Trotz jahrelanger Warnungen: Gestohlene Zugangsdaten sind der häufigste Einfallstor für Hackerangriffe auf Firmennetzwerke und kritische Infrastruktur. Das zeigt ein neuer Bericht des Sicherheitsunternehmens Sophos.
Die am Montag veröffentlichte Analyse offenbart ein erschreckendes Bild: Identitätsbasierte Bedrohungen werden nicht nur häufiger, sondern auch raffinierter. Angreifer nutzen massenhaft gestohlene Zugangsdaten aus beliebten Verbraucheranwendungen, um sich seitlich in sicherheitsrelevante Industrieumgebungen zu bewegen.
Angesichts von Millionen gehackter Konten pro Quartal ist die Gefahr für private und geschäftliche Daten so hoch wie nie zuvor. Dieser kostenlose Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und so die Technologie nutzen, die Passwörter für immer ablösen soll. Was steckt hinter Passkeys? Jetzt gratis Report anfordern
Die menschliche Schwachstelle
Laut den Sophos-Forschern bleiben kompromittierte Zugangsdaten die Hauptursache für identitätsbasierte Cyberangriffe weltweit. Die Angreifer sammeln Passwort-Leaks von verschiedenen Plattformen und bauen daraus riesige Datenbanken für sogenannte „Spray and Pray“-Attacken. Diese Wörterbücher sind auf typische Nutzergewohnheiten zugeschnitten – vor allem auf die häufige Wiederverwendung von Passwörtern über mehrere Dienste hinweg.
Die Forscher beobachteten einen besorgniserregenden Trend: Statt Daten sofort abzugreifen, nutzen viele Angreifer legitime Zugänge, um langfristig in Netzwerken präsent zu bleiben. Sie führen Aufklärung durch, identifizieren wertvolle Ziele wie Administratorkonten und schlagen erst dann zu. Die schiere Menge an geleakten Zugangsdaten im Darknet macht es selbst wenig erfahrenen Angreifern leicht, in komplexe Unternehmensnetzwerke einzudringen.
Kritische Infrastruktur im Visier
Die Gefahr beschränkt sich längst nicht mehr auf klassische IT-Umgebungen. Bereits im April 2026 warnten mehrere US-Behörden – darunter die Cybersicherheitsbehörde CISA, das FBI und die NSA – vor gezielten Angriffen auf industrielle Steuerungssysteme. Die Behörden identifizierten iranische staatlich gestützte Angreifer, die speziell speicherprogrammierbare Steuerungen (PLCs) von Rockwell Automation ins Visier genommen hatten.
Betroffen waren die Baureihen CompactLogix und Micro850, die in Regierungsbehörden, Wasser- und Abwassersystemen sowie im Energiesektor weit verbreitet sind. Die Angreifer nutzten schwache Konfigurationen und ungeschützte Systeme für den ersten Zugriff. In mehreren Fällen manipulierten sie die Anzeigen von Mensch-Maschine-Schnittstellen und Kontrollsystemen, was zu Betriebsstörungen und finanziellen Verlusten führte.
Neue Standards: Länger statt komplexer
Als Reaktion auf die anhaltende Bedrohungslage hat das US-amerikanische National Institute of Standards and Technology (NIST) seine Richtlinien aktualisiert. Die Behörde empfiehlt nun Passphrasen mit mindestens 15 Zeichen statt komplizierter Kombinationen aus Sonderzeichen und Zahlen. Längere Passwörter sind effektiver gegen Brute-Force- und Wörterbuchangriffe und gleichzeitig leichter zu merken.
NIST rät zudem von regelmäßigen, erzwungenen Passwortwechseln ab. Die Erfahrung zeigt: Wer Nutzer alle 60 bis 90 Tage zur Änderung zwingt, provoziert „Passwort-Müdigkeit“. Die Folge sind vorhersehbare Varianten wie das Anhängen einer Ziffer oder das Ändern eines Monatsnamens. Passwörter sollten nur bei konkretem Verdacht auf Kompromittierung geändert werden.
Da Hacker gezielt psychologische Schwachstellen und nachlässigen Umgang mit Zugangsdaten ausnutzen, müssen Unternehmen ihre Abwehrstrategien dringend anpassen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen in 4 Schritten effektiv gegen moderne Cyberkriminalität und Manipulationstaktiken absichern. Kostenlosen Leitfaden zur Hacker-Abwehr herunterladen
Die Industrie ist gefordert
Die Regulierungslandschaft hat sich ebenfalls verändert. Vor genau zwei Jahren, am 6. Mai 2024, verabschiedete Großbritannien ein wegweisendes Verbot von Standard-Passwörtern für Smart-Geräte. Seither sind einfache Voreinstellungen wie „password123″ oder „12345″ untersagt. Hersteller müssen ihre Geräte mit individuellen, gerätespezifischen Zugangsdaten ausliefern – ein Prinzip, das CISA unter dem Motto „Secure by Design“ weltweit vorantreibt.
Ein besonders drastisches Beispiel für die Folgen schlechter Passwort-Politik lieferte der Ransomware-Angriff auf Change Healthcare im Februar 2024. Der Zahlungsabwickler, eine Tochter von UnitedHealth Group, zahlte rund 22 Millionen Euro Lösegeld. Bei anschließenden Anhörungen im US-Kongress stellte sich heraus: Die Hacker waren über ein Citrix-Fernzugriffsportal eingedrungen, das keine Zwei-Faktor-Authentifizierung hatte.
Der lange Weg zur Passwortlosigkeit
Sicherheitsexperten sehen in der Ablösung von Passwörtern durch passkey-basierte Systeme den entscheidenden Faktor zur Risikominimierung. Diese Technologie verwendet kryptografische Schlüssel auf physischen Geräten statt statischer Geheimnisse. Während sich Passkeys im Verbraucherbereich zunehmend durchsetzen, gestaltet sich der Umstieg in der Industrie und im Gesundheitswesen aufgrund langer Hardware-Lebenszyklen schwierig.
Bis zur flächendeckenden Einführung passwortloser Authentifizierung bleibt die Kombination aus robusten Passwort-Managern und 15-stelligen Passphrasen die wichtigste Übergangslösung. Unternehmen sollten ihre Zugriffsprotokolle regelmäßig überprüfen und Fernzugriffspunkte besonders überwachen. Denn eines zeigt die Entwicklung deutlich: Gestohlene Zugangsdaten bleiben das begehrteste Werkzeug im Arsenal moderner Cyberkrimineller – ob staatlich gesteuert oder kriminell motiviert.
