Einloggen statt Einbruch: Warnung vor cyberkriminellem Trend

Rich Greene nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass, IT-Sicherheitsteams mit einer unangenehmen Wahrheit über Passwörter zu konfrontieren – Cyberkriminelle suchen vermehrt den direkten Zugang

[datensicherheit.de, 01.05.2026] Rich Greene, „Instructor“ beim SANS Institute, nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass zu mahnen, dass sich IT-Sicherheitsteams einer unangenehmen Wahrheit über Passwörter stellen müssten: Cyberkriminelle würden für Angriffe nicht mehr einbrechen – „sie loggen sich ein!“ Für den Report „Verizon DBIR 2025“ hatten die Autoren demnach über 22.000 Sicherheitsvorfälle analysiert und festgestellt, dass gestohlene Anmeldedaten bei 22 Prozent aller bestätigten Sicherheitsverletzungen den ersten Zugangsweg darstellten. Bei einfachen Angriffen auf Web-Anwendungen steige diese Zahl sogar auf 88 Prozent. An anderer Stelle hätten die Autoren eines Reports von „IBM X-Force“ einen Anstieg von 84 Prozent gegenüber dem Vorjahr bei sogenannter Infostealer-Malware verzeichnet, welche über Phishing-E-Mails verbreitet worden sei. Dabei handele es sich eben nicht um ausgeklügelte Zero-Day-Exploits: „Dabei handelt es sich um Malware, die still und leise gespeicherte Passwörter aus dem Browser sammelt.“

Foto: SANS Institute

Rich Greene berichtet: Zugangsdaten werden in Logs gebündelt und an „Initial Access Broker“ verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen…

In mehr als der Hälfte der Fälle öffnet ein einziges kompromittiertes Passwort Cyberkriminellen mehrere Zugänge

Greene warnt: „Und die Wiederverwendung von Passwörtern gießt weiterhin Öl ins Feuer. Verizons Analyse von Infostealer-Protokollen ergab, dass im Medianfall nur 49 Prozent der Passwörter eines Nutzers über verschiedene Dienste hinweg einzigartig waren.“

• Dies bedeute, dass in mehr als der Hälfte der Fälle ein einziges kompromittiertes Passwort Cyberkriminellen mehrere Türen öffnen könne. „Wir sagen den Leuten immer wieder, sie sollen starke, einzigartige Passwörter verwenden. Sie nicken zustimmend und tun genau das Gegenteil.“

Die „Infostealer“-Wirtschaft habe sich industrialisiert. Im „KELA-Bericht 2025“ hätten Sicherheitsforscher 3,9 Milliarden gestohlene Zugangsdaten auf 4,3 Millionen infizierten Geräten verzeichnet. „Diese Zugangsdaten werden in Logs gebündelt und an ,Initial Access Broker’ verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen.“

MFA kann helfen – sollte aber nicht als „die Wunderwaffe“ gegen Cyberkriminelle verstanden werden

„MFA hilft, aber sie ist nicht ,die Wunderwaffe’, als die sie gerne dargestellt wird. Angreifer umgehen sie durch ,Prompt-Bombing’, ,Session-Hijacking’ und ,Adversary-in-the-Middle’-Phishing-Kits, die Token in Echtzeit erfassen“, berichtet Greene. Der „Verizon DBIR“ habe „Prompt-Bombing“ erstmals als eine der häufigsten Angriffsmethoden identifiziert. Eine Multi-Faktor-Authentifizierung (MFA) aktiviert zu haben, sei das Mindeste. „Eine phishing-resistente MFA ist das, was tatsächlich etwas bewirkt.“

• Doch es gebe Licht am Horizont für die IT-Security-Community, denn Passkeys funktionierten. „Die FIDO Alliance berichtet, dass 69 Prozent der Verbraucher mittlerweile mindestens einen Passkey besitzen, gegenüber einem Bekanntheitsgrad von nur 39 Prozent vor zwei Jahren.“ Passkeys erreichten eine Anmeldeerfolgsrate von 93 Prozent, verglichen mit 63 Prozent bei herkömmlichen Passwörtern.

