Sicherheitsforscher schlagen Alarm: Herkömmliche Abwehrmaßnahmen versagen zunehmend gegen moderne Cyberangriffe. Selbst nach einem erzwungenen Passwort-Reset bleiben Angreifer oft wochenlang in Unternehmensnetzwerken.
Die gängige Praxis, nach einem Sicherheitsvorfall einfach alle Passwörter zurückzusetzen, erweist sich als unzureichend. Wie aktuelle Analysen zeigen, nutzen Hacker ausgeklügelte Methoden, um in Active-Directory– und Entra-ID-Umgebungen dauerhaft präsent zu bleiben – lange nachdem die Zugangsdaten geändert wurden.
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Sicher, bequem und passwortlos – So funktionieren Passkeys
Warum ein neues Passwort nicht genügt
Das Problem liegt in der Architektur der Verzeichnisdienste selbst. Ein Passwort-Reset in Active Directory oder Entra ID macht bestehende Sitzungen oder zwischengespeicherte Anmeldeinformationen nicht automatisch ungültig. Angreifer nutzen sogenannte „Pass-the-Hash“-Techniken: Statt mit Klartext-Passwörtern bewegen sie sich mit kryptografischen Hashes durchs Netzwerk.
Noch tückischer: Aktive Kerberos-Tickets – insbesondere die berüchtigten „Golden“ und „Silver Tickets“ – erlauben unbefugten Zugriff, selbst nach einer Passwortänderung. Diese gefälschten Tickets gewähren administrative Rechte, die an der normalen Authentifizierung vorbei funktionieren.
Sicherheitsexperten betonen: Um einen Angriff wirklich zu beenden, müssen Unternehmen weit mehr tun. Dazu gehören das Löschen aktiver Tickets, das Rotieren von Dienstkonten-Passwörtern und vor allem das Zurücksetzen des KRBTGT-Kontos – dem Herzstück der Schlüsselverteilung in Active Directory.
Die Dringlichkeit dieser Maßnahmen unterstreicht die Entwicklung: Branchenzahlen zeigen einen Anstieg identitätsbasierter Angriffe um 71 Prozent.
Von Canvas bis Zara: Die jüngsten Großangriffe
Die Grenzen aktueller Sicherheitskonzepte zeigen sich in einer Reihe spektakulärer Datenlecks der vergangenen Wochen.
Instructure, Betreiber des Lernmanagementsystems Canvas, bestätigte einen Angriff über eine Sicherheitslücke im Support-System. Die Hackergruppe ShinyHunters erbeutete dabei mehr als 3,6 Terabyte Daten – rund 275 Millionen Datensätze. Zwischen dem 7. und 8. Mai kam es zu Serviceausfällen, die volle Funktionsfähigkeit wurde erst am 11. Mai wiederhergestellt. Zwar blieben Kern-Lerndaten sicher, doch Nutzernamen, E-Mails und Kursanmeldedetails sind nun in den Händen der Angreifer.
Parallel dazu meldete der Modekonzern Zara einen Datenvorfall mit über 197.400 betroffenen Kunden. Die Angreifer gelangten über gestohlene Tokens eines Analyse-Dienstleisters in Cloud-Umgebungen wie Snowflake und BigQuery. Bestell-IDs und E-Mails wurden gestohlen, Zahlungsdaten blieben verschont.
Am 20. April wurde die Identitätssicherheitsfirma SailPoint Opfer eines Angriffs auf ein GitHub-Repository. Die Schwachstelle lag in einer Drittanbieter-Anwendung. Kundendaten und Produktionssysteme blieben unberührt – der Vorfall zeigt jedoch die Verwundbarkeit der Software-Lieferkette.
Passkeys: Fortschritt mit Fallstricken
Der Umstieg auf passwortlose Verfahren gewinnt rasant an Fahrt. Amazon meldet mittlerweile 456 Millionen Nutzer passwortloser Logins – ein Plus von 75 Prozent. Weltweit sind schätzungsweise 5 Milliarden Passkeys im Einsatz, die sechsmal schneller arbeiten als herkömmliche Methoden.
Doch sowohl Google als auch Microsoft warnten am 11. Mai: Passkeys allein bieten keinen vollständigen Schutz. Die Achillesferse sind schwache Wiederherstellungsmethoden. Erlaubt ein Konto weiterhin Passwort- oder SMS-basierte Wiederherstellung, sind die Sicherheitsvorteile eines Passkeys faktisch aufgehoben.
Microsoft empfiehlt daher hochsichere Wiederherstellungsprozesse mit amtlichen Ausweisen und biometrischer Verifikation. Der Konzern kündigte an, Sicherheitsfragen in Entra ID bis Januar 2027 komplett abzuschaffen. Google wiederum will SMS-Codes zugunsten sicherer „Google Prompts“ oder Authenticator-Apps abschaffen.
Die Realität sieht anders aus: 67 Prozent der Unternehmen sehen Phishing weiterhin als akute Bedrohung – nicht zuletzt, weil 40 Prozent in hybriden Umgebungen arbeiten, die alte Passwörter mit neuen Passkey-Architekturen mischen.
Neue Malware und die Quanten-Bedrohung
Die Bedrohungslage wird durch neue Schadsoftware weiter verschärft. Die Malware „OpenClaw“ wurde kürzlich entdeckt – sie zielt auf über 250 Browser-Erweiterungen ab und extrahiert Daten aus Kryptowallet sowie Passwort-Managern wie Bitwarden, 1Password und LastPass.
Im Mobilbereich wurde die Sicherheitslücke CVE-2026-0073 für Android gemeldet – mit einem Risikowert von 8,8 (hoch kritisch). Sie erlaubt Code-Ausführung mit Administratorrechten aus benachbarten Netzwerken. Ein Patch liegt im Mai-Update vor, doch die Existenz eines öffentlichen Proof-of-Concept erhöht den Druck auf Nutzer.
Und dann ist da noch die Zukunft: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Bedrohung durch Quantencomputer. Aktuelle Verschlüsselungsstandards könnten geknackt werden. Experten empfehlen den Umstieg auf Post-Quanten-Kryptografie (PQC) – und zwar bis 2031/2032.
Was Unternehmen jetzt tun müssen
Die Kombination aus hartnäckigen Verzeichnis-Bedrohungen und immer raffinierteren Phishing-Methoden – etwa QR-Code-basiertes „Quishing“ mit einem Anstieg von 146 Prozent im ersten Quartal 2026 – erzwingt ein Umdenken.
Der FIDO Alliance arbeitet derzeit an neuen Standards für plattformübergreifende Anmeldedaten, um die Silos verschiedener Geräteökosysteme zu durchbrechen.
Für Unternehmen steht eines fest: Der schwächste Punkt in der Authentifizierungskette muss eliminiert werden. Dazu gehört die dringende Migration von Windows 10 (Support-Ende Ende 2025) sowie die Einführung phishing-resistenter Authentifizierung. Microsoft setzt bei den eigenen Mitarbeitern bereits zu fast 100 Prozent darauf. Der Rest der Branche wird wohl folgen müssen – sonst bleibt es beim Kreislauf aus Einbruch und halbherziger Reparatur.
Windows 10 ist tot – Millionen Deutsche surfen jetzt ungeschützt im Internet. Seit Oktober 2025 gibt es keine Sicherheitsupdates mehr. Ein Experte zeigt, wie Sie sich noch heute schützen können. Praxisleitfaden für den sicheren Wechsel auf Windows 11 gratis sichern
