Skip to main content
Securepoint GmbHSecurepoint GmbH

Passwörter in Unternehmen – oft eine unterschätzte Schwachstelle

|   Blog
Cheat sheet with the note ‘Change password’

Passwörter gehören seit Jahrzehnten zu den zentralen Sicherheitsmechanismen in Unternehmen – und sind gleichzeitig eine der häufigsten Ursachen für erfolgreiche Cyberangriffe. Trotz moderner Security-Technologien, Cloud-Diensten und zunehmender Automatisierung bleibt die Passwort-Praxis in vielen Organisationen problematisch. Zu kurze, wiederverwendete oder leicht erratbare Passwörter öffnen Angreifern oft Tür und Tor.

Bekannte Negativbeispiele wie „12345“, „password“, „qwertz“, „admin“ oder einfache Varianten mit Jahreszahlen sind auch im Unternehmensumfeld keine Seltenheit. Solche Passwörter lassen sich innerhalb von Sekunden automatisiert erraten oder stammen bereits aus bekannten Daten-Leaks. In Kombination mit fehlender Mehrfaktor-Authentifizierung oder unzureichender Sensibilisierung der Mitarbeitenden entsteht so ein erhebliches Risiko für Geschäftsprozesse, sensible Daten und die Verfügbarkeit kritischer Systeme.

Passwörter als Risiko in Unternehmen

Viele erfolgreiche Cyberangriffe beginnen mit der Kompromittierung von Zugangsdaten. Laut branchenübergreifender Analysen sind über 80 % der Datenpannen auf schwache oder kompromittierte Passwörter sowie auf fehlende zusätzliche Absicherung zurückzuführen.

Typische Ursachen:

  • Passwort-Wiederverwendung über mehrere Systeme hinweg.
  • Einfach zu erratende Passwörter (z. B. „password“, „123456“) – auch im professionellen Umfeld.
  • Fehlende oder veraltete Richtlinien in der Passwortpolitik von Unternehmen.
  • Unzureichende Sensibilisierung von Mitarbeitenden für Risiken.

Diese Schwachstellen sind für Angreifer ein günstige Einstiegspunkte: Über Credential Stuffing, Brute-Force- oder Social-Engineering-Attacken lassen sich mit geringem Aufwand Systeme kompromittieren.

Begriffserklärung
Ein Brute-Force-Angriff ist eine Angriffsmethode, bei der automatisierte Programme systematisch alle möglichen Passwort-Kombinationen ausprobieren, bis die richtige gefunden wird. Je kürzer und einfacher ein Passwort ist, desto schneller kann ein solcher Angriff erfolgreich sein. Lange, einzigartige Passwörter mit großem Zeichenvorrat erhöhen die Anzahl möglicher Kombinationen stark und machen Brute-Force-Angriffe praktisch unwirtschaftlich oder unmöglich. Credential Stuffing bezeichnet eine Angriffsmethode, bei der Angreifer bereits bekannte, gestohlene Zugangsdaten aus früheren Datenlecks automatisiert auf andere Dienste und Systeme ausprobieren. Da viele Nutzer Passwörter mehrfach verwenden, führen solche Angriffe häufig zum Erfolg – selbst wenn das eigentliche Zielsystem technisch korrekt abgesichert ist. Einzigartige Passwörter und Mehrfaktor-Authentifizierung reduzieren dieses Risiko erheblich. Eine Social-Engineering-Attacke ist ein Angriff, bei dem nicht technische Schwachstellen, sondern gezielt menschliches Verhalten ausgenutzt wird. Angreifer manipulieren Mitarbeitende beispielsweise durch Phishing-E-Mails, gefälschte Anrufe oder täuschend echte Nachrichten, um an Zugangsdaten oder sensible Informationen zu gelangen. Technische Schutzmaßnahmen allein reichen hier nicht aus – entscheidend sind Awareness, klare Prozesse und geschulte Mitarbeitende.

Aktuelle BSI-Empfehlungen zur Passwortsicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Richtlinien zur Passwortsicherheit überarbeitet und betont dabei:

1. Starke Passwörter statt häufigem Wechseln

Routinemäßige Pflicht-Passwortwechsel ohne Anlass werden nicht mehr generell empfohlen, da sie zu schlechteren Passwörtern oder zu systematischen Variationen führen können. Sicherheit entsteht vielmehr durch starke, individuelle Passwörter sowie zusätzliche Schutzmaßnahmen.

2. Passwort-Komplexität und -Länge

Passwörter sollten ausreichend lang sein; Länge zählt dabei oft mehr als das starre Erzwingen von Sonderzeichen. Eine Kombination aus Länge und Einzigartigkeit erhöht die Entropie und reduziert Brute-Force-Risiken deutlich.

3. Passwortmanager nutzen

Der Einsatz von Passwortmanagern zur sicheren Verwaltung unterschiedlicher Zugangsdaten wird empfohlen, um die Einzigartigkeit und Stärke von Passwörtern zu gewährleisten.

4. Ergänzende Authentisierung

Die Integration von Multi-Faktor-Authentifizierung (MFA) ist ein wesentlicher Schutz, da sie auch bei Passwortdiebstahl einen zweiten, unabhängigen Sicherheitsfaktor verlangt.

Warum Passwort-Komplexität wirkt – und wo ihre Grenzen liegen

In Sicherheitsrichtlinien wird häufig gefordert, Passwörter müssten aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Das ist grundsätzlich richtig – allerdings nicht, weil diese Zeichen für Software „komplizierter“ wären. Für Systeme sind alle Zeichen letztlich nur Bitfolgen. Der eigentliche Sicherheitsgewinn entsteht aus der Mathematik dahinter: Je größer der erlaubte Zeichenvorrat und je länger das Passwort, desto stärker wächst der sogenannte Suchraum, den Angreifer bei einem Angriff durchprobieren müssten.

