Die klassische Kombination aus Benutzername und Passwort gerät zunehmend an ihre Grenzen. Was früher als ausreichender Schutz galt, ist heute oft der einfachste Einstiegspunkt für Angreifer. Moderne Zugangssicherheit beginnt deshalb nicht beim stärkeren Passwort allein. Sie verbindet Authentifizierung, Zugriffsrechte, Geräteprüfung und klare Governance.
Videokurs: Gewinnen Sie die Kontrolle zurück
Haben Sie wirklich die Kontrolle über Ihre Daten? Entdecken Sie im kostenlosen Videokurs mit unseren Experten, wie Sie Transparenz schaffen und Abhängigkeiten reduzieren. Lernen Sie in kurzen Modulen die wichtigsten Grundlagen, Risiken und Lösungsansätze für Datensicherheit in KMU kennen.
Ein Passwort ist schnell eingegeben. Genau das macht es praktisch – und gefährlich. In vielen Unternehmen hängt an einem Login mehr als nur eine Anwendung. Besonders heikel ist das E-Mail-Konto: Wer dort hineinkommt, kann Passwörter zurücksetzen oder Nachrichten missbrauchen. Der kompromittierte Account ist dann nicht der Schaden selbst. Er ist der Einstieg.
Den Cyberkriminellen die Arbeit vereinfacht
Angreifer müssen Passwörter längst nicht mehr mühsam erraten. Viele Zugangsdaten sind bereits im Umlauf: aus Datenlecks, Phishing-Kampagnen oder alten Datenbanken. Solche Listen mit komprimittierten Zugangsdaten werden gehandelt und automatisiert von Cyberkriminellen verwendet. Funktioniert eine Kombination, ist der Angreifer eingeloggt. Das klappt, weil dieselben Passwörter allzu oft mehrmals verwendet werden.
Dazu kommt, das Menschen pragmatisch sind: Gerade wenn man Mitarbeitende zwingt, ihr Passwort häufig zu ändern, tendieren diese dazu Muster zu nutzen: Aus «Sommer2025» wird «Sommer2026».
Die 10 am häufigsten verwendeten Passwörter 2025
- dominaria
- admin
- purzi123
- Divinorum88
- 123456
- chocolat36
- 1a2s3d4f5g6h
- Password
- 123456789
- pascal87
Quelle: Die am häufigsten in Datendiebstählen gefundenen Passwörter, NordPass
Passkeys: Schlüssel statt Passwörter
Multi-Faktor-Authentifizierung erhöht diese Hürde. Trotzdem ist auch dieser Schutz nicht wasserdicht. SMS-Codes gelten als schwach und Push-Bestätigungen können versehentlich akzeptiert werden. Mit heutigen Phishing-Seiten fragen Angreifer oft gleich auch noch den zweiten Faktor ab.
Der konsequentere Schritt sind Passkeys. Sie ersetzen das klassische Passwort durch ein Schlüsselpaar. Der öffentliche Schlüssel liegt beim Anbieter, der private Schlüssel bleibt auf dem Gerät. Entsperrt wird auf dem Smartphone, etwa per Fingerabdruck oder PIN. Entscheidend ist: Es wird kein Passwort übertragen. Die Anmeldung erfolgt mittels auf dem Gerät hinterlegten privaten Schlüssel. Nichts, das auf einer gefälschten Seite eingegeben und später wiederverwendet werden kann.
Damit wird eine Liste mit gestohlenen Zugangsdaten deutlich weniger wert. Angreifer bräuchten zusätzlich Zugriff auf das passende Gerät und die lokale Entsperrung. Nicht unmöglich, aber deutlich schwieriger als ein Login-Versuch aus der Distanz.
Mit Zugriffsrechten den Schutz verbessern
Zugangssicherheit endet jedoch nicht beim Login. Die zweite Frage lautet: Was darf eine Person nach der Anmeldung tun? Früher war die Trennung oft grob. Draussen unsicher, drinnen vertrauenswürdig. Wer im internen Firmennetzwerk war, konnte sich teilweise ungehindert bewegen. Aus Sicht der Angreifer war das bequem: Ein gehackter Account genügte, um das ganze Firmennetz lahm zu legen.
Heute braucht es engere Leitplanken. Das Prinzip Least Privilege setzt dort an: Mitarbeitende erhalten nur jene Berechtigungen, die sie für ihre Arbeit benötigen. Nicht mehr. HR braucht Zugriff auf HR-Daten, nicht auf alle IT-Systeme. Externe Projektmitarbeitende benötigen temporäre Rechte, keine offenen Zugänge ohne Ablaufdatum.
Klingt banal. Ist aber laufende Arbeit. Rollen wachsen, Zuständigkeiten ändern sich, Rechte bleiben bestehen. So entstehen stille Risiken. Zugriffskontrolle ist deshalb ein Governance-Thema, kein einmaliges IT-Projekt.
Ein Bündel von Massnahmen für moderne IT-Sicherheit
Zero Trust führt diesen Gedanken weiter. Die Annahme ist unbequem, aber realistisch: Ein Account kann jederzeit kompromittiert werden. Deshalb wird kein Zugriff automatisch als vertrauenswürdig behandelt. Geprüft werden Identität, Gerät, Standort, Zeitpunkt und Kontext. Erst wenn diese Faktoren zusammenpassen, wird Zugriff gewährt.
Die zentrale Erkenntnis bleibt nüchtern: Passwörter sind nicht verschwunden, aber sie tragen die Last nicht mehr allein. Moderne Zugangssicherheit kombiniert starke Authentifizierung, Passkeys, gepflegte Rollenmodelle, Berechtigungsprüfungen und kontextbasierte Kontrolle. Technik ist dabei nur ein Teil. Ohne Prozesse und Governance bleibt auch das beste Konzept lückenhaft.
Videokurs: Gewinnen Sie die Kontrolle zurück
Haben Sie wirklich die Kontrolle über Ihre Daten? Entdecken Sie im kostenlosen Videokurs mit unseren Experten, wie Sie Transparenz schaffen und Abhängigkeiten reduzieren. Lernen Sie in kurzen Modulen die wichtigsten Grundlagen, Risiken und Lösungsansätze für Datensicherheit in KMU kennen.