Studie enthüllt schwache Passwörter, die Unternehmen in Gefahr bringen

Millionen von Passwörtern – und trotzdem unsicher? Ein Paradoxon der Unternehmenssicherheit

Unternehmen geben viel Geld für Werbung, Branding und bahnbrechende Innovationen aus, um der Konkurrenz einen Schritt voraus zu sein. Doch wenn es um Cybersicherheit geht, vernachlässigen viele eine der grundlegendsten Sicherheitsmaßnahmen – starke Passwörter. Die jüngste Studie von NordPass zeigt, dass Passwörter von Unternehmen in allen Branchen erschreckend vorhersehbar sind, was sie zu einem leichten Ziel für Cyberkriminelle macht.

NordPass hat in Zusammenarbeit mit NordStellar die verwendeten Passwörter in 11 Branchen analysiert und eine beunruhigende Tatsache aufgedeckt: Mitarbeiter nutzen immer noch schwache, leicht zu knackende Passwörter, die Unternehmen angreifbar machen. Vom Gesundheits- bis zum Finanzwesen, von Tech-Firmen bis zum Bildungswesen verlassen sich Unternehmen aller Branchen nach wie vor auf Zugangsdaten, die von Hackern in Sekundenschnelle erraten werden können.

„Es ist erschreckend, dass Unternehmen trotz jahrelanger Warnungen immer noch diese schwachen Passwörter verwenden, die von Hackern superleicht geknackt werden können. Cyberkriminelle brauchen dann nämlich keine ausgeklügelten Tools, um in die Unternehmenssysteme einzudringen, wenn die Mitarbeiter „passwort“ oder ihren eigenen Namen verwenden, um sensible Daten zu schützen“, sagt Karolis Arbaciauskas, Head of Business Product bei NordPass.
Unterschiedliche Branchen – gleiche Fehler

Die Untersuchung ergab, dass Mitarbeiter in allen untersuchten Branchen dazu neigen, die gleichen schwachen Passwörter zu verwenden – insbesondere einfache Zahlenfolgen wie „123456“ und „123456789“ führen die Liste an. Dieser Trend ist nicht auf eine bestimmte Branche beschränkt. Ob im Einzelhandel, in der Automobilindustrie oder im Hotel- und Gastgewerbe, die am häufigsten verwendeten Passwörter sind dieselben, was auf ein grundlegendes Problem in der Sicherheitskultur vieler Unternehmen hindeutet.

Ein weiteres alarmierendes Ergebnis ist die häufige Verwendung von Personennamen in Firmenpasswörtern. Namen wie „John“, „Michael“ und „Anna“ tauchen immer wieder auf, was sie zu einem leichten Ziel für Brute-Force-Angriffe macht.

Die Studie hat auch gezeigt, dass Mitarbeiter häufig ihre Firmen-E-Mail-Adressen als Passwörter nutzen – eine äußerst riskante Praxis, die Hackern quasi die Hälfte der Zugangsdaten liefert, die sie für den Zugriff auf sensible Daten benötigen. Unternehmen investieren in komplexe Sicherheitstools und millionenschwere Cybersicherheitskampagnen, versäumen es aber, strenge Passwortrichtlinien durchzusetzen und öffnen damit Angreifern die digitale Tür.

„Passwörter sind die erste Sicherheitsbarriere, aber sie sind nach wie vor das schwächste Glied in der Unternehmenssicherheit. Hacker benötigen keine ausgeklügelten Techniken, wenn Unternehmen ihnen einfache Einstiegspunkte bieten. Solange Unternehmen die Passwortsicherheit nicht priorisieren, sind sie anfällig für Angriffe“, sagt Arbaciauskas.

Ein globales Problem

Die NordPass-Studie analysierte die am häufigsten verwendeten Unternehmenspasswörter in 44 Ländern und stellte fest, dass schwache Passwortgewohnheiten nicht auf eine bestimmte Region beschränkt sind. In allen untersuchten Ländern machen vorhersehbare Anmeldeinformationen – wie einfache Zahlenfolgen, allgemein gebräuchliche Wörter und sogar unternehmensbezogene Begriffe – Unternehmen anfällig für Cyberbedrohungen.

Die Experten beobachteten dabei einen weiteren besorgniserregenden Trend: Standardpasswörter wie „newmember“, „admin“, „newuser“ und „welcome“ werden häufig für Geschäftskonten verwendet. Darüber hinaus werden temporäre Platzhalter wie „newpass“ und „temppass“ genutzt, die eigentlich geändert werden müssen, da sie sonst Cyberkriminellen einen einfachen Zugang bieten.

Über alle Branchen und Regionen hinweg zeigen die am häufigsten geknackten Firmenpasswörter ein klares Muster: Die Mitarbeiter verlassen sich nach wie vor auf leicht zu erratende Anmeldedaten. Hier sind die TOP 20 der besonders unsicheren Firmenpasswörter in Deutschland:
 

1. 123456
2. 123456789
3. 12345678
4. password
5. 1234567890
6. 1234567
7. 111111
8. 123123
9. abc123
10. 000000
11. password1
12. iloveyou
13. dragon
14. 1g2w3e4r
15. zag12wsx
16. gwerty123
17. target123
18. monkey
19. gwerty
20. asdfghjkl
     

Datenleck vorprogrammiert: die fatale Rolle schwacher Passwörter im Unternehmen
 

• Wiederverwendete Passwörter: Mitarbeiter verwenden oft dieselben Passwörter für mehrere Konten, was Hackern den Zugriff erleichtert.
   
• Risiko bei der Weitergabe von Passwörtern:  Die Weitergabe per E-Mail oder Messaging-Apps erhöht die Wahrscheinlichkeit von Datenschutzverletzungen.
   
• Fehlverhalten: Viele Datenschutzverletzungen sind auf einfache Fehler zurückzuführen, was die Notwendigkeit besserer Schulungen zum Thema Cybersicherheit verdeutlicht.
   
• Fehlende sichere Infrastruktur: Unternehmen ohne robuste Systeme und strikte Sicherheitsrichtlinien sind einfache Ziele für Cyberkriminelle.
   

Laut Arbaciauskas müssen Unternehmen der Cybersicherheit höchste Priorität einräumen, indem sie Pläne für mehr Cyber-Resilienz, Mitarbeiterschulungen und Netzwerksicherheitslösungen wie Business-VPNs implementieren. Multi-Faktor-Authentifizierung (MFA) ist ein weiterer wichtiger Schutz, der das Risiko eines unbefugten Zugriffs verringert. Eine schwerwiegende Schwachstelle ist nach wie vor die unzureichende Verwaltung von Passwörtern, denn viele Datenschutzverletzungen werden durch kompromittierte Anmeldedaten verursacht. Arbaciauskas empfiehlt die Verwendung von Passwort-Managern zur sicheren Speicherung von Passwörtern.  Zudem sollten Unternehmen prüfen, ob der Einsatz von Passkeys möglich ist – Branchenführer wie Google und Apple haben sie bereits als sicherere Alternative zu herkömmlichen Passwörtern eingeführt.