Auf Unternehmensseite hätten laut Untersuchungen von HID und der FIDO Alliance 87 Prozent der Organisationen Passkeys eingeführt oder seien dabei, diese einzuführen. Google habe über 800 Millionen Passkeys nutzende Konten mit 2,5 Milliarden Passkey-Anmeldungen. „Das ist also keine Theorie mehr, sondern Realität.“

Zur Abwehr cyberkrimineller Angriffe Passkeys einführen – ein Prozess mit Zeitbedarf

Passkeys seien eine erstaunliche Technologie mit echten Hürden bei der Einführung, welche IT-Sicherheitsteams nicht einfach wegwinken könnten: „Unternehmensumgebungen mit veralteter Infrastruktur, lokalem ,Active Directory’, gemeinsam genutzten Arbeitsplätzen und älteren Geräten ohne ,Trusted Platform Module’ (TPM) oder biometrische Hardware stehen vor echten Schwierigkeiten.“

• Die plattformübergreifende Interoperabilität zwischen „Ökosystemen“ verbessere sich zwar, sei aber immer noch umständlich. Die Kontowiederherstellung und die Delegierung von Anmeldedaten in großen Organisationen seien noch nicht vollständig gelöst.

Greene führt aus: „Und man kann nicht einfach einen Schalter umlegen und Passwörter über Nacht abschaffen, wenn man Tausende von Mitarbeitern mit unterschiedlicher Hardware hat.“ Organisationen müssten während der Umstellung eine hybride Authentifizierung betreiben – und diese Umstellung könnte je nach Umgebung Jahre dauern. „Die Richtung stimmt, aber der Weg dorthin wird für viele Unternehmen chaotisch sein.“

Passwörter einst ein notwendiges Übel zum Schutz vor Cyberkriminellen

„Die Zeit nach dem besseren Passwort zu suchen ist abgelaufen!“, stellt Green klar. Stattdessen sollten IT-Sicherheitsteams darauf hinarbeiten, weniger Passwörter einzusetzen, denn jedes Passwort sei eine Angriffsfläche, und jeder Passkey beseitige eine.

• Sie sollten stattdessen Passwortmanager nutzen und überall phishing-resistente MFA einsetzen.

„Passwörter waren ein notwendiges Übel. Jetzt sind sie einfach nur noch ein Übel.“ Je schneller IT-Sicherheitsteams diese nun ablösten desto besser. „Organisationen müssen jedoch auch dort abgeholt werden, wo sie stehen. Nicht jedes Unternehmen verfügt über glänzende neue Hardware, und der Weg zur Passwortlosigkeit muss dieser Realität Rechnung tragen“, gibt Greene abschließend zu bedenken.

Weitere Informationen zum Thema:

SANS
About SANS Institute

SANS
Rich Greene – Certified InstructorSenior Solutions Engineer at SANS Institute

NATIONAL DAY CALENDAR
WORLD PASSWORD DAY

verizon, Sebrina Kepple, 23.04.2025
Verizon’s 2025 Data Breach Investigations Report: System intrusion breaches double in EMEA

IBM, 17.04.2025
IBM X-Force Threat Index 2025: Der umfangreiche Diebstahl von Anmeldedaten nimmt zu, Bedrohungsakteure wenden heimlichere Taktiken an

KELA, 2025
2025 Midyear Threat Report: Evolving Tactics and Emerging Dangers / A Guide to Prepare for the Growing Threats of Hacktivists, Infostealers, Ransomware and More

fido ALLIANCE
Passkeys

datensicherheit.de, 01.05.2026
World Password Day 2026: ESET-Empfehlung zur MFA-Nutzung für zentrale Zugänge zu Netzwerken und Konten / Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis – und kann damit verhindern, dass sich Cyberkriminelle wie berechtigte Nutzer einfach einloggen können

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 26.01.2023
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter / eco gibt zum bevorstehenden Ändere-dein-Passwort-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden