Zum Welt-Passwort-Ersetz(?)-Tag am 7. Mai 2026.
Expertenstatements von Absolute Security, Bitdefender, Commvault und Semperis.
Zentralisierte IT-Teams benötigen Echtzeiteinblick in das Netzwerk
Gute Passwörter sind lang, bestehen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. So weit, so gut. Aber wie sieht es aus, wenn ein Mitarbeiter das Unternehmen verlässt und die Passwörter – etwa die BitLocker-Keys oder die BIOS-Zugangsdaten – auch gleich mitgehen lässt, wenn Cyberkriminelle diese umgehen oder durch einen erfolgreichen Brute-Force-Angriff die richtige Kombination ermitteln? Auch wenn Passwörter eine notwendige erste Verteidigungslinie darstellen, sind dies nur einige Beispiele dafür, wie eine eindimensionale Sicherheitsstrategie leicht scheitern kann – eine einzige Schutzebene reicht nicht aus, um den Risiken in der heutigen feindlichen digitalen Umgebung zu begegnen.
Deshalb brauchen Unternehmen eine robuste Strategie zur Cyber-Resilienz, die die Endpunktsicherheit stärkt und es ihnen ermöglicht, zeitnah zu reagieren. Herkömmliche Sicherheitsmaßnahmen, die auf geschützten Büroverbindungen basieren, reichen nicht mehr aus. Endpoint-Sicherheitssoftware funktioniert in 20 Prozent der Fälle nicht effektiv, so dass Geräte an 76 Tagen im Jahr nicht vollständig geschützt sind und die Sicherheitsrichtlinien nicht einhalten. Angesichts der zahlreichen Geräte, die von Remote-Mitarbeitern genutzt werden, ist die Gewährleistung der Cyber-Resilienz entscheidend, um Schäden und Ausfallzeiten zu minimieren. Störungen können den Betrieb empfindlich treffen, die Produktivität beeinträchtigen und zu erheblichen finanziellen Verlusten führen.
Eine umfassende Verteidigungsstrategie muss Maßnahmen für eine sofortige Reaktion definieren, präventiv Schwachstellen schließen und Protokolle zur schnellen Wiederherstellung der Funktionalität umfassen. Eine aktualisierte Software, die Überwachung aller Geräte und eine gewährleistete Netzwerktransparenz sind zentrale Maßnahmen, um Risiken zu mindern. Der Schutz des Netzwerks allein reicht nicht aus, wenn Endgeräte aufgrund veralteter Sicherheitsmaßnahmen anfällig bleiben oder Passwörter wirkungslos geworden sind. Zentralisierte IT-Teams benötigen einen Echtzeiteinblick in das Netzwerk und müssen bei verdächtigen Aktivitäten entschlossen handeln. Wird ein ungewöhnliches Verhalten festgestellt, sollten sie kompromittierte Geräte sperren oder herunterfahren, um den Vorfall einzudämmen, bevor er sich ausbreitet. Darüber hinaus bietet die Isolation von Geräten, die von unbekannten Standorten aus genutzt werden, eine zusätzliche Schutzebene und ermöglicht ein schnelles und effizientes Vorfallmanagement.
Durch einen proaktiven Ansatz zur Cyber-Resilienz können Unternehmen Ausfallzeiten reduzieren und eine schnelle Wiederherstellung nach Sicherheitsvorfällen gewährleisten, wodurch sensible Daten geschützt sind und der Betrieb aufrechterhalten bleibt. Ein sicherer und reibungsloser Betriebsablauf hängt – neben einer funktionierenden Passworthygiene – von einer starken Endpunktsicherheit, Echtzeitüberwachung und der Konzentration auf einen aktuellen Status der Systeme ab. Die sichersten Passwörter schützen nicht, wenn Sie in die falschen Hände geraten oder Insider sie missbrauchen. Diese Tatsache sollte man sich im Sinne einer gut funktionierenden Cyber-Resilienz bewusst machen. Denn es ist egal, wie hoch die Mauer ist, sobald jemand den Schlüssel zur Hintertür hat.“
Zum Welt-Passwort-Ersetztag – Passkeys sind das Ziel
Jedes Jahr am Weltpassworttag geben Anbieter für IT-Sicherheit dieselben Ratschläge: Längere Passwörter! Sonderzeichen hinzufügen! Niemals wiederverwenden! Und jedes Jahr bleibt „123456“ das Kennwort, welches die Hacker weltweit am häufigsten ausnutzen. Irgendwann bleibt aber nur die ehrliche Einsicht, dass es nicht darum geht, all diese Ratschläge besser zu befolgen. Das Problem ist vielmehr, dass Passwörter das falsche Tool für die ihnen zugeschriebene Aufgabe sind. Und dass sollten wir auch klar sagen.
