World Password Day 2026: Angreifer loggen sich einfach ein
World Password Day 2026: Angreifer loggen sich einfach ein
Rich Greene, Instructor beim SANS Institute
Angesichts des World Password Days 2026 müssen sich Sicherheitsteams einer unangenehmen Wahrheit über Passwörter stellen: Angreifer brechen nicht mehr ein, sie loggen sich ein.
Im Verizon DBIR 2025 analysierten die Autoren über 22.000 Sicherheitsvorfälle und stellte fest, dass gestohlene Anmeldedaten bei 22 Prozent aller bestätigten Sicherheitsverletzungen den ersten Zugangsweg darstellten. Bei einfachen Angriffen auf Webanwendungen steigt diese Zahl sogar auf 88 Prozent. An anderer Stelle verzeichneten die Autoren eines Reports von IBM X-Force einen Anstieg von 84 Prozent gegenüber dem Vorjahr bei Infostealer-Malware, die über Phishing-E-Mails verbreitet wurde. Dabei handelt es sich nicht um ausgeklügelte Zero-Day-Exploits. Dabei handelt es sich um Malware, die still und leise gespeicherte Passwörter aus dem Browser sammelt.
Und die Wiederverwendung von Passwörtern gießt weiterhin Öl ins Feuer. Verizons Analyse von Infostealer-Protokollen ergab, dass im Medianfall nur 49 Prozent der Passwörter eines Nutzers über verschiedene Dienste hinweg einzigartig waren. Das bedeutet, dass in mehr als der Hälfte der Fälle ein einziges kompromittiertes Passwort mehrere Türen öffnet. Wir sagen den Leuten immer wieder, sie sollen starke, einzigartige Passwörter verwenden. Sie nicken zustimmend und tun genau das Gegenteil.
Die Infostealer-Wirtschaft hat sich industrialisiert. Im KELA-Bericht 2025 verzeichneten Sicherheitsforscher 3,9 Milliarden gestohlene Zugangsdaten auf 4,3 Millionen infizierten Geräten. Diese Zugangsdaten werden in Logs gebündelt und an Initial Access Broker verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen.
MFA hilft, aber sie ist nicht die Wunderwaffe, als die sie gerne dargestellt wird. Angreifer umgehen sie durch Prompt-Bombing, Session-Hijacking und Adversary-in-the-Middle-Phishing-Kits, die Token in Echtzeit erfassen. Der Verizon DBIR hat Prompt-Bombing erstmals als eine der häufigsten Angriffsmethoden identifiziert. Eine MFA aktiviert zu haben, ist das Mindeste. Eine phishing-resistente MFA ist das, was tatsächlich etwas bewirkt.
Doch es gibt Licht am Horizont für die Security-Community, denn Passkeys funktionieren. Die FIDO Alliance berichtet, dass 69 Prozent der Verbraucher mittlerweile mindestens einen Passkey besitzen, gegenüber einem Bekanntheitsgrad von nur 39 Prozent vor zwei Jahren. Passkeys erreichen eine Anmeldeerfolgsrate von 93 Prozent, verglichen mit 63 Prozent bei herkömmlichen Passwörtern. Auf Unternehmensseite haben laut Untersuchungen von HID und der FIDO Alliance 87 Prozent der Organisationen Passkeys eingeführt oder sind dabei, diese einzuführen. Google hat über 800 Millionen Konten, die Passkeys nutzen, mit 2,5 Milliarden Passkey-Anmeldungen. Das ist also keine Theorie mehr, sondern Realität.
Passkeys sind eine erstaunliche Technologie mit echten Hürden bei der Einführung, die Sicherheitsteams nicht einfach wegwinken können. Unternehmensumgebungen mit veralteter Infrastruktur, lokalem Active Directory, gemeinsam genutzten Arbeitsplätzen und älteren Geräten ohne Trusted Platform Module (TPM) oder biometrische Hardware stehen vor echten Schwierigkeiten. Die plattformübergreifende Interoperabilität zwischen Ökosystemen verbessert sich zwar, ist aber immer noch umständlich. Die Kontowiederherstellung und die Delegierung von Anmeldedaten in großen Organisationen sind noch nicht vollständig gelöst. Und man kann nicht einfach einen Schalter umlegen und Passwörter über Nacht abschaffen, wenn man Tausende von Mitarbeitern mit unterschiedlicher Hardware hat. Organisationen müssen während der Umstellung eine hybride Authentifizierung betreiben, und diese Umstellung könnte je nach Umgebung Jahre dauern. Die Richtung stimmt, aber der Weg dorthin wird für viele Unternehmen chaotisch sein.
Fazit
Die Zeit nach dem besseren Passwort zu suchen ist abgelaufen. Stattdessen sollten Sicherheitsteams darauf hinarbeiten, weniger Passwörter einzusetzen, denn jedes Passwort ist eine Angriffsfläche, und jeder Passkey beseitigt eine. Sie sollten stattdessen Passwortmanager nutzen und überall phishingresistente MFA einsetzen.
Passwörter waren ein notwendiges Übel. Jetzt sind sie einfach nur noch ein Übel. Je schneller Sicherheitsteams diese ablösen, desto besser. Organisationen müssen jedoch auch dort abgeholt werden, wo sie stehen. Nicht jedes Unternehmen verfügt über glänzende neue Hardware, und der Weg zur Passwortlosigkeit muss dieser Realität Rechnung tragen.
