🔐 Passwort vs. 🗒️ Post-it: Zwei Irrwege im Vergleich der Passwortsicherheit

Daniel Eberhorn
vor 1 Tag
4 Min. Lesezeit

Flat-style digital illustration comparing two password storage methods. On the left, a secure yellow padlock with a password field containing masked characters. On the right, a yellow sticky note with handwritten text: 'password' and '123456'. A bold 'VS' appears in the center. The background is a plain dark brown texture.

Bild generiert durch OpenAI's DALL·E

Vor einiger Zeit bin ich auf LinkedIn über einen provokanten Post gestolpert mit dem – sinngemäßen – Inhalt: „Kein Passwort ist nicht unsicherer als ein Passwort, das auf die Tastatur geklebt wird“. Diese Aussage sorgte in den Kommentaren für hitzige Diskussionen – das zu Recht?.

Ist es wirklich so, dass beides gleichermaßen unsicher ist? Oder gibt es Szenarien, in denen eine der beiden Optionen zumindest einen Hauch von Sicherheit bietet?

Ein scheinbar absurder Vergleich, der dennoch aufzeigt, wie alltägliche Unsicherheiten in der IT und der Passwortsicherheit aussehen und wie wichtig es ist, selbst vermeintlich triviale Fragen unter dem Blickwinkel moderner Cyber Security zu betrachten.

Kein Passwort: Die absolute Offenheit

Ein System ohne Passwort bedeutet, dass jeder mit physischem oder entferntem Zugriff vollständige Kontrolle erlangen kann. Besonders kritisch ist das in shared Umgebungen.

Warum ist "kein Passwort" problematisch?

Kein Schutz vor unbefugtem Zugriff: Ohne Passwort gibt es keine Authentifizierungsbarriere. Jede Person mit physischem Zugriff kann sich sofort anmelden, Konfigurationen ändern oder Daten exfiltrieren.
Erhöhte Angriffsfläche durch Netzwerke: Systeme ohne Zugangsschutz und mit offenen Netzwerkports (RDP, SMB, SSH etc.) bieten Einfallstore für automatisierte Angriffe, insbesondere in schlecht segmentierten Netzwerken.
Keine Nachvollziehbarkeit: Aktionen können nicht bestimmten Benutzern zugeordnet werden. Aus Sicht von Logging, Compliance und Forensik ist das fatal, da Accountability fehlt.
Risiko bei Malware und automatisierten Skripten: Schadsoftware, die keinen Authentifizierungsmechanismus umgehen muss, kann sofort aktiv werden.

Ein System ohne Passwort ist daher nicht nur unsicher – es negiert grundlegende Prinzipien der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.

Passwort auf der Tastatur: Schutz oder Scheinsicherheit?

Ein aufgeklebtes Passwort mag wie eine Karikatur auf moderne Sicherheitsmaßnahmen wirken – ist aber im Gegensatz zu „kein Passwort“ zumindest ein rudimentärer Schutz. Dennoch bringt auch diese Methode erhebliche Risiken mit sich.

Vorteile:

Grundsätzlicher Schutz vor Remote-Zugriff: Im Gegensatz zu einem offenen System stellt ein Passwort zumindest eine Hürde für netzbasierte Angreifer dar.
Möglichkeit der Rechtebegrenzung: Wenn der Zettel nur Zugang zu einem Konto mit eingeschränkten, lokalen Rechten bietet (z. B. Standarduser), kann das Risiko lokal eingegrenzt werden.

Nachteile:

Leichter physischer Zugriff: Jeder, der sich im Raum befindet – auch Gäste, Lieferanten oder Reinigungspersonal – kann das Passwort lesen und nutzen.
Fehlendes Sicherheitsbewusstsein: Sichtbare Passwörter signalisieren mangelnde Schulung und sind oft ein Indikator für weitere Schwachstellen.
Potenzielle Reproduktion: Ein abfotografiertes oder notiertes Passwort kann beliebig weiterverwendet werden.

Fazit: Der Zettel bietet einen Schutz gegen Remote-Angriffe, kann aber bei physischem Zugriff genauso schnell umgangen werden wie ein fehlendes Passwort. Es bleibt ein Behelf – aber kein valider Sicherheitsmechanismus.

Gast-Accounts: Nostalgie oder reale Option?

Früher bot Windows einen klassischen "Gastaccount" (benutzername: Gast), der standardmäßig deaktiviert war und minimale Rechte hatte. Doch seit Windows 10 Build 10159 wurde dieser Account offiziell entfernt. Selbst wenn er über Kommandozeilen aktiviert wird


net user Gast /active:yes

erhält man heute lediglich einen Standardbenutzer – ohne die ursprünglichen Restriktionen.

Welche Optionen existieren heute?

