Der übersehene Baustein - Weshalb Passwortsicherheit wichtiger denn je ist
2026.02.10 | Jonas Krüger | DenktMit Blog
Warum die Passwortsicherheit eine unterschätzte Gefahr für KMUs darstellt
Ganz gleich ob es sich um Privatpersonen, Kleine- und Mittelständische Unternehmen (KMU) oder "global player" handelt, die Cyberabwehr eines jeden kann man sich wie eine Burg vorstellen. Viele kleine Bausteine ergeben ein stabiles Ganzes. Passwörter mögen dabei nicht so prächtig wie die Firewall sein, oder so weitblickend wie der Virenscanner, doch sind auch sie Teil des Ganzen. Ist ein einzelnes Passwort zu schwach, bedeutet dies eine Schwachstelle, aufgrund derer doch die ganzen "Burgmauer" einstürzen kann.
Passwörter, etwa von Mitarbeitenden, als kleiner Stein in der Mauer der Cyber-Abwehr werden gerne und leicht übersehen. Hinzu kommt die schier stetig zunehmende Anzahl an Passwörtern für immer mehr Konten. Ermüdung setzt ein, die zu leichten Passwörtern verleitet, welche leicht zu knacken sind. Gerade deshalb sind Passwörter ein beliebter Angriffsvektor für Cyberkriminelle. Der Schaden für die Opfer bleibt der gleiche: Verlust von Daten, finanzielle Einbußen, Reputationsschaden und im schlimmsten Falle: Identitätsdiebstahl.
Ein Cyberangriff kann immer und überall stattfinden, schließlich sind unsere Daten-Burgen im digitalen Raum quasi permanent unter Belagerung. Sogenannte Brute-Force-Angriffe probieren mittels eines Algorithmus so lange eine Passwort-Kombination nach der anderen, bis sie an die Daten eines Accounts gelangen. Zusätzlich ist Cyberkriminalität in Deutschland ganz allgemein auf dem Vormarsch, wie der Lagebericht des Bundeskriminalamtes (BKA) belegt. Häufig trifft es dabei KMUs.
Schlechte Passwörter sind etwa "qwert" oder "1234!
Welche Fehler du bei der Passwort-Wahl vermeiden solltest
Geburtsdaten, Namen oder gängige Worte - sprich' alles, woran man sich leicht erinnern kann, sind echte No-Gos, wenn es um die eigene Passwortsicherheit geht. Besonders gewarnt sei außerdem vor allgemein beliebten Kombinationen, die schnell eingetippt sind, wie "qwert" oder "1234". Selbst wenn man diese Passwörter oft wechseln würde, was nicht zu empfehlen ist, bieten sie keinerlei Schutz vor Cyber-Angriff-en und sind binnen Millisekunden geknackt.
Ebenso ist es gefährlich, ein Passwort für mehrere Konten zu verwenden. Es bietet die Steilvorlage für Credential Stuffing. Hierbei geben Cyberkriminelle bei verschiedenen deiner Konten ein ihnen bereits bekanntes Passwort ein. Ihre Hoffnung ist dabei, dass das selbe Passwort auch bei anderen Konten Verwendung fand. So kann ein schlechtes oder geleaktes Passwort reichen, um mehrere Konten gleichzeitig preiszugeben.
Apropos Preisgeben: Passwörter sollte man nie veröffentlichen und auch mit dem Teilen harmloser Informationen im Netz, etwa der Name des ersten Haustieres oder der Geburtsname der Mutter sollte vorsichtig umgegangen werden. Oftmals steckt Social Engineering dahinter. Denn es sind genau diese Informationen, mit denen Cyberkriminelle deine Sicherheitsfragen beantworten könnten, um damit Zugang zu deinen Konten zu erhalten und dich von ihnen auszusperren.
Was macht ein sicheres Passwort aus?
Zwei Dinge sind für ein sicheres Passwort entscheidend: Seine Länge und seine Komplexität. Wenn sich Groß- und Kleinbuchstaben, ganze Wörter, Symbole und Zahlen im Passwort abwechseln, müssen Brute-Force-Angreifer deutlich mehr Kombinationen durchgehen. Ein abwechslungsreicher Zeichen-Salat hilft auch gleich, dass Passwort zu verlängern. Denn mehr Zeichen bedeuten eine zusätzliche Komplexität. Die "Burgmauer" der Passwortsicherheit bekommt zusätzliche Lagen und schützt so besser vor Angriffen. Der Nachteil eines langen und komplexen Passwortes liegt auf der Hand. Wir merken es uns schlechter.
