Die teuersten Passwort-Fehler in Unternehmen - Warum das Bekannte oft das Vernachlässigte ist

Es gibt Themen in der IT-Sicherheit, die aufgrund ihrer Omnipräsenz Gefahr laufen, ignoriert zu werden. Die Passwort-Sicherheit ist das Paradebeispiel dafür. Heute, am Welt-Passwort-Tag, müssen wir uns einer unbequemen Wahrheit stellen: Obwohl die Lösungen seit Jahren bekannt sind, bleiben kompromittierte Zugangsdaten die Haupteintrittspforte für Cyberangriffe in Schweizer Unternehmen.

Dabei ist das Problem selten technologischer Natur. Es ist ein strukturelles Versagen in den Prozessen und der Unternehmenskultur. Das Bundesamt für Cybersicherheit (BACS) empfiehlt klare Standards: Einzigartigkeit, Komplexität, MFA und der Einsatz von Passwort-Managern.

Wer diese Basics 2026 noch immer vernachlässigt, handelt grobfahrlässig. Hier ist die Analyse der kritischsten Schwachstellen und deren strategische Behebung.

(Quelle: BACS/NCSC).

1. Schwache Passwörter: «Passwort123» ist kein Witz, sondern Realität

Das Problem:
Viele Mitarbeitende neigen dazu, den Weg des geringsten Widerstands zu gehen. Muster wie „Firmenname2026“ oder „Sommer2026!“ Diese lassen sich innerhalb von Sekunden knacken – oft automatisiert durch Bots.

Die Kosten:
Ein erfolgreicher Angriff kann zu Datenverlust, Systemausfällen und Compliance-Verstössen führen. Die durchschnittlichen Kosten eines Datenlecks liegen laut Studien bei mehreren Millionen Franken.

Die Lösung:

Setzen Sie auf Passwort-Richtlinien mit Mindestlänge (min. 12 Zeichen), Gross-/Kleinbuchstaben, Zahlen und Sonderzeichen. Nutzen Sie Passwort-Manager, die sichere, einzigartige Passwörter generieren und speichern. Schulen Sie Mitarbeitende regelmässig zu sicheren Passwörtern.

2. Passwort-Recycling: Ein Passwort für alles

Das Problem:

Die Wiederverwendung desselben Passworts für geschäftliche und private Dienste ist ein massives Sicherheitsrisiko. Wird ein privater Drittanbieter gehackt, gelangen die Zugangsdaten unmittelbar in die Datenbanken der Angreifer.

Die Kosten:
Ein kompromittiertes Passwort öffnet Angreifern Tür und Tor zu kritischen Systemen. Das Risiko von Datendiebstahl, Erpressung (Ransomware) und Betriebsunterbrechungen steigt massiv.

Die Lösung:
Nutzen Sie einzigartige Passwörter für jeden Dienst und implementieren Sie Single Sign-On (SSO) oder Multi-Faktor-Authentifizierung (MFA). Nutzen Sie Passwort-Manager, die automatisch eindeutige Passwörter generieren.

3. Analoge Speicherung und die „Excel-Falle“

Das Problem:
Noch immer finden sich Passwörter auf Post-its oder in unverschlüsselten Excel-Listen. Diese Methoden bieten keinerlei Zugriffskontrolle und verletzen jegliche Compliance-Vorgaben.

Die Kosten:
Jeder mit physischem oder digitalem Zugang kann diese Passwörter abgreifen. Das Risiko von Insider-Bedrohungen und externen Angriffen steigt enorm.

Die Lösung:
Verbieten Sie die Speicherung von Passwörtern in Klartext und stellen Sie sichere Passwort-Manager (z. B. 1Password, Bitwarden, Keeper) bereit. Sensibilisieren Sie Ihr Team für sichere Aufbewahrung.

4. Das Fehlen der Multi-Faktor-Authentifizierung (MFA)

Das Problem:
Selbst starke Passwörter können durch Phishing, Keylogger oder Datenlecks kompromittiert werden. Ohne zusätzliche Sicherheitsebene haben Angreifer freie Bahn.

Die Kosten:
Ohne 2FA/MFA ist ein gestohlenes Passwort gleichbedeutend mit einem erfolgreichen Einbruch. Die Folgen: Datenverlust, finanzielle Schäden, rechtliche Konsequenzen.

Die Lösung:
Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme und nutzen Sie Authenticator-Apps (z. B. Microsoft Authenticator, Google Authenticator) statt SMS. Machen Sie MFA zur Pflicht, nicht zur Option.

5. Ineffiziente Änderungszyklen

Das Problem:
Zwei Extreme: Entweder werden Passwörter jahrelang nicht geändert oder Mitarbeitende müssen sie so oft ändern, dass sie zu einfachen Mustern greifen («Passwort1», «Passwort2», …).

Die Kosten:
Veraltete Passwörter bleiben nach einem Datenleck gefährlich. Zu häufige Änderungen führen zu schwachen, vorhersehbaren Passwörtern.

6. Geteilte Passwörter im Team

Das Problem:
«Das Passwort für den Admin-Zugang kennen wir alle» – ein klassischer Fehler. Geteilte Passwörter machen es unmöglich nachzuvollziehen, wer wann auf welche Systeme zugegriffen hat.

Die Kosten:
Keine Nachvollziehbarkeit bedeutet keine Kontrolle. Bei einem Sicherheitsvorfall lässt sich nicht mehr feststellen, wer verantwortlich ist. Zudem erhöht sich das Risiko durch ausgeschiedene Mitarbeitende.

Die Lösung:
Vergeben Sie individuelle Zugänge für jede Person und nutzen Sie Rollen- und Rechteverwaltung statt geteilter Admin-Passwörter. Entziehen Sie Zugänge sofort beim Austritt von Mitarbeitenden.

Fazit

Passwort-Sicherheit ist kein reines IT-Problem, sondern ein Unternehmensproblem. Das zeigt auch die Schweizer Studie „KMU Cybersicherheit 2025“ der Mobiliar: Nur 31 % der KMU führen regelmässige Schulungen durch und nur 30 % verfügen über einen Notfallplan oder ein Sicherheitskonzept. Gleichzeitig berichten 73 % der von Cyberangriffen betroffenen KMU von finanziellen Schäden. Wer Passwortsicherheit, Multi-Faktor-Authentifizierung und klare Prozesse vernachlässigt, riskiert deshalb nicht nur Sicherheitslücken, sondern auch konkrete wirtschaftliche Folgen (Quelle: Mobiliar.ch).

Der Welt-Passwort-Tag sollte uns daran erinnern, dass Cybersecurity bei den einfachsten Prozessen beginnt. Es geht nicht darum, das Rad neu zu erfinden, sondern die bekannten Standards konsequent zu exekutieren.

Cyber-Resilienz ist kein Zustand, den man einmal kauft, sondern ein Prozess, den man täglich lebt. Beginnen Sie heute damit, die „Low Hanging Fruits“ Ihrer Sicherheit zu pflücken.

Wie steht es um die Passwort-Hygiene in Ihrem Unternehmen? Brauchen Sie Unterstützung bei der Umsetzung?
ARISCO berät Sie gerne zu Cybersecurity, IT-Sicherheit und Risikomanagement. Kontaktieren Sie uns.