mac it Illustration

Sichere Passwörter: So schützen Unternehmen ihre Zugänge wirksam

Sichere Passwörter sind ein zentraler Baustein der IT-Sicherheit.
Trotzdem werden im Alltag noch immer häufig einfache Zahlenfolgen, Namen, Orte oder bekannte Muster als Passwort genutzt. Solche Kombinationen sind zwar leicht zu merken, lassen sich von Cyber-Kriminellen aber oft ebenso leicht erraten oder automatisiert knacken.

Gerade für Unternehmen stellen unsichere Passwörter ein großes Cybersicherheits-Risiko dar.
 Umso wichtiger ist es, auf eine durchdachte Passwortsicherheit zu achten und Empfehlungen hierfür in der Praxis umzusetzen um IT-Systeme sowie persönliche und geschäftliche Daten zu schützen.

Wie und warum werden Passwörter gehackt?

Passwort-Hacking ist das unbefugte Kompromittieren von Zugangsdaten.

  • Cyberkriminelle nutzen schwache Passwörter, Passwort-Wiederverwendung und fehlende Multi-Faktor-Authentifizierung (MFA) aus.
  • Ziel ist der Zugriff auf Konten, Systeme, Daten und Berechtigungen.
  • Gestohlene Zugangsdaten dienen Datendiebstahl, Betrug, Erpressung oder weiteren Cyberangriffen.
  • Besonders im Unternehmensumfeld können kompromittierte Passwörter zu weitreichenden IT-Sicherheitsvorfällen führen.

Welche Arten von Passwort-Hacking gibt es?

Ausprobieren sehr vieler Passwortkombinationen mit automatisierter Software, um systematisch alle möglichen Passwortkombinationen auszuprobieren, bis die richtige gefunden wird. Obwohl es zeitaufwändig klingt, sind moderne Systeme in der Lage, Tausende von Kombinationen pro Sekunde zu testen. Besonders erfolgreich sind sie bei kurzen oder schwachen Passwörtern.

Testet gezielt vorgefertigte Datenbanken mit häufig genutzten, durchgesickerten Passwörtern, Begriffen und typischen Passwortmustern, die Leute am wahrscheinlichsten verwenden, anstelle alle möglichen Kombinationen zu testen.

Hier wird nicht versucht, Ihr Passwort zu erraten. Stattdessen sollen Sie dazu verleitet werden, es freiwillig herauszugeben. Die Angreifer erstellen hierfür gefälschte E-Mails, Websites oder Textnachrichten, die scheinbar von vertrauenswürdigen Quellen stammen - so sollen Sie dazu gebracht werden, Ihre Zugangsdaten selbst einzugeben.

Bereits gestohlene Benutzername-Passwort-Kombinationen aus Datenlecks werden automatisiert bei anderen Diensten (z.B. Bank-, Social-Media- und E-Mail-Konten) ausprobiert. Da Menschen oft das gleiche Passwort für mehrere Konten verwenden, können Angreifer diesen Prozess mit Bots automatisieren, und pro Minute auf Hunderten zahlreichen on Websites testen.

Schadsoftware oder Hardware zeichnet Tastatureingaben auf und liest so Passwörter direkt bei der Eingabe mit. Man unterscheidet hier zwei Haupttypen:

  • Hardware Keylogger: Physikalische Geräte, die zwischen Ihrer Tastatur und Ihrem Computer angeschlossen sind.
  • Software Keylogger: Versteckte Malware, die unbemerkt im Hintergrund läuft. Diese sind häufiger anzutreffen und schwerer zu entdecken.

Angreifer fangen die Verbindung zwischen Nutzer und Website ab, um übertragene Zugangsdaten mitzulesen. Sie positionieren sich als "Man in the Middle" dieser Verbindung, um Daten während der Übertragung auszuspionieren (z.B. Anmeldedaten). Öffentliche WLAN-Netzwerke sind besonders beliebte Ziele für MITM-Angriffe. 

Dies ist eine Kombination aus Wörterbuch- und Brute-Force-Angriff, bei der bekannte Passwörter mit vorhersehbaren Variationen wie Zahlen und Symbolen erweitert werden.

Hier werden vorberechnete Hash-Tabellen genutzt, um erbeutete Passwort-Hashes schneller auf ursprüngliche Passwörter zurückzuführen. Denn wenn Websites Passwörter speichern, verwenden sie i.d.R. Hashes, um sie mittels unlesbarer Zeichenfolgen zu verschlüsseln. Wenn Angreifer diese Hashes jedoch durch einen Cyberangriff erhalten, können sie die sogenannten Rainbow-Tabellen verwenden, um die ursprünglichen Kennwörter zu rekonstruieren.

