Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete in seinem aktuellen Lagebericht zur IT-Sicherheit eine signifikante Zunahme von Identitätsdiebstählen durch gestohlene Zugangsdaten. Die Behörde erläuterte in diesem Zusammenhang detailliert, Was Ist Ein Kompromittiertes Passwort für die Infrastruktur von Unternehmen und Privatpersonen bedeutet, wenn diese Informationen in unbefugte Hände gelangen. Laut den Daten des BSI sind automatisierte Angriffe auf Nutzerkonten mittlerweile für einen Großteil der erfolgreichen Kompromittierungen in Deutschland verantwortlich.
Der Bericht hält fest, dass die unbefugte Erlangung von Anmeldedaten oft über großflächige Datenlecks oder gezielte Phishing-Kampagnen erfolgt. Claudia Plattner, Präsidentin des BSI, wies darauf hin, dass die Wiederverwendung von identischen Zeichenfolgen über mehrere Plattformen hinweg das Schadenspotenzial massiv erhöht. Die Experten fordern eine flächendeckende Implementierung von Multi-Faktor-Authentifizierung (MFA), um die Abhängigkeit von statischen Geheimnissen zu verringern.
Die technische Definition von Was Ist Ein Kompromittiertes Passwort
Ein Zugangscode gilt offiziell als gefährdet, wenn er in einer öffentlich zugänglichen oder im Darknet gehandelten Datenbank auftaucht. Sicherheitsforscher von Troy Hunt, dem Betreiber des Dienstes Have I Been Pwned, dokumentieren regelmäßig Milliarden von Datensätzen, die aus verschiedenen Plattform-Hacks stammen. Diese Sammlungen ermöglichen es Angreifern, sogenannte Credential-Stuffing-Angriffe durchzuführen, bei denen Bots automatisch versuchen, sich mit den geleakten Daten bei anderen Diensten anzumelden.
Technisch gesehen verliert die Zeichenkombination ihre Schutzfunktion, sobald sie Dritten bekannt ist, unabhängig davon, ob bereits ein Missbrauch stattgefunden hat. Microsoft gab in einem Sicherheitsbericht an, dass monatlich über 30 Millionen Angriffe auf Nutzerkonten allein durch den Abgleich von bekannten Listen erfolgen. Die Integrität des Kontos ist in diesem Moment nicht mehr gewährleistet, da die Exklusivität des Wissens zwischen Nutzer und System zerstört wurde.
Methoden der Datenerfassung durch Kriminelle
Hacker setzen verschiedene Techniken ein, um an diese sensiblen Informationen zu gelangen, wobei Infostealer-Malware eine wachsende Rolle spielt. Diese Schadsoftware infiziert Endgeräte und liest die im Browser gespeicherten Passwörter sowie Session-Cookies direkt aus. Laut dem Sicherheitsunternehmen CrowdStrike hat sich der Einsatz solcher Werkzeuge im vergangenen Jahr fast verdoppelt.
Eine weitere Methode bleibt das klassische Social Engineering, bei dem Angreifer die psychologische Manipulation nutzen, um Opfer zur Preisgabe ihrer Daten zu bewegen. Oftmals werden dringende Warnmeldungen von Banken oder IT-Abteilungen vorgetäuscht, um eine sofortige Reaktion zu erzwingen. Die so gewonnenen Informationen werden häufig in Foren für Cyberkriminalität weiterverkauft oder unmittelbar für Finanzbetrug genutzt.
Auswirkungen auf die nationale Wirtschaft und Infrastruktur
Der Branchenverband Bitkom bezifferte den Schaden für die deutsche Wirtschaft durch Diebstahl von IT-Ausrüstung und Daten sowie Spionage auf jährlich über 200 Milliarden Euro. Ein wesentlicher Teil dieser Summe resultiert aus dem unberechtigten Zugriff auf Unternehmensnetzwerke über schwache oder bereits bekannte Zugangsdaten. Wenn Mitarbeiter private Kennwörter im beruflichen Umfeld nutzen, übertragen sie die Sicherheitsrisiken privater Plattformen direkt in die Firmenstruktur.
Besonders kritisch bewerten Experten den Zugriff auf administrative Konten, die weitreichende Berechtigungen im Netzwerk besitzen. Einmal eingedrungen, können Angreifer Ransomware installieren und das gesamte System verschlüsseln, um Lösegeld zu erpressen. Das BSI empfiehlt daher dringend die Trennung von privaten und geschäftlichen Identitäten sowie den Einsatz von Passwortmanagern.
Gesetzliche Anforderungen und Compliance
Mit der Einführung der NIS-2-Richtlinie auf europäischer Ebene verschärfen sich die Anforderungen an die Cybersicherheit für viele Unternehmen deutlich. Die Richtlinie verpflichtet Organisationen dazu, Risikomanagementmaßnahmen zu ergreifen, die auch die Sicherung von Identitäten umfassen. Verstöße gegen diese Sorgfaltspflichten können bei Datenpannen zu empfindlichen Bußgeldern führen, die sich am weltweiten Umsatz orientieren.
