World Password Day: Wenn Angreifer sich als Mitarbeiter anmelden

Der Grund ist einfach: Angreifer müssen heute nicht immer technische Schwachstellen ausnutzen. Oft genügt eine gültige Identität. Gestohlene oder wiederverwendete Zugangsdaten öffnen den Weg in Postfächer, Cloud-Umgebungen oder interne Systeme. Für Sicherheitsabteilungen ist das besonders tückisch. Im ersten Moment sieht ein solcher Zugriff nicht wie ein Einbruch aus, sondern wie eine normale Anmeldung.

Wie konkret dieses Risiko ist, zeigt die aktuelle ESET-Telemetrie. Im ESET Threat Report H2 ( https://www.welivesecurity.com/en/eset-research/eset-threat-report-h2-2025/ ) 2025 stiegen E-Mail-Bedrohungen gegenüber der ersten Jahreshälfte um 36 Prozent. Unter den Top-Bedrohungen in E-Mails lag HTML/Phishing.Agent mit 30,8 Prozent klar vorn. Auch klassische Passwortangriffe bleiben relevant. Bei externen Netzwerkangriffsvektoren entfiel mit 43,3 Prozent der größte Anteil auf Password Guessing. Hinzu kommen Infostealer wie Formbook, Agent Tesla oder SnakeStealer, die Zugangsdaten, Browserdaten und weitere sensible Informationen von kompromittierten Geräten abgreifen können.

"Viele Angriffe beginnen heute mit einer ganz normalen Anmeldung", sagt Michael Schröder, Head of Product Marketing bei ESET Deutschland. "Genau deshalb dürfen Unternehmen Passwörter nicht länger alleinlassen. Multi-Faktor-Authentifizierung sorgt dafür, dass ein gestohlenes Passwort nicht automatisch zum Zugang ins Unternehmen wird. Wichtig ist aber, dass MFA sauber eingeführt und im Alltag akzeptiert wird."

Multi-Faktor-Authentifizierung wird zur Pflichtaufgabe

Multi-Faktor-Authentifizierung (MFA) ergänzt das Passwort um mindestens einen weiteren Nachweis. Das kann eine App-Freigabe sein, ein Einmalcode, ein Hardware-Token, ein biometrisches Merkmal oder ein FIDO-basierter Sicherheitsschlüssel. Der Nutzen liegt auf der Hand: Selbst, wenn ein Passwort kompromittiert wurde, fehlt Angreifern ein weiterer Faktor.

Auch regulatorisch gewinnt MFA an Bedeutung. Das BSI verweist im NIS2-Kontext auf Multi-Faktor-Authentisierung ( https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-MFA/NIS-2-MFA.html ) und gesicherte Kommunikation als Teil der Risikomanagementmaßnahmen für wichtige und besonders wichtige Einrichtungen. Damit wird MFA für viele Unternehmen in Deutschland, Österreich und der Schweiz nicht nur zu einer technischen Empfehlung, sondern zu einem Baustein professioneller Unternehmensführung.

ESET rät Unternehmen deshalb, MFA nicht als Einzelprojekt zu betrachten. Entscheidend ist eine Strategie, die kritische Zugänge priorisiert, Nutzergruppen einbindet und Sonderfälle sauber regelt. Dazu gehören verlorene Smartphones, Gerätewechsel, Dienstleisterzugänge, Notfallkonten und ältere Anwendungen, die moderne Authentifizierung nur eingeschränkt unterstützen.

World Password Day als Anlass für den Sicherheitscheck

Auch mit MFA bleiben gute Passwörter wichtig. Sie sollten lang, einzigartig und nicht mehrfach verwendet werden. Passwortmanager helfen, sichere Zugangsdaten praktikabel zu machen. Der regelmäßige Zwangswechsel ohne konkreten Anlass ist dagegen kein Allheilmittel. Wichtiger ist, unsichere oder kompromittierte Kennwörter zu erkennen und kritische Zugänge zusätzlich abzusichern.

Der World Password Day sollte für Unternehmen deshalb mehr sein als ein Hinweis auf Sonderzeichen und Mindestlängen. Er ist ein guter Anlass, die eigene Identity-Security-Strategie zu prüfen. Welche Konten sind besonders kritisch? Wo fehlt MFA noch? Welche Dienstleister haben Zugriff? Welche Altanwendungen umgehen moderne Sicherheitsregeln? Und wie schnell erkennt das Unternehmen, wenn Zugangsdaten missbraucht werden?

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Michael Klatte Tel.: +49 3641 3114 257 E-Mail: michael.klatte@eset.de Website: www.eset.de