Passwörter sind nicht gescheitert, weil Nutzer sorglos sind. Sie sind gescheitert, weil sie einen grundsätzlich falschen Ansatz verfolgen: Dutzende neuer Passwörter für alle möglichen Tools definieren, die komplex genug für Brute-Force-Angriffe sind, sich an diese erinnern und sie ständig wechseln – das sind Aufgaben, welche die kognitiven Fähigkeiten eines Menschen überfordern. Und die sie immer schon überfordert haben. Jahrzehntelange Rufe nach mehr Komplexität, nach Großbuchstaben, Zahlen und Sonderzeichen endeten in „Password1!“ auf einem Post-it am Bildschirm.
Daher sollte der Welt-Passwort-Tag umbenannt werden. In Welt-Passwort-Ersetztag. Das ist keine Rebranding-Übung. Es ist eine ehrliche Standortbestimmung, wo sich die Industrie aktuell befindet. Natürlich ist für die bestehenden Nutzerkonten ein herkömmlicher Passwort-Manager immer noch ein essenzieller und wichtiger Schritt: Er verhindert, dass Nutzer Zugangsdaten wieder verwenden. Er generiert starke und einmalige Passwörter. Er reduziert die kognitiven Anforderungen an den Nutzer, an denen Passwörter in der Praxis scheitern.
Der zukünftige Weg ist aber bereits vorgezeichnet und die Ersatztechnologien sind bereits vorhanden: Passkeys, Hardwaresicherheitsschlüssel, FIDO2-basierte Verfahren zur Authentifikation. Apple Google und Microsoft verwenden diese bereits im großen Maßstab. Passwort-Manager sichern die Reise dorthin ab. Passkeys sind die Zukunft.
Ihre Papiere bitte! – Wie KI-Agenten das Identitäts- und Passwortmanagement herausfordern
Ein Tsunami von Identitäten baut sich aktuell auf, der Verzeichnisdienste und Authentifizierungsstrukturen überfluten wird. So erklärten die Unternehmensberater von McKinsey Anfang des Jahres, ihre 40.000 Mitarbeiter starke Consulting-Truppe sei innerhalb von nur zwei Jahren um 25.000 KI-Agenten gewachsen. Laut einer Salesforce-Umfrage beschäftigen Unternehmen im Schnitt zwölf Agenten. Eine Zahl, die bis 2027 um weitere 67 Prozent anwachsen wird. Eine Zahl, hinter der sich vor allem eine Menge von KI-Identitäten mit vielen Zugängen und sehr hoher Autonomie verbergen. Die durch Eigenmächtigkeiten in Business-Abteilungen sich breit machenden Schatten-KI-Agenten sind dabei besonders gefährlich, da ihre Urheber mit ihnen ungeprüfte Tools in zentrale Arbeitsabläufe integrieren und Sicherheitslücken schaffen, für deren Absicherung herkömmliche Kontrollmechanismen nicht ausgelegt sind.
Die Verantwortlichen für Sicherheit, Resilienz und Identitäten müssen die neuen Massen an Identitäten von KI-Agenten daher unbedingt mitbedenken. Die digitalen Applikations- oder Nutzeridentitäten sowie die dazugehörigen Credentials müssen geschützt und entsprechend überwacht werden. Denn KI-Agenten können Passwörter kompromittieren und in der Folge die jeweiligen Rechte eskalieren. Als Ergebnis entstehen viele neue Einträge in den großen Identitäts-Management-Systemen, die es zu dokumentieren, zu überwachen, zu sichern und bei verdächtigen Änderungen oder Korruption auch wieder auf den korrekten Status zurückzusetzen gilt.
Natürlich gelten auch bei agentischer Künstlicher Intelligenz die Grundsätze eines konsequenten und sicheren Passwort- und Zugriffsmanagements. IT-Verantwortliche müssen Daten zu Identitäten der KI-Agenten stark verschlüsseln, starke Multi-Faktor-Authentifikationen einbauen und Identitäten zentral verwalten, so wie im Zugriffsmanagement jedes menschlichen Mitarbeiters. Aber damit endet der Identitätsschutz bei KI-Agenten nicht.
Die Verantwortlichen für Sicherheit, IT-Betrieb und Governance müssen die Aktivitäten der autonomen Agenten genau verfolgen. Notwendig ist eine Rückversicherung, um Agenten zurückzusetzen oder ihre Kompetenzen einzuschränken, falls diese ihre ihnen zugewiesenen Grenzen überschreiten. Wer KI nutzt, muss sicherstellen, dass die Qualität von Integrität, Backup und Recovery der Identitäten und Passwörter den Möglichkeiten der KI entspricht.
