World Password Day 2026: Angreifer loggen sich einfach ein
Am World Password Day 2026 zieht Rich Greene vom Sans Institute eine ernüchternde Bilanz: Gestohlene Anmeldedaten sind längst der häufigste Einstiegsweg für Cyberangriffe. Passwörter allein schützen nicht mehr – und selbst MFA ist kein Allheilmittel.
Angesichts des World Password Days 2026 vm 7. Mai müssen sich Sicherheitsteams einer unangenehmen Wahrheit stellen: Angreifer brechen nicht mehr ein – sie loggen sich ein. Rich Greene, Instructor beim Sans Institute, ordnet die aktuellen Bedrohungslagen ein und zeigt auf, wo Handlungsbedarf besteht.
Gestohlene Zugangsdaten als grösste Schwachstelle
Der Verizon DBIR 2025 analysierte über 22’000 Sicherheitsvorfälle und stellte fest, dass gestohlene Anmeldedaten bei 22 Prozent aller bestätigten Sicherheitsverletzungen den ersten Zugangsweg darstellten. Bei einfachen Angriffen auf Webanwendungen steigt dieser Anteil sogar auf 88 Prozent. Ebenfalls alarmierend: IBM X-Force verzeichnete einen Anstieg von 84 Prozent gegenüber dem Vorjahr bei Infostealer-Malware, die über Phishing-E-Mails verbreitet wird. Dabei handelt es sich nicht um ausgeklügelte Zero-Day-Exploits, sondern um Malware, die still und leise gespeicherte Passwörter aus dem Browser sammelt.
Die Wiederverwendung von Passwörtern verschärft die Lage zusätzlich. Verizons Analyse von Infostealer-Protokollen ergab, dass im Medianfall nur 49 Prozent der Passwörter eines Nutzers über verschiedene Dienste hinweg einzigartig waren. Das bedeutet: In mehr als der Hälfte der Fälle öffnet ein einziges kompromittiertes Passwort mehrere Türen. «Wir sagen den Leuten immer wieder, sie sollen starke, einzigartige Passwörter verwenden. Sie nicken zustimmend und tun genau das Gegenteil», so Greene.
Die Infostealer-Wirtschaft hat sich industrialisiert
Laut dem Kela-Bericht 2025 verzeichneten Sicherheitsforscher 3,9 Milliarden gestohlene Zugangsdaten auf 4,3 Millionen infizierten Geräten. Diese Zugangsdaten werden in sogenannten Logs gebündelt und an Initial Access Broker verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterveräussern. Die kriminelle Infrastruktur dahinter ist professionell organisiert und skaliert kontinuierlich.
MFA hilft – ist aber kein Allheilmittel
Mehrfaktorauthentifizierung (MFA) gilt vielerorts als Standardmassnahme, ist jedoch keine Wunderwaffe. Angreifer umgehen sie durch Prompt-Bombing, Session-Hijacking und Adversary-in-the-Middle-Phishing-Kits, die Token in Echtzeit erfassen. Der Verizon DBIR hat Prompt-Bombing erstmals als eine der häufigsten Angriffsmethoden identifiziert. Greenes Fazit ist klar: «Eine MFA aktiviert zu haben, ist das Mindeste. Eine phishing-resistente MFA ist das, was tatsächlich etwas bewirkt.»
Passkeys als vielversprechende Alternative
Die Fido Alliance berichtet, dass 69 Prozent der Verbraucher:innen mittlerweile mindestens einen Passkey besitzen – gegenüber einem Bekanntheitsgrad von nur 39 Prozent vor zwei Jahren. Passkeys erreichen eine Anmeldeerfolgsrate von 93 Prozent, verglichen mit 63 Prozent bei herkömmlichen Passwörtern. Auf Unternehmensseite haben laut Untersuchungen von HID und der Fido Alliance 87 Prozent der Organisationen Passkeys eingeführt oder sind dabei, diese einzuführen. Google verzeichnet über 800 Millionen Konten, die Passkeys nutzen, mit 2,5 Milliarden Passkey-Anmeldungen.
Dennoch bestehen reale Einführungshürden, die Sicherheitsteams nicht ignorieren dürfen. Unternehmensumgebungen mit veralteter Infrastruktur, lokalem Active Directory, gemeinsam genutzten Arbeitsplätzen und älteren Geräten ohne Trusted Platform Module (TPM) oder biometrische Hardware stehen vor erheblichen Schwierigkeiten. Die plattformübergreifende Interoperabilität verbessert sich zwar, ist aber noch nicht vollständig ausgereift. Kontowiederherstellung und die Delegierung von Anmeldedaten in grossen Organisationen sind ebenfalls noch nicht abschliessend gelöst. Organisationen müssen während der Umstellung eine hybride Authentifizierung betreiben – und diese Umstellung könnte je nach Umgebung Jahre dauern.
Fazit: Weniger Passwörter, mehr Sicherheit
Die Zeit, nach dem besseren Passwort zu suchen, ist abgelaufen. Stattdessen sollten Sicherheitsteams darauf hinarbeiten, weniger Passwörter einzusetzen: Jedes Passwort ist eine Angriffsfläche, jeder Passkey beseitigt eine. Empfohlen werden ausserdem Passwortmanager sowie der flächendeckende Einsatz von phishing-resistenter MFA. «Passwörter waren ein notwendiges Übel. Jetzt sind sie einfach nur noch ein Übel. Je schneller Sicherheitsteams diese ablösen, desto besser», so Greene. Dabei müssen Organisationen dort abgeholt werden, wo sie stehen – nicht jedes Unternehmen verfügt über neue Hardware, und der Weg zur Passwortlosigkeit muss dieser Realität Rechnung tragen.
Weitere Informationen: https://www.sans.org
Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/world-password-day-2026-angreifer-loggen-sich-einfach-ein/