Unternehmen müssen nachweisen, dass sie angemessene technische Maßnahmen zum Schutz vor unberechtigtem Zugriff implementiert haben. Hierzu gehört laut Rechtsexperten auch die regelmäßige Überprüfung, ob die verwendeten Mitarbeiterpasswörter in bekannten Leaks enthalten sind. Viele IT-Abteilungen nutzen mittlerweile automatisierte Abgleiche mit Datenbanken für kompromittierte Zugangsdaten, um betroffene Konten präventiv zu sperren.
Kritik an gängigen Sicherheitsvorgaben der Vergangenheit
Lange Zeit empfahlen Institutionen den regelmäßigen Wechsel von Kennwörtern alle 90 Tage als Best Practice. Das National Institute of Standards and Technology (NIST) aus den USA revidierte diese Empfehlung in seinen neueren Richtlinien jedoch grundlegend. Die Behörde stellte fest, dass erzwungene Wechsel dazu führen, dass Nutzer lediglich leicht vorhersehbare Änderungen an bestehenden Zeichenfolgen vornehmen.
Diese Praxis erhöhte die Sicherheit nicht, sondern führte oft zu schwächeren Kombinationen, die leichter zu erraten waren. Kritiker der alten Schule merken an, dass die Umstellung auf modernere Methoden wie passwortlose Anmeldung oder biometrische Verfahren hohe Investitionskosten verursacht. Dennoch zeigt die Analyse von Sicherheitsvorfällen, dass statische Passwörter allein kein zeitgemäßes Schutzniveau mehr bieten können.
Die Rolle von Passwortmanagern und Hardware-Tokens
Sicherheitsexperten wie Bruce Schneier betonen seit Jahren, dass Menschen nicht in der Lage sind, sich für jeden Dienst ein einzigartiges und komplexes Kennwort zu merken. Passwortmanager lösen dieses Problem, indem sie für jeden Account eine zufällige Folge generieren und verschlüsselt speichern. Der Nutzer muss sich nur noch ein einziges Master-Passwort merken, das entsprechend stark geschützt sein muss.
Zusätzlich gewinnen Hardware-Tokens, die auf dem FIDO2-Standard basieren, an Bedeutung in professionellen Umgebungen. Diese physischen Schlüssel verhindern Phishing-Angriffe effektiv, da der Login an die Hardware und die spezifische Webseite gebunden ist. Selbst wenn ein Angreifer erfährt, Was Ist Ein Kompromittiertes Passwort eines Nutzers, bleibt der Zugriff ohne den physischen Token verwehrt.
Technologische Gegenmaßnahmen und automatisierte Abwehr
Moderne Identitätsplattformen nutzen künstliche Intelligenz, um anomales Anmeldeverhalten in Echtzeit zu erkennen. Wenn ein Login-Versuch von einem unbekannten Standort oder zu einer ungewöhnlichen Zeit erfolgt, blockiert das System den Zugriff automatisch. Google gab an, durch die automatische Aktivierung der Zwei-Faktor-Authentifizierung für Millionen von Konten die Rate der Kontoübernahmen um 50 Prozent gesenkt zu haben.
Diese Systeme gleichen Anmeldedaten beim Setzen eines neuen Passworts sofort mit Listen bekannter Leaks ab. Falls eine Übereinstimmung gefunden wird, verweigert das System die Annahme des gewählten Begriffs. Diese proaktive Strategie verhindert, dass bereits bekannte und unsichere Kombinationen überhaupt erst in das System gelangen.
Die Herausforderung durch Quantencomputing
Ein Blick auf die technologische Entwicklung zeigt, dass aktuelle Verschlüsselungsmethoden langfristig durch Quantencomputer gefährdet sein könnten. Forscher arbeiten bereits an post-quanten-krypographischen Algorithmen, um die Sicherheit der Kommunikation und der gespeicherten Daten auch in Zukunft zu gewährleisten. Das BSI hat hierzu bereits erste Handlungsempfehlungen für Unternehmen und Behörden veröffentlicht, um den Übergang zu planen.
Obwohl diese Technologie noch nicht für den Massenmarkt verfügbar ist, müssen langfristige Sicherheitsstrategien diese Bedrohung bereits berücksichtigen. Die Migration auf neue Standards wird viele Jahre in Anspruch nehmen und erfordert eine vollständige Überprüfung der bestehenden IT-Architekturen. Experten warnen davor, die notwendigen Anpassungen aufzuschieben, da die Erfassung verschlüsselter Daten für eine spätere Entschlüsselung bereits heute stattfindet.
In den kommenden Monaten wird beobachtet werden, wie die deutsche Bundesregierung die NIS-2-Richtlinie in nationales Recht umsetzt und welche spezifischen Anforderungen an kleine und mittlere Unternehmen gestellt werden. Unklar bleibt, ob die geplante Abschaffung des klassischen Passworts zugunsten von Passkeys in der breiten Bevölkerung auf Akzeptanz stößt. Die Entwicklung der nächsten Generation von Identitätsmanagement-Systemen wird zeigen, ob die Abhängigkeit von Wissen als Sicherheitsfaktor endgültig durch sicherere Besitz- und Inhärenzfaktoren ersetzt werden kann.