Wenn es Organisationen gelingt, diese Balance zwischen Kontrollen und Automatismen zu schaffen, können sie agentenbasierte KI zu einem entscheidenden Sicherheitsfaktor machen. Andernfalls riskieren sie es, ihre Schwachstellen zu vergrößern. Die Kontrolle des Lebenszyklus einer agentischen Identität beginnt dabei grundlegend mit einer Kontrolle von Passwörtern für digitale Identitäten.
Sicherheitsrisiken entstehen durch menschliches Verhalten
Das Sicherheitsrisiko von Passwörtern liegt nicht in der Mathematik, die sich hinter dem ´Erraten jeder möglichen Kombination´ verbirgt, sondern in menschlichen Grenzen und vorhersehbarem Verhalten. Denn diese Faktoren können vermeintlich ´starke´ Passwörter schwächen. Beispielsweise geht man davon aus, dass bei einem zehnstelligen Passwort die enorme Anzahl an möglichen Kombinationen aus Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen für Sicherheit sorgt, da der gesamte Suchraum mehrere zehn Trillionen an Kombinationen (etwa 5,4×10¹⁹) umfasst. Selbst wenn ein Angreifer eine Milliarde Versuche pro Sekunde testen könnte, würde es bei einem reinen Brute-Force-Angriff etwa 1.700 Jahre dauern, um den gesamten Suchraum durchzuprobieren.
Das klingt gut, doch der Schein trügt, da nur sehr wenige Nutzer wirklich zufällige zehnstellige Passwörter erstellen. In der Regel greifen sie auf vorhersehbare Muster zurück, um sich ihr Passwort besser merken zu können: zunächst ein Großbuchstabe, gefolgt von einem oder mehreren Kleinbuchstaben, dann 1–4 Ziffern (oft eine Jahreszahl) und schließlich ein einzelnes Sonderzeichen am Ende.
Folglich richten erfahrene Angreifer ihre Brute-Force-Attacken nicht auf den gesamten Zeichenraum, sondern machen sich die Gewohnheiten der Passwortinhaber zu Nutze. Indem sie sich auf menschlich erzeugte Muster wie das soeben beschriebene beschränken, lässt sich der Suchraum auf etwa 100 Billionen (10¹⁴) Möglichkeiten verkleinern. Mit einer High-End-GPU, die 100 Milliarden Versuche pro Sekunde durchführt, lässt sich der gesamte Musterraum innerhalb von Minuten anstatt Jahrhunderten vollständig durchsuchen.
Gegenwärtig wäre ein zufälliges 15-stelliges Passwort, das aus dem gesamten Zeichensatz besteht, mit aktueller Hardware durch Brute-Force-Attacken praktisch nicht zu knacken – wenn der menschliche Faktor nicht wäre. Denn anstatt zufälliger Zeichenfolgen wählen Nutzer oft lieber einprägsame Optionen wie kleine Abwandlungen alter Passwörter oder beliebte Songtexte, Zitate und Memes. Angreifer nutzen dies aus, indem sie aus geleakten Passwortdatenbanken erstellte Wörterbücher verwenden und regelbasierte Anpassungen vornehmen – wie das Hinzufügen des aktuellen Jahres, das Ersetzen von Buchstaben durch Symbole oder das Anhängen von Satzzeichen – alles, um derart „einprägsame“ Passwörter möglichst effizient zu erraten.
Sie erstellen außerdem vorberechnete Tabellen mit Passwort-Hashes, so genannte Rainbow-Tabellen. Da die meisten Systeme nur Hashes und keine Rohpasswörter speichern, ermöglicht eine Rainbow-Tabelle einem Angreifer, einen Hash wieder in das ursprüngliche Passwort umzuwandeln, sofern dieses in der Tabelle enthalten ist. Taucht das Passwort eines Nutzers darin auf – oder handelt es sich um eine einfache regelbasierte Abwandlung von einem der dort gelisteten Passwörter, ist der durch die 15-stellige Länge gegebene mathematische Vorteil nichtig. Es wird in Sekundenschnelle geknackt.
Deshalb reichen Passwörter allein heutzutage nicht mehr aus. Wann immer möglich, sollte die Multi-Faktor-Authentifizierung (MFA) aktiviert werden, da sie gestohlene oder erratene Passwörter erheblich weniger wertvoll macht. Ein Passwort-Manager hilft außerdem dabei, für jede Anwendung lange, wirklich zufällige Passwörter mit mehr als 20 Zeichen zu erzeugen. Für die wenigen Passwörter, die Nutzer sich merken müssen, sollten sie einzigartige Phrasen aus zufälligen Wörtern bilden. Dabei geht es nicht um Perfektion, sondern lediglich darum, einen Passwortangriff so schwierig und unrentabel zu machen, dass Angreifer sich andere, einfachere, Ziele suchen.