Ein sogenannter Single-Sign-On (SSO) kann den Merkaufwand fürs Passwort wieder reduzieren. Man meldet sich nicht mehr auf jeder Plattform separat an, sondern hat nur noch den Login beim Provider des SSO, denn dieser verfügt über alle Einzel-Zugangsdaten. Das spart Zeit, zugleich macht man den Zugang zu den eigenen Konten von einem externen Anbieter abhängig. Die Vereinfachung auf ein einzelnes Passwort bedingt weiterhin, dass die eigene "Burg" des Datenschutzes wieder angreifbarer wird.
Deshalb werden SSOs gerne mit der 2-Faktor-Authentifizierung (2FA) kombiniert. Zur Anmeldung benötigt man nun einen weiteren Anmeldebaustein, der auch physisch sein kann, etwa in Form einer Chipkarte oder eines weiteren Gerätes wie einem Smartphone. So genügt das Wissen um ein Passwort allein Cyberkriminellen nicht mehr, um Zugang zu den wertvollen Konten zu erlangen.
Die komfortabelste und sicherste Möglichkeit, die eigenen Konten zu schützen, ist jedoch eine dritte Option: Ein selbst gehosteter Passwortmanager.
Der goldene Pfad: Ein selbst-gehosteter Passwortmanager
Wie Passwortmanager der Schlüssel zu mehr Sicherheit und mehr Komfort sein können
Passwortmanager sind wie die Schatzkammer der Datenschutz-Burg. Denn in den Managern landen alle Anmeldedaten, von den Benutzernamen bis hin zu den Passwörtern; ein digitaler Tresor eben. Damit ein Passwortmanager wirklich zur sichersten Option wird, ist es nötig, ihn selbst zu hosten. Dies ist im Besonderen für Unternehmen relevant, die die vollständige Hoheit über ihre Daten wünschen. Denn bei cloud- oder browser-basierten Diensten landen diese wie beim SSO bei externen Stellen.
Um Zugang zum Passwortmanager zu erhalten, benötigt es auch hier ein Master-Passwort. Statt vieler einzelner Passwörter, braucht man sich nun nur noch an eines zu erinnern. Dafür wird dieses eine aber zum buchstäblichen "Heiligen Gral", der besonders gehütet und geschützt werden muss. Denn ohne das Masterpasswort, muss der Zugang zu allen Konten in mühseliger Kleinarbeit wiederhergestellt werden. Im Gegensatz zum SSO meldet einen ein Passwortmanager aber nicht bei allen Diensten auf einmal an. Stattdessen bleibt die Vielfalt der Passwörter erhalten, die der Passwortmanager bei Bedarf herausgibt.
Das Masterpasswort ist jedoch nicht der einzige Schutzfaktor, den der Passwortmanager bietet. Die Manager verschlüsseln oft auch Passwörter und Anmeldenamen, oder generieren auf Wunsch besonders sichere Passwörter für neu hinzugefügte Konten. Darüber hinaus verfügen viele der gängigen Passwortmanager über zusätzliche Sicherungsoptionen wie die 2FA.
Entscheidet man sich dennoch für einen cloud- oder browserbasierten Passwortmanager gilt es vor allem auf zweierlei zu achten: Wo werden die Daten zum einen gespeichert und ob und wie sind sie zum anderen verschlüsselt. Nutzt der Passwortmanager beispielsweise eine Zero Knowledge Architecture, haben weder der Anbieter Zugriff auf die Daten, noch direkt Cyberkriminelle im Falle eines erfolgreichen Angriffs auf den Anbieter.
Eine ausführliche Liste der gängigsten Programme haben das Bundesamt für Sicherheit in der Informationstechnik sowie die Verbraucherzentrale NRW zusammengetragen und jene zugleich auf Herz und Nieren geprüft.
Fazit: Mehr Sicherheit mit weniger Aufwand
Die Frage nach der richtigen Passwortsicherheit bleibt ein ewiges Wiegespiel und Austarieren. Eine einfache und komfortable Nutzung im Alltag steht die Komplexität des Passworts als notwendiger Schutz vor Cyberangriffen gegenüber. Jeder Schritt, der die Passwort-Frage wieder vereinfacht, eröffnet zugleich neue Angriffsvektoren.
Sichere Passwörter sind keine einfachen Passwörter, doch das heißt nicht, dass man es sich schwerer als nötig machen solle. Die Verwendung eine sicheres Programms, etwa eines selbst-gehosteten Passwortmanagers, sowie die Einführung zusätzlicher Sicherungsschritte wie die 2FA, kann helfen, die Verteidigung der eigenen Daten-Burg effizienter und sicherer zu gestalten.
Meet The Expert
Jonas Krüger ist Content-Creator und Multimedia-Redakteur. Er kümmert sich um das Bespielen und Organisieren des DenktMit-Blogs sowie des Social Media-Auftrittes.
