitere Unterstützung benötigen.