Identische Passwörter: Die Risiken der wiederholten Passwortverwendung

Ein Login gehackt – alle Zugänge in Gefahr.

IT-Administratoren tragen die Hauptlast beim Schutz von Systemen und Daten. Ein besonders hartnäckiges Risiko sind identische bzw. wiederverwendete Passwörter. Damit öffnen Nutzende – oft unbeabsichtigt – Angreifern Tür und Tor für Credential-Stuffing, Account-Übernahmen und laterale Bewegungen im Netzwerk. Studien zeigen, dass die Nutzung gestohlener Zugangsdaten zu den häufigsten Initialvektoren bei Sicherheitsvorfällen zählt (siehe Quellen unten).

Risiko der übergreifenden Kompromittierung

Wird ein Konto kompromittiert, testen Angreifer die gleichen Zugangsdaten automatisiert auf anderen Diensten (Credential‑Stuffing). Ein einziger Leak kann dadurch zur Kettenreaktion werden – von E‑Mail über Collaboration‑Tools bis hin zu Cloud‑Diensten. Ergebnis: Datendiebstahl, Identitätsmissbrauch und unautorisierte Zugriffe auf Unternehmensressourcen.

Besonders kritisch sind „Basic Web Application Attacks“, in denen gestohlene bzw. wiederverwendete Zugangsdaten dominieren – ein klarer Hinweis, dass Passwort‑Wiederverwendung in der Praxis unmittelbar ausnutzbar ist (siehe Quellen).

Ransomware & Account‑Übernahmen

Haben Angreifer einmal gültige Zugangsdaten, können sie Privilegien ausweiten, sich lateral im Netzwerk bewegen und Schadsoftware ausrollen – bis hin zur Ransomware‑Bereitstellung. Offizielle Empfehlungen betonen daher: Passwort‑Wiederverwendung eliminieren und phishing‑resistente MFA (z. B. FIDO2/Passkeys) dort aktivieren, wo technisch möglich (CISA, NIST).

Maßnahmen zur Verbesserung der Passwortsicherheit

Richtlinien (Policy)

  • Keine präventiven, regelmäßigen Passwortwechsel – nur bei Verdacht oder Nachweis einer Kompromittierung erzwingen (NIST, NCSC).
  • Ein Passwort pro Konto/Dienst – Wiederverwendung strikt untersagen (NIST, NCSC).
  • Mindestlänge erhöhen (z. B. ≥ 14 Zeichen) und unnötige Komplexitätszwänge vermeiden; stattdessen auf Länge, Einzigartigkeit und Sperrung „verbreiteter Passwörter“ setzen (NIST).
  • Passwörter gegen kompromittierte Listen prüfen (NIST SP 800‑63B) – siehe Praxis‑Hinweis zu Password Depot unten.
  • MFA verpflichtend, vorzugsweise phishing‑resistent (FIDO2/Passkeys), zumindest für Admin‑, Remote‑ und Cloud‑Zugänge (CISA).

Technische Kontrollen

  • Rate‑Limiting & Monitoring bei Anmeldungen aktivieren; verdächtige Muster (z. B. viele Login‑Versuche aus verteilten Netzen) erkennen und blockieren (NIST).
  • „Paste“/Einfügen zulassen, damit Passwort‑Manager sicher genutzt werden können – kein Copy/Paste‑Verbot im Passwortfeld (NIST).
  • Risikobasierte MFA‑Challenges und konsequente MFA‑Registrierung durchsetzen (CISA).
  • Passkeys dort einführen, wo möglich; Passwort‑Eingaben perspektivisch ablösen.
  • Kompromittierte Passwörter identifizieren: In Password Depot per Extras → Sicherheitscheck → In Pwned‑Kennwörter prüfen prüfen und betroffene Einträge umgehend ändern.

Awareness & Betrieb

  • Nutzende regelmäßig zu Credential‑Stuffing, Phishing und Passwort‑Wiederverwendung schulen (NCSC/CISA).
  • Passwort‑Manager empfehlen und bereitstellen; Ziel: lange, zufällige, einzigartige Passwörter pro Dienst.
  • Vorfälle (Leaks, Phishing, Malware‑Befall) als Auslöser für sofortige Passwortänderung und Token‑Erneuerung definieren (NIST/CISA).
Klartext: Wiederverwendung ist der eigentliche Feind. Erzwungene, regelmäßige Wechsel ohne Anlass verschlechtern die Qualität der Passwörter – und lösen das Problem nicht. Setzen Sie auf Länge, Einzigartigkeit, MFA/Passkeys und die Prüfung gegen kompromittierte Listen (z. B. direkt in Password Depot).

Fazit: Die wiederholte Verwendung von Passwörtern ist ein erhebliches Sicherheitsrisiko und begünstigt Account‑Übernahmen bis hin zu Ransomware‑Vorfällen. Admin‑Teams müssen klare, aktuelle Richtlinien umsetzen und technisch absichern – inklusive der regelmäßigen Prüfung auf kompromittierte Passwörter mit Password Depot –, um Identitäten und Systeme nachhaltig zu schützen.

Quellen (Auswahl)