Trotz jahrelanger Warnungen dominieren simple Passwörter wie „123456“ weiterhin – und öffnen Cyberkriminellen Tür und Tor. Das geht aus dem aktuellen Breached Password Report des Sicherheitsunternehmens Specops Software hervor. Die Analyse von über sechs Milliarden durch Malware gestohlener Passwörter zeigt: Die Gewohnheiten der Nutzer haben sich kaum verbessert. Die Studie unterstreicht eine gefährliche Lücke zwischen Sicherheitsrichtlinien und dem tatsächlichen Verhalten.
Ein düsteres Bild der Passwort-Sicherheit
Die Ergebnisse zeichnen ein alarmierendes Bild. Die am häufigsten kompromittierten Passwörter des Jahres 2025 waren „123456“, „123456789“, „12345678“, „admin“ und „password“. Solche Zugangsdaten können von Angreifern nahezu sofort geknackt werden. Die Forschung legt nahe, dass der Missbrauch von Zugangsdaten heute eine hochskalierbare, industrialisierte Operation ist. Gestohlene Daten werden auf Darknet-Märkten gesammelt und weiterverkauft, was eine anhaltende Bedrohung schafft.
Das Profil eines geknackten Passworts
Die Datenanalyse liefert entscheidende Einblicke. Am häufigsten gestohlen wurden Passwörter mit einer Länge von acht Zeichen – sie machten 1,1 Milliarden der erfassten Zugangsdaten aus. Viele der geklauten Passwörter, wie „Password1“, erfüllen zwar technisch gängige Komplexitätsregeln, sind aber dennoch in Leak-Datenbanken allgegenwärtig. Die Studie fand auch regionale Muster, etwa „Pakistan123“ oder „hola1234“, was zeigt, dass Angreifer ihre Angriffe gezielt anpassen.
Infostealer: Die Hauptwaffe der Cyberkriminellen
Als primäres Werkzeug für das massenhafte Sammeln von Zugangsdaten identifiziert der Report Infostealer-Malware. Der Schädling LummaC2 war 2025 der produktivste Infostealer und wird mit dem Diebstahl von über 60 Millionen Zugangsdaten in Verbindung gebracht. Diese Programme sind darauf optimiert, im großen Stil Daten von kompromittierten Systemen zu sammeln. Die gestohlenen Daten werden dann gebündelt und weiterverkauft, was flächendeckende Credential-Stuffing-Angriffe ermöglicht.
Traditionelle Richtlinien sind nicht mehr ausreichend
Eine zentrale Erkenntnis: Herkömmliche Passwort-Richtlinien reichen nicht mehr aus, um moderne Bedrohungen abzuwehren. Die Tatsache, dass selbst komplexe Passwörter massenhaft kompromittiert werden, zeigt, dass eine einmalige Prüfung bei der Erstellung nicht genügt. Specops fordert einen kontinuierlichen und adaptiven Sicherheitsansatz. Das Unternehmen hat seine Breached Password Protection-Datenbank um 1,3 Milliarden neu entdeckte Passwörter erweitert. Solche Dienste ermöglichen es Unternehmen, ihre Systeme proaktiv gegen bekannte, kompromittierte Passwörter zu schützen.
Appell für eine kontinuierliche Verteidigung
Der Report ist eine deutliche Mahnung: Passwort-Sicherheit ist eine anhaltende Herausforderung. Das Nutzerverhalten ändert sich nur langsam, und Angreifer nutzen diese Trägheit mit immer effizienteren Werkzeugen aus. Für Organisationen bedeutet der Weg nach vorn, statische Richtlinien zu überwinden. Die Implementierung von Tools, die aktiv bekannte, geleakte Passwörter erkennen und blockieren, ist heute eine grundlegende Cybersecurity-Maßnahme. Ohne sie bleiben Unternehmen der eskalierenden Gefahr durch Angriffe über Zugangsdaten schutzlos ausgeliefert.