World Password Day 2026: Angreifer loggen sich einfach ein
World Password Day 2026: Angreifer loggen sich einfach ein
Rich Greene, Instructor beim SANS Institute
Angesichts des World Password Days 2026 müssen sich Sicherheitsteams einer unangenehmen Wahrheit über Passwörter stellen: Angreifer brechen nicht mehr ein, sie loggen sich ein.
Im Verizon DBIR 2025 analysierten die Autoren über 22.000 Sicherheitsvorfälle und stellte fest, dass gestohlene Anmeldedaten bei 22 Prozent aller bestätigten Sicherheitsverletzungen den ersten Zugangsweg darstellten. Bei einfachen Angriffen auf Webanwendungen steigt diese Zahl sogar auf 88 Prozent. An anderer Stelle verzeichneten die Autoren eines Reports von IBM X-Force einen Anstieg von 84 Prozent gegenüber dem Vorjahr bei Infostealer-Malware, die über Phishing-E-Mails verbreitet wurde. Dabei handelt es sich nicht um ausgeklügelte Zero-Day-Exploits. Dabei handelt es sich um Malware, die still und leise gespeicherte Passwörter aus dem Browser sammelt.
Und die Wiederverwendung von Passwörtern gießt weiterhin Öl ins Feuer. Verizons Analyse von Infostealer-Protokollen ergab, dass im Medianfall nur 49 Prozent der Passwörter eines Nutzers über verschiedene Dienste hinweg einzigartig waren. Das bedeutet, dass in mehr als der Hälfte der Fälle ein einziges kompromittiertes Passwort mehrere Türen öffnet. Wir sagen den Leuten immer wieder, sie sollen starke, einzigartige Passwörter verwenden. Sie nicken zustimmend und tun genau das Gegenteil.
Die Infostealer-Wirtschaft hat sich industrialisiert. Im KELA-Bericht 2025 verzeichneten Sicherheitsforscher 3,9 Milliarden gestohlene Zugangsdaten auf 4,3 Millionen infizierten Geräten. Diese Zugangsdaten werden in Logs gebündelt und an Initial Access Broker verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen.
MFA hilft, aber sie ist nicht die Wunderwaffe, als die sie gerne dargestellt wird. Angreifer umgehen sie durch Prompt-Bombing, Session-Hijacking und Adversary-in-the-Middle-Phishing-Kits, die Token in Echtzeit erfassen. Der Verizon DBIR hat Prompt-Bombing erstmals als eine der häufigsten Angriffsmethoden identifiziert. Eine MFA aktiviert zu haben, ist das Mindeste. Eine phishing-resistente MFA ist das, was tatsächlich etwas bewirkt.
Doch es gibt Licht am Horizont für die Security-Community, denn Passkeys funktionieren. Die FIDO Alliance berichtet, dass 69 Prozent der Verbraucher mittlerweile mindestens einen Passkey besitzen, gegenüber einem Bekanntheitsgrad von nur 39 Prozent vor zwei Jahren. Passkeys erreichen eine Anmeldeerfolgsrate von 93 Prozent, verglichen mit 63 Prozent bei herkömmlichen Passwörtern. Auf Unternehmensseite haben laut Untersuchungen von HID und der FIDO Alliance 87 Prozent der Organisationen Passkeys eingeführt oder sind dabei, diese einzuführen. Google hat über 800 Millionen Konten, die Passkeys nutzen, mit 2,5 Milliarden Passkey-Anmeldungen. Das ist also keine Theorie mehr, sondern Realität.
Passkeys sind eine erstaunliche Technologie mit echten Hürden bei der Einführung, die Sicherheitsteams nicht einfach wegwinken können. Unternehmensumgebungen mit veralteter Infrastruktur, lokalem Active Directory, gemeinsam genutzten Arbeitsplätzen und älteren Geräten ohne Trusted Platform Module (TPM) oder biometrische Hardware stehen vor echten Schwierigkeiten. Die plattformübergreifende Interoperabilität zwischen Ökosystemen verbessert sich zwar, ist aber immer noch umständlich. Die Kontowiederherstellung und die Delegierung von Anmeldedaten in großen Organisationen sind noch nicht vollständig gelöst. Und man kann nicht einfach einen Schalter umlegen und Passwörter über Nacht abschaffen, wenn man Tausende von Mitarbeitern mit unterschiedlicher Hardware hat. Organisationen müssen während der Umstellung eine hybride Authentifizierung betreiben, und diese Umstellung könnte je nach Umgebung Jahre dauern. Die Richtung stimmt, aber der Weg dorthin wird für viele Unternehmen chaotisch sein.
Fazit
Die Zeit nach dem besseren Passwort zu suchen ist abgelaufen. Stattdessen sollten Sicherheitsteams darauf hinarbeiten, weniger Passwörter einzusetzen, denn jedes Passwort ist eine Angriffsfläche, und jeder Passkey beseitigt eine. Sie sollten stattdessen Passwortmanager nutzen und überall phishingresistente MFA einsetzen.
Passwörter waren ein notwendiges Übel. Jetzt sind sie einfach nur noch ein Übel. Je schneller Sicherheitsteams diese ablösen, desto besser. Organisationen müssen jedoch auch dort abgeholt werden, wo sie stehen. Nicht jedes Unternehmen verfügt über glänzende neue Hardware, und der Weg zur Passwortlosigkeit muss dieser Realität Rechnung tragen.