Das Passwort „123456“ belegte bereits zum sechsten Mal in den vergangenen sieben Jahren den ersten Platz. Das ist weder ein Zufall noch eine Kuriosität. Es handelt sich um ein langfristiges Problem, das direkte Auswirkungen auf die Sicherheit von Unternehmen und den Erfolg von Cyberangriffen hat.

Was die diesjährige Studie gezeigt hat

NordPass und NordStellar analysierten geleakte Zugangsdaten aus öffentlichen Datenbanken und dem Darknet für den Zeitraum von September 2024 bis September 2025. Die veröffentlichten Ergebnisse umfassen 44 Länder und enthalten zudem einen generationsübergreifenden Vergleich des Nutzerverhaltens – von der Generation Z bis hin zur sogenannten Silent Generation.

Die wichtigste Erkenntnis ist, dass die Qualität von Passwörtern in allen Altersgruppen niedrig bleibt. Die Annahme, dass jüngere Nutzer, die häufig als „Digital Natives“ bezeichnet werden, über bessere Sicherheitsgewohnheiten verfügen, hat sich nicht bestätigt. Passwörter wie „12345“ und „123456“ gehören in allen Altersgruppen zu den am häufigsten verwendeten. Schwache Passwörter sind somit kein Problem einer bestimmten Mitarbeitergruppe, sondern stellen ein flächendeckendes Risiko für die gesamte Organisation dar.

Warum Credential Security weiterhin eine unterschätzte Sicherheitsebene ist

Die meisten Unternehmen investieren heute in Detektionswerkzeuge, EDR-Lösungen und Netzwerksegmentierung. Der Schutz von Zugangsdaten bleibt jedoch häufig das schwächere Glied der Sicherheitsstrategie. Nicht, weil Unternehmen die Risiken nicht kennen würden, sondern weil die Folgen einer Vernachlässigung dieses Bereichs oft nicht unmittelbar sichtbar sind.

Angreifer sind sich dessen sehr bewusst. Credential Stuffing, also das automatisierte Ausprobieren von Zugangsdaten aus geleakten Datenbanken auf anderen Diensten, gehört zu den am häufigsten genutzten Methoden für den Erstzugriff. Die Kosten eines solchen Angriffs sind dabei minimal. Geleakte Datenbanken sind oft frei verfügbar, ebenso wie Werkzeuge zur Automatisierung der Tests. Verwendet ein Mitarbeiter dasselbe Passwort sowohl privat als auch beruflich, kann ein Datenleck bei einem völlig unabhängigen Dienst zur Kompromittierung der Unternehmensumgebung führen.

Besondere Aufmerksamkeit verdienen Service- und Administratorkonten. Standardpasswörter oder über lange Zeit unveränderte Passwörter finden sich noch immer auf Netzwerkgeräten, Servern und internen Anwendungen – selbst in Unternehmen mit ansonsten gut etablierten Sicherheitsrichtlinien. Gerade diese Konten verfügen über die höchsten Berechtigungen, sodass ihre Kompromittierung besonders schwerwiegende Folgen haben kann.

Technische Maßnahmen, die tatsächlich helfen

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung sollte bei allen über das Internet erreichbaren Diensten Standard sein. Dazu gehören VPN-Zugänge, E-Mail-Dienste, Cloud-Anwendungen sowie interne Portale. Bei privilegierten Konten sollten Unternehmen phishingresistente Authentifizierungsmethoden wie FIDO2 oder Passkeys bevorzugen.

Zentrale Passwortverwaltung und Single Sign-On

Ein unternehmensweiter Passwortmanager in Kombination mit einer Single-Sign-On-Lösung (SSO) reduziert die Anzahl der Passwörter, die Benutzer manuell verwalten müssen. Dadurch sinkt das Risiko der Passwortwiederverwendung und der Nutzung einfacher Passwortkombinationen erheblich.

Überwachung geleakter Zugangsdaten

Die Überwachung von Unternehmensdomänen in Datenbanken mit geleakten Zugangsdaten ermöglicht es, Probleme zu erkennen, bevor Angreifer versuchen, die Daten auszunutzen. Die Integration solcher Quellen in das Sicherheitsmonitoring unterstützt Unternehmen dabei, proaktiv zu handeln.

Audit privilegierter Konten und Service-Identitäten

Die regelmäßige Inventarisierung von Administratorkonten, Service-Identitäten und API-Schlüsseln hilft dabei, vergessene oder falsch konfigurierte Konten aufzudecken. Gerade diese bleiben häufig außerhalb der standardisierten Prozesse des Zugriffsmanagements und stellen ein erhebliches Sicherheitsrisiko dar.

Die Lücke zwischen Richtlinie und Realität

Die Daten von NordPass bestätigen etwas, das Sicherheitsexperten seit Jahren beobachten. Trotz zahlreicher Schulungen und Sensibilisierungsmaßnahmen hat sich das Verhalten der Nutzer nur begrenzt verändert. Das bedeutet nicht, dass Sicherheitsbewusstsein und Schulungen wirkungslos sind. Vielmehr zeigt es die Notwendigkeit, von einem Modell, das vor allem auf Aufklärung basiert, zu einem Modell überzugehen, bei dem sicheres Verhalten technisch erzwungen wird.

Die technische Durchsetzung von Passwortrichtlinien, die Verhinderung der Wiederverwendung von Passwörtern, die Integration von Diensten zur Überwachung von Datenlecks sowie regelmäßige Penetrationstests mit Fokus auf Angriffe gegen Zugangsdaten gehören zu den Maßnahmen, die die Sicherheitslage eines Unternehmens unabhängig von individuellen Nutzerentscheidungen tatsächlich verbessern können.

Bei Citadelo stellen wir im Rahmen von Red-Teaming-Übungen und Penetrationstests regelmäßig fest, dass die Kompromittierung von Umgebungen über schwache oder wiederverwendete Zugangsdaten nach wie vor zu den erfolgreichsten Methoden des Erstzugriffs zählt. Dies gilt selbst für Unternehmen mit einem ansonsten ausgereiften Sicherheitsprogramm. Credential Security gehört daher zu den Bereichen, die überprüft werden sollten, bevor dies ein Angreifer tut.