Eingeschränkte lokale Benutzerkonten: Diese können manuell eingerichtet werden und erhalten nur minimale Rechte. Es empfiehlt sich, diese zusätzlich mit Software Restriction Policies oder AppLocker zu härten.
Kiosk-Modus (Assigned Access): Windows erlaubt über diesen Modus die Definition eines einzelnen zugelassenen Programms – ideal für Infoterminals oder Gästegeräte.
Temporäre Cloud-basierte Accounts: In Azure-AD-Umgebungen lassen sich temporäre Benutzer mit Ablaufdatum erstellen – z. B. für Partner oder Praktikanten.

Bewertung dieser Alternativen:

Begrenzte Rechte: Ob lokal oder cloudbasiert – diese Konten verhindern Änderungen an Systemkonfigurationen oder Installationen.
Temporäre Nutzung: Ideal für Situationen mit wechselnden Benutzern, z. B. Besprechungsräume, Schulungs-PCs oder Hotdesks.
Härtung notwendig: Auch eingeschränkte Accounts können Ziel von Privilege Escalation sein. Ohne zusätzliche Maßnahmen sind sie nicht automatisch sicher.

Fazit: Der klassische Gastaccount ist Geschichte. Moderne Ersatzlösungen sind verfügbar, aber setzen ein bewusstes Sicherheitskonzept voraus.

Vergleichstabelle: Sicherheitspraktiken im Check

Kriterium	Kein Passwort	Klebezettel	Gast-/Eingeschränktes Konto
Remote-Schutz	keiner	vorhanden	abhängig von Konfiguration
Physische Sicherheit	keine	sehr gering	mäßig (abhängig von Zugangskontrolle)
Nachvollziehbarkeit	nicht möglich	teilweise möglich	gegeben (Logging, Event Viewer etc.)
Empfehlung	absolut vermeiden	nur im Notfall	bedingt geeignet bis empfehlenswert

Fazit: Das kleinere Übel reicht nicht aus in der Passwortsicherheit

Aus Sicht eines Cyber Security Experten kann weder der Verzicht auf ein Passwort noch das sichtbare Anbringen eines Passworts als verantwortungsvolle Sicherheitsmaßnahme gelten. Beide Optionen stehen sinnbildlich für einen fahrlässigen Umgang mit Zugangskontrolle – einem der grundlegendsten Pfeiler der IT-Security. Während das fehlende Passwort einer Einladung zum Einbruch gleicht, ist der Klebezettel allenfalls eine dünne Tür mit offener Klinke.

Ein lokal eingeschränktes Konto – mit durchdachter Rechtevergabe, deaktivierter Kommandozeile, deaktivierten Netzwerkschnittstellen und aktivierter Ereignisprotokollierung – stellt bereits einen deutlichen Fortschritt dar. Wird diese Konfiguration zusätzlich durch Maßnahmen wie Multi-Faktor-Authentifizierung (MFA) oder Smartcard-Login ergänzt, lässt sich auch bei temporären Zugriffen ein angemessenes Schutzniveau erreichen.

Beispielsweise können temporäre Azure AD-Konten mit Ablaufdatum, lokale Benutzer mit restriktiven Software-Richtlinien, oder der Kiosk-Modus für Terminal-Geräte dafür sorgen, dass Gäste oder wechselnde Nutzer zwar Zugriff erhalten, dieser aber streng kontrolliert und zeitlich begrenzt ist. Auch der Einsatz von FIDO2/WebAuthn, insbesondere in Zero Trust-Architekturen, verhindert zuverlässig Credential Reuse oder Phishing-Versuche – selbst wenn ein Kennwort bekannt wird.

Ein weiteres Beispiel aus der Praxis: In einer Schulungsumgebung eines Unternehmens wurden früher Notizzettel mit Passwörtern auf die Monitore geklebt. Heute verwendet dieselbe Organisation automatisch zurückgesetzte, zeitlich limitierte Benutzerprofile, die per Self-Service-Portal mit einmaliger SMS-Verifikation aktiviert werden. Die Folge: kein Haftungsrisiko mehr, vollständige Nachvollziehbarkeit, und die IT muss nicht mehr hinterher aufräumen.

Fazit

Die Sicherheit temporärer Zugänge hängt nicht vom Medium (Papier oder digital) ab, sondern von der Kombination aus technischer Umsetzung, organisatorischen Prozessen und dem Bewusstsein für Sicherheitsrisiken. Wer in der Diskussion über "kein Passwort vs. Klebezettel" verharrt, verliert schnell den Blick auf moderne, zeitgemäße und vor allem zukunftsfähige Lösungen – Lösungen, die nicht nur aktuelle Bedrohungsszenarien adressieren, sondern auch skalierbar, auditierbar und in eine langfristige Sicherheitsstrategie integrierbar sind.

Denn eines bleibt klar: Cyber Security beginnt nicht bei der Technologie – sondern bei der Entscheidung, Verantwortung für sichere Systeme zu übernehmen.