Ein Beispiel verdeutlicht den Effekt:
Besteht ein Passwort aus acht Zeichen, ergeben sich bei reinem Einsatz von Kleinbuchstaben rund 26⁸ Kombinationen – etwa 208 Milliarden Möglichkeiten. Werden zusätzlich Großbuchstaben und Zahlen erlaubt, steigt der Suchraum auf 62⁸ Kombinationen (über 218 Billionen). Mit Sonderzeichen vergrößert sich dieser Raum weiter auf mehrere Billiarden möglicher Varianten. Der Zuwachs ist nicht linear, sondern exponentiell – selbst leistungsfähige Angriffsrechner stoßen hier schnell an physikalische Grenzen.

In der Praxis nutzen Angreifer allerdings selten reines Brute-Force-Vorgehen. Häufiger sind Wörterbuch- und Musterangriffe, bei denen bekannte Begriffe, typische Passwortstrukturen („Sommer2024“, „Password!“) oder vorhersehbare Sonderzeichenkombinationen getestet werden. Genau hier liegt die Schwäche vieler scheinbar „komplexer“ Passwörter: Werden Sonderzeichen oder Zahlen nach bekannten Mustern eingesetzt, sinkt der Sicherheitsgewinn drastisch.

Entscheidend ist daher eine zentrale Erkenntnis moderner IT-Sicherheit: Passwortlänge ist in vielen Fällen wichtiger als reine Zeichenvielfalt.
Eine lange, zufällige Passphrase bietet oft mehr Schutz als ein kurzes Passwort mit Sonderzeichen. Künstliche Intelligenz ändert daran nichts Grundlegendes – sie hilft Angreifern lediglich dabei, menschliche Muster schneller zu erkennen, kann aber die mathematische Realität eines ausreichend großen Suchraums nicht umgehen.

Best Practices: Von der Richtlinie zur Umsetzung

Ein effektives Passwort-Management im Unternehmen sollte mehr sein als einzelne Sicherheitsregeln. Folgende Handlungsempfehlungen helfen IT-Leitern, Risiken strukturiert zu adressieren:

1. Formale Passwortrichtlinie etablieren

Definieren Sie verbindliche Regeln für:

  • Mindestlänge und Passwortformat
  • Einmalige Nutzung je System
  • Umgang mit kompromittierten Passwörtern
  • Integration in den Identity- und Access-Management-Prozess

Solche Richtlinien bilden das Rückgrat für durchsetzbare Sicherheitsmaßnahmen.

2. Passwortmanager im Unternehmen einführen

Ein zentral verwalteter Passwortmanager reduziert die Versuchung zur Wiederverwendung einfacher Passwörter und sorgt für stärkere, automatisch generierte Zugangsdaten. Schulungen zur Nutzung und regelmäßige Sicherheitsüberprüfungen dieser Tools sind essenziell.

3. Multi-Faktor-Authentifizierung (MFA) verpflichtend machen

MFA sollte Standard für alle sensiblen Zugänge sein. Selbst wenn ein Passwort kompromittiert wird, bleibt ohne den zweiten Faktor der Zugang geschützt.

4. Monitoring und Audits implementieren

Regelmäßige Überprüfungen und automatisierte Tools zur Erkennung schwacher oder wiederverwendeter Passwörter erhöhen die Sicherheit und helfen, Richtlinienlücken früh zu identifizieren.

5. Awareness-Programme für Mitarbeitende

Technische Maßnahmen allein reichen nicht: Sensibilisierungskampagnen, Informationsschulungen und wiederkehrende Awareness-Maßnahmen (z. B. zum „Ändere-dein-Passwort-Tag“) tragen dazu bei, eine Sicherheitskultur zu etablieren.

Fazit: Passwörter bleiben relevant – aber nicht allein

Auch wenn moderne Authentifizierungsverfahren wie Passkeys oder Passwordless-Ansätze an Bedeutung gewinnen, bleiben Passwörter im Unternehmenskontext weiterhin ein zentrales Sicherheitsmittel, das aber nur in Kombination mit strukturierten Prozessen und ergänzenden Kontrollen seine Schutzwirkung entfaltet.

Für Unternehmen und damit IT-Leitungen bedeutet das:
✔ starke, dokumentierte Passwort-Richtlinien
✔ technische Absicherung via MFA und Passwortmanager
✔ kontinuierliche Kontrolle statt blinder Pflichtwechsel.

Smart Security beginnt mit Awareness

Der jährliche „Ändere-dein-Passwort-Tag“ am 01. Februar bietet eine hervorragende Gelegenheit, interne Kampagnen zu Re-Security-Basics zu starten und Mitarbeitende für starke Authentifizierung zu sensibilisieren. Ein Awareness-Training – wie es Securepoint speziell für Unternehmen anbietet – kann hier gezielt Wissen vermitteln, Risiken aufzeigen und Verhaltensweisen langfristig verbessern, ohne „angeworben“ zu wirken.

Mehr zu praxisnahen Trainings- und Awareness-Konzepten finden Unternehmen und IT-Leitungen bei Securepoint:
👉 https://www.securepoint.de/fuer-unternehmen/awareness-training

Back

Public Relations

Lajos Sperling

Download (jpg)

 

Lajos A. Sperling
phone: +49 (0)4131/2401-0
email: presse@securepoint.de

 

[Translate to English:] Kevin Thomas, Ihr PR-Ansprechpartner bei Securepoint.

Download (jpg)

 

Kevin Thomas
phone: +49 (0)151/70509020
email: presse@securepoint.de