Fazit: Nein, ein routinemäßiger Wechsel ist laut BSI nicht mehr nötig — nur noch aus konkretem Anlass

Diese Seite enthaelt Affiliate-Links. Wir erhalten ggf. eine Provision ohne Mehrkosten fuer dich.

Wenn eine IT-Richtlinie, eine alte Firmenregel oder ein Pop-up Sie alle 90 Tage zum Passwortwechsel zwingt, ist das keine aktuelle Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) mehr — im Gegenteil. Das BSI hat seine eigene, jahrelange Empfehlung 2025 und 2026 offiziell revidiert: Ein Passwort ohne konkreten Anlass regelmäßig zu ändern, macht ein Konto nicht automatisch sicherer. Wichtiger sind ein starkes, einzigartiges Passwort pro Dienst sowie Zwei-Faktor-Authentisierung (2FA) oder ein Passkey. Gewechselt werden sollte ein Passwort weiterhin — aber nur, wenn es einen konkreten Hinweis auf ein Datenleck oder einen Missbrauch gibt.

Was sich 2025/2026 offiziell geändert hat

Anlass ist der “Ändere-dein-Passwort-Tag”, ein jährlich am 1. Februar begangener Aktionstag. Ursprünglich sollten Verbraucherinnen und Verbraucher an diesem Tag vorsorglich ihre Passwörter wechseln, falls eines unbemerkt in einem Datenleck aufgetaucht war. In seiner Pressemitteilung vom 31. Januar 2025 (“Passwortwechseln war gestern”) erklärte das BSI diesen Ratschlag für überholt: “Regelmäßige, anlassunabhängige Passwortwechsel führen erfahrungsgemäß dazu, dass zunehmend schwächere Passwörter genutzt werden.” Ein Jahr später, in der Pressemitteilung vom 30. Januar 2026 (“Der Ändere-dein-Passwort-Tag braucht ein Update”), bekräftigte das BSI: “Ein routinemäßiger Passwortwechsel aber erhöht die Sicherheit nicht automatisch.” Der Aktionstag selbst bleibt bestehen, hat laut BSI aber eine neue Bedeutung bekommen: Statt pauschal das Passwort zu wechseln, soll er als jährlicher Anlass dienen zu prüfen, wo 2FA aktivierbar ist und wo bereits auf Passkeys umgestiegen werden kann.

Dieser Artikel enthält Affiliate-Links.

Wann ein Passwort laut BSI trotzdem gewechselt werden sollte

Der Verzicht auf den routinemäßigen Wechsel bedeutet nicht “nie wechseln”. Das BSI nennt auf seiner Seite “Umgang mit Passwörtern” konkrete Anlässe:

  • Direkter Hinweis des Diensteanbieters, dass Zugangsdaten betroffen sein könnten
  • Bestätigtes Datenleck, bei dem der Anbieter meldet, dass Passwörter im Umlauf sind
  • Verdacht auf Phishing (z. B. eine E-Mail mit echten persönlichen Daten, die auf einen bereits erfolgten Zugriff hindeutet)
  • Malware-Befall des Geräts — hier erst nach der Bereinigung des Geräts wechseln, sonst wird das neue Passwort ebenfalls sofort mitgelesen

Viele Passwort-Manager prüfen automatisch, ob ein gespeichertes Passwort in einer bekannten Datenleck-Datenbank auftaucht, und schlagen dann gezielt einen Wechsel vor — das deckt sich genau mit dem, was das BSI als echten Anlass nennt, statt stur nach Kalender zu wechseln.

Was laut BSI wichtiger ist als der Wechsel-Rhythmus

  1. Ein starkes, einzigartiges Passwort pro Dienst. Das BSI nennt zwei gleichwertige Wege: kurz und komplex (mindestens 8 Zeichen, vier Zeichenarten — Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) oder lang und einfach (mindestens 25 Zeichen, etwa ein ganzer Satz oder 5-6 zufällige Wörter mit Leerzeichen getrennt). Ein Passwort-Manager generiert und merkt sich das für jeden Dienst automatisch, ohne dass Sie sich mehr als ein Master-Passwort merken müssen.
  2. Zwei-Faktor-Authentisierung (2FA), wo verfügbar. Damit ein gestohlenes Passwort allein nicht reicht, um in ein Konto zu gelangen.
  3. Passkeys, wo bereits unterstützt. Das BSI nennt sie explizit als Ersatz, nicht nur als Ergänzung zum Passwort — für einzelne Dienste bereits heute möglich, aber noch nicht überall verfügbar.

Diese Linie (kein pauschaler Wechselzwang, Länge statt starrer Komplexitätsregeln, 2FA als Ergänzung) deckt sich mit der Position des US-Standards NIST SP 800-63B — das BSI steht damit nicht allein, sondern im Einklang mit der internationalen Fachmeinung.

Für wen dieser Artikel nichts bringt

  • Wenn Ihre Firma oder Organisation einen Passwortwechsel per Richtlinie vorschreibt: Das ist eine Compliance-Vorgabe des Arbeitgebers, keine technische Notwendigkeit — die BSI-Empfehlung richtet sich an Privatpersonen, nicht an unternehmensweite IT-Sicherheitsrichtlinien, die eigenen (oft strengeren oder älteren) Regeln folgen können.
  • Wenn bei Ihnen gerade ein konkreter Verdacht besteht (Phishing-Mail, Meldung eines Anbieters, infiziertes Gerät): Wechseln Sie das betroffene Passwort jetzt, lesen Sie nicht erst weiter.
  • Wenn Sie noch gar keinen Passwort-Manager nutzen: Fangen Sie dort an, nicht bei der Wechsel-Frage — ohne einzigartiges Passwort pro Dienst ist die Diskussion um die Wechselhäufigkeit zweitrangig.

Zusammenfassung

Ein Passwort routinemäßig alle paar Monate zu wechseln, ist keine aktuelle BSI-Empfehlung mehr — das hat die Behörde 2025 und 2026 offiziell klargestellt. Gewechselt werden sollte weiterhin, aber nur bei einem konkreten Anlass (Datenleck, Phishing-Verdacht, Malware). Wichtiger als der Wechsel-Rhythmus sind ein einzigartiges Passwort pro Dienst, 2FA und, wo verfügbar, Passkeys. Die vollständige Einstiegs-Übersicht zu Passwort-Managern und Account-Sicherheit folgt im Pillar-Artikel [sicherheit-101-de].