Passwörter werden hier durch Beobachten bei der Eingabe ausgespäht, etwa in öffentlichen Bereichen oder Büro Es handelt sich hierbei um einen Low-Tech-Angriff, da keine Technik sondern nur Nähe und eine freie Sichtlinie benötigt werden (z.B. in öffentlichen Räumen wie Flughäfen, Cafés, Büros, etc..

Empfehlungen zur Passwortsicherheit​

Grundsätzlich gibt es zwei bewährte Strategien, um ein sicheres Passwort zu erstellen:

Kurzes, aber komplexes Passwort

Ein komplexes Passwort ist in der Regel acht bis zwölf Zeichen lang und kombiniert verschiedene Zeichenarten. Dazu gehören:

  • Großbuchstaben
  • Kleinbuchstaben
  • Zahlen
  • Sonderzeichen


Wichtig ist, dass diese Zeichen nicht nach einem einfachen Muster angeordnet werden, sondern möglichst zufällig.

Langes, aber weniger komplexes Passwort

Eine besonders sichere und oft alltagstauglichere Variante ist ein langes Passwort. Dieses sollte folgende Kriterien erfüllen:

  • mindestens 25 Zeichen
  • besteht i.d.R. aus mehreren zufälligen Wörtern
  • Wörter sind durch Sonderzeichen oder andere Trennzeichen voneinander getrennt 

 
Solche langen Passwörter oder Passphrasen sind häufig leichter zu merken und gleichzeitig sehr widerstandsfähig gegen Angriffe.

Typische Fehler bei der Passwort-Vergabe

Ebenso wichtig wie die Regeln zur Passwortsicherheit zu beachten ist es, typische Schwachstellen bei der Passwortwahl zu kennen und zu vermeiden.
Dazu gehören unter anderem:

  • Namen von Familienmitgliedern, Haustieren oder Geburtsdaten
  • einfache Tastaturmuster wie „asdfgh“ oder „1234abcd“
  • bekannte Wiederholungen oder sehr ähnliche Varianten
  • einfache Passwörter, die nur am Anfang oder Ende um eine Zahl oder ein Sonderzeichen ergänzt werden
  • dasselbe Passwort für mehrere Accounts

Solche Passwörter sind für Angreifer besonders leicht vorhersehbar und birgen daher ein hohes Sicherheitsrisiko.

Checkliste zur Passwort-Sicherheit

Alle hilfreichen Hinweise zum Thema sichere Passwörter haben wir in einer kompakten Checkliste für Sie zusammengefasst:

Checkliste Passwort-Sicherheit (PDF)

Tipps für Passwortsicherheit in Unternehmen

Für Unternehmen ist es nicht ausreichend, beim Thema Passwortsicherheit nur auf die Eigenverantwortung der Mitarbeiter zu setzen. 
Sinnvoll ist eine klare Passwortstrategie, die verbindliche Regeln definiert und technisch unterstützt wird.

Dazu werden unter anderem empfohlen:

  • Klare Passwort-Richtlinien
  • Mehr-Faktor-Authentifizierung (MFA)
  • Awareness-Schulungen für Mitarbeiter
  • Einsatz eines Passwort-Managers

 
Mehr zum Thema „Passwort-Manager für Unternehmen“

Fazit

Sichere Passwörter sind Pflicht und eine einfache und wirksame Maßnahme, um Accounts, Daten und IT-Systeme in Unternehmen besser zu schützen. Ob komplexes Passwort oder lange Passphrase: Entscheidend ist, dass jede Zugangsdaten-Kombination individuell, ausreichend stark und nicht leicht vorhersehbar ist.

Wer zusätzlich auf MFA setzt, typische Passwortfehler vermeidet, seine Mitarbeiter ausreichend schult und optional einen guten Passwort-Manager einsetzt, schafft eine deutlich bessere Grundlage für moderne Cyber-Sicherheit im Unternehmen.

Weitere interessante Beiträge

Mars Solutions CEO (mittig) steht mit Partnern – darunter Herr Niedling (links) und eine Kollegin (rechts) – vor der gebrandeten Sophos-Fotowand, die Hände jubelnd in die Luft gereckt.
mars-News
20 Jahre mars! mars Hausmesse am 26.9.2024
30. September 2024
Zum Blogbeitrag
Design ohne Titel(5)
IT-News
Rückblick auf das 1. NMS Symposium
9. Juli 2025
Zum Blogbeitrag
Tremds und ausblick
IT-News
IT-Trends 2025 und Ausblick 2026
14. Januar 2026
Zum Blogbeitrag

Verpassen Sie keine IT-News mehr!

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.