Man könnte meinen, dass wir nach unzähligen Cyberattacken in den vergangenen Jahren das Passwort-Thema endlich im Griff hätten. Doch der neue Blue Report 2025 von Picus Security zeigt das Gegenteil: Schwache Zugangsdaten sind immer noch das Einfallstor Nummer eins für Angreifer – und zwar weltweit. Die Zahlen sind ernüchternd: In 46 % der untersuchten IT-Umgebungen konnten Angreifer problemlos in Systeme eindringen. Und noch schlimmer – sobald Kriminelle gültige Logins in der Hand hatten, funktionierten ihre weiteren Schritte in 98 % der Fälle reibungslos. Anders gesagt: Wer erst einmal drin ist, hat leichtes Spiel.
Warum sind Passwörter immer noch so schwach?
Ganz einfach: Viele Unternehmen speichern Zugangsdaten immer noch unsicher oder setzen auf veraltete Verfahren. Interne Konten werden oft stiefmütterlich behandelt, mit deutlich schwächeren Regeln als externe Accounts. Und während alle Welt über KI-Angriffe oder hochmoderne Malware spricht, bleiben die Basics auf der Strecke.
Kurz gesagt: Wir reden permanent über Zukunftsbedrohungen, stolpern aber immer noch über schlechte Passwörter.
Das Lieblingsspielzeug der Hacker: „Valid Accounts“
Ein besonders gefährliches Angriffsmuster nennt sich „Valid Accounts“. Dabei nutzen Hacker keine ausgefeilten Exploits, sondern schlicht gültige Zugangsdaten. Damit bewegen sie sich lautlos und unauffällig durchs Netzwerk (Laterale Bewegung), verschaffen sich höhere Rechte und greifen sensible Systeme an – oft, ohne entdeckt zu werden.
Kein Wunder also, dass diese Taktik inzwischen ganz oben auf der Beliebtheitsskala der Angreifer steht.
Was jetzt zu tun ist
Die gute Nachricht: Die Gegenmaßnahmen sind nicht neu – man muss sie nur endlich konsequent umsetzen. Dazu gehören:
- Starke Passwörter (oder besser: Passphrasen) – lang, komplex und einzigartig.
- Multi-Faktor-Authentifizierung (MFA) – Must-have – nur ein Passwort reicht heute nicht mehr.
- Kontinuierliche Sicherheits-Checks – Angriffe simulieren, Schwachstellen finden, schnell beheben.
- Identitätsschutz in den Fokus rücken – nicht nur den Netzwerkrand absichern, sondern vor allem die Konten selbst.
Die Basics sind der beste Schutz
Wer denkt, Cyberkriminelle nutzen immer nur High-Tech-Tools, irrt. Auch im Jahr 2025 ist der altbewährte Weg ins System kein außergewöhnlicher Hack, sondern einfach nur ein schwaches Passwort. Unternehmen und Organisationen sollten sich nicht in der Jagd nach neuen Bedrohungen verlieren, während der wirkungsvollste Schutz – eine solide Identitätsbasis – weiterhin vernachlässigt wird.
Die Lehre daraus ist simpel: Bevor wir uns von glänzenden neuen Sicherheitstechnologien ablenken lassen, sollten wir erstmal die Grundlagen ernst nehmen. Denn solange Passwörter der wackelige Türknauf ins Unternehmensnetzwerk bleiben, helfen auch die besten Firewalls und KI-Systeme nicht viel.
Praxis-Tipp: Hacker sind oft nur erfolgreich, weil wir nachlässig sind – automatisierte Checks helfen
Wir hören oft: „Hacker sind einfach zu clever und uns immer einen Schritt voraus, da können wir nichts machen.“ Ganz ehrlich? Das stimmt nur halb. In unserer Arbeit sehen wir ständig, dass Angriffe selten genial sind – sie funktionieren, weil wir es den Angreifern zu leicht machen.
Hier ein paar Beobachtungen, die wir immer wieder in der Praxis erleben:
- Komplexe Regeln bringen wenig, wenn sie unpraktisch sind
Unternehmen erfinden Passwortrichtlinien, die wie ein Sudoku klingen: „mindestens 8 Zeichen, ein Sonderzeichen, keine Umlaute, kein Wort aus dem Wörterbuch.“ Das Ergebnis? Nutzer tippen „Sommer2023!“ oder „Winter2024!“ ein – leicht zu erraten und jedes Jahr vorhersehbar. Genau das nutzen Angreifer aus. - Credential-Stuffing ist brandgefährlich
Sobald ein Passwort irgendwo geleakt ist, landet es in Datenbanken, die Angreifer millionenfach automatisiert durchprobieren. Wer dasselbe Passwort für mehrere Dienste nutzt, hat den roten Teppich für Kriminelle ausgerollt. - MFA schreckt mehr ab, als man denkt
Ja, Multi-Faktor-Authentifizierung ist nicht unüberwindbar. Es gibt Phishing-Kits, die sogar One-Time-Passcodes abfangen. Aber in neun von zehn Fällen reicht MFA, um Angreifer zu vergraulen. Wenn es kompliziert wird, suchen sie sich schlicht ein leichteres Opfer. - Identitäten sind die neue Verteidigungslinie
Früher war Netzwerksicherheit wie eine Burg: außen Mauern, innen fast keine Kontrolle. Heute sitzen Mitarbeiter im Homeoffice, in der Cloud, am Flughafen-WLAN. Die Identität – also wer du bist und wie du dich anmeldest – ist die neue Mauer. Wenn diese Basis schwach ist, nützt die beste Firewall nichts.
Automatisiere deine Kontrollen!
- Lass Systeme regelmäßig prüfen, ob Passwörter in Leaks auftauchen.
- Nutze Tools, die Passwörter automatisch auf Stärke testen.
- Simuliere Angriffe, um Lücken zu erkennen – nicht einmal pro Jahr, sondern kontinuierlich.
Cybersecurity ist kein Projekt, das man „abschließen“ kann. Es ist ein Prozess. Wer das verstanden hat, macht einen Riesenschritt in Richtung echter Sicherheit.
Abonniere jetzt unsere Cyber-News!
Ca. alle 4 Wochen erhältst du wertvolle Insights, Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, Phishing-Methoden, Betrugsmaschen und Social-Engineering, ganz gleich ob du Anfänger oder Fortgeschrittener bist.
Hat dir dieser Beitrag gefallen?
Ähnliche Beiträge
