Passkeys sind bereit, doch Nutzer hängen am alten Passwort

Die Technologie für ein passwortloses Internet ist flächendeckend verfügbar, doch mehr als die Hälfte aller Nutzer bleibt einer gefährlichen Gewohnheit treu: dem Wiederverwenden alter Passwörter. Diese Kluft zwischen technischer Möglichkeit und menschlichem Verhalten definiert den aktuellen Kampf um die Cybersicherheit.

Eine am Donnerstag veröffentlichte Analyse des Sicherheitsunternehmens Kaspersky zeigt ein alarmierendes Bild. 54 Prozent der 2025 geleakten Passwörter wurden kompromittiert, weil Nutzer bereits aus früheren Datenlecks bekannte Zugangsdaten erneut verwendeten. Das durchschnittliche kompromittierte Passwort bleibt dabei 3,5 bis 4 Jahre lang aktiv – ein gefundenes Fressen für Cyberkriminelle.

„Diese Ergebnisse unterstreichen die kritische Schwachstelle passwortbasierter Authentifizierung“, so die Forscher. Die Studie offenbart zudem vorhersehbare Muster: 10 Prozent der analysierten Passwörter enthielten Zahlenkombinationen, die an Daten zwischen 1990 und 2025 erinnern. 0,5 Prozent endeten sogar auf „2024“.

Diese Zahlen bestätigen einen Trend, der bereits das ganze Jahr prägt. Ein separater Bericht, auf den Virgin Media O2 verwies, kam zu einem ähnlichen Schluss: Vier von fünf Nutzern verwenden identische oder fast identische Passwörter über mehrere Konten hinweg. Ein einmal geknackter Account wird so zur Master-Key für das digitale Leben.

Passend zum Thema Passwort-Sicherheit: 73 % der deutschen Unternehmen sind nicht ausreichend auf Cyberangriffe vorbereitet. Gerade Wiederverwendung von Passwörtern und Credential-Stuffing eröffnen Angreifern einfache Wege – wie der Artikel zeigt. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt praxisnah, wie kleine und mittlere Unternehmen Schwachstellen schließen, Mitarbeiter schulen und Passkeys einführen können, ohne großes Budget. Inklusive konkreter Schutzmaßnahmen und Umsetzungs-Tipps für 2025/2026. Jetzt kostenlosen Cyber-Security-Guide herunterladen

96 Prozent aller Geräte unterstützen schon Passkeys

Während die alten schlechten Gewohnheiten persistieren, ist die Infrastruktur für die Zukunft bereits da. Der „State of Passkeys“-Report enthüllte diese Woche, dass satte 96 Prozent aller Consumer-Geräte – Smartphones, Tablets, Laptops – nun passkey-fähig sind.

Die Adoption auf Desktop-Computern stieg im letzten Jahr um 68 Prozent. Auf Mobilgeräten, wo die Technologie schon weiter verbreitet war, gab es ein weiteres Plus von 3 Prozent. Die Hardware-Hürde ist damit praktisch verschwunden.

Andrew Shikiar, Geschäftsführer der FIDO Alliance, sprach in einem Gastbeitrag von einem „Wendepunkt“ für Finanzinstitute. „Passkeys eliminieren den Diebstahl von Zugangsdaten, der die meisten Phishing- und Account-Übernahme-Angriffe antreibt“, schrieb er. Für Banken gehe es nicht mehr nur um Sicherheit, sondern ums Überleben in Zeiten automatisierter Attacken.

KMU als schwächstes Glied in der Sicherheitskette

Die Dringlichkeit der Umstellung unterstreicht der „2025 SMB Cybersecurity Report“ von Guardz. Demnach erlitten fast 50 Prozent der US-amerikanischen kleinen und mittleren Unternehmen (KMU) bereits einen Cyberangriff. 27 Prozent waren sogar in den letzten zwölf Monaten betroffen.

Als größtes Sicherheitsrisiko nannten 45 Prozent der Befragten „fahrlässiges Mitarbeiterverhalten“ – oft in Form schwacher oder wiederverwendeter Passwörter. Trotzdem setzen 52 Prozent der KMU auf ungeschultes Personal für ihr Sicherheitsmanagement. Eine gefährliche Lücke, die Kriminelle mit sogenannten Credential-Stuffing-Angriffen ausnutzen.

Aktuelle Vorfälle zeigen das Risiko: Sicherheitsforscher von Arctic Wolf warnten diese Woche vor der aktiven Ausnutzung kritischer Schwachstellen in Fortinet-Geräten. Selbst robuste Netzwerke sind angreifbar, wenn die „Haustür“ – die Authentifizierung – nicht sicher ist.

2026: Das Jahr der „frühen Mehrheit“ für Passkeys?

Die Konvergenz dieser Entwicklungen deutet auf eine nuova Phase der Einführung hin. Frederic Rivain, CTO des Passwort-Manager-Anbieters Dashlane, sagte voraus, dass Passkeys 2026 die „frühe Mehrheit“ der Nutzer erreichen werden.

Drei Treiber sieht er dafür:
1. Verbreitung: Alle großen Websites und Plattformen unterstützen Passkeys.
2. Nachfrage der Unternehmen: Firmen setzen auf Passkeys, um Mitarbeiterzugänge, ihre „schwächste Sicherheitslücke“, zu schützen.
3. Portabilität: Neue Standards der FIDO Alliance lösen das „Lock-in“-Problem und erlauben es, Passkeys zwischen Ökosystemen zu übertragen.

Doch die Lücke zwischen der Gerätebereitschaft (96 %) und der Nutzerakzeptanz bleibt groß. Die Herausforderung für 2026 wird das „Behavioral Engineering“ sein: Nutzer vom vertrauten „Passwort123“ zur biometrischen Einfachheit der Passkeys zu führen.

Ausblick: Vom Passwort zur kryptografischen Schlüssel

Die Richtung ist klar: Die Ära des Passworts geht zu Ende. Experten rechnen mit einer Zunahme von „Zwangsmigrationen“, besonders in regulierten Branchen wie Banken und Gesundheitswesen. KMU werden zunehmend Druck von Versicherern und Partnern spüren, phishing-resistente Authentifizierung einzuführen.

Auch der US-Standardisierungsbehörde NIST ist die Sache wichtig. Sie arbeitet an Richtlinien für ein „Cyber AI Profile“, das Empfehlungen zur Abwehr KI-gestützter Cyberangriffe enthält. Da KI-Tools das Knacken von Passwörtern immer effizienter machen, wird die statische Passwort-Authentifizierung unhaltbar – und beschleunigt so den Siegeszug der Passkeys.

Die Botschaft dieser Woche ist eindeutig: Die Hardware ist bereit, die Bedrohungen nehmen zu. Die Zeit, wiederverwendete Passwörter endgültig aufzugeben, ist jetzt.

PS: Die Hardware ist bereit – die größte Gefahr bleibt menschliches Verhalten. Dieser kostenlose Leitfaden zeigt, welche einfachen Maßnahmen Sie sofort umsetzen können (Anti-Phishing, Mitarbeiter-Training, Passkey-Roadmap) und wie Versicherer und Partner Ihre Sicherheitsanforderungen bewerten. Enthalten sind praxisnahe Checklisten, Umsetzungsbeispiele und eine Prioritätenliste, damit Sie Schutzmaßnahmen Schritt für Schritt einführen können. Holen Sie sich das kompakte E‑Book mit Sofortmaßnahmen für KMU. Gratis E‑Book: Cyber Security Awareness herunterladen