Passwort-Sicherheit in der Krise: 68 Prozent aller Codes in 24 Stunden knackbar

Neue Studien belegen: Die überwältigende Mehrheit aller globalen Passwörter ist innerhalb eines Tages kompromittierbar. Für deutsche Unternehmen und Verbraucher bedeutet das eine dramatische Verschärfung der Bedrohungslage.

Rekordtempo beim Passwortknacken

Ein aktueller Bericht von Kaspersky vom 17. Mai 2026 zeichnet ein düsteres Bild: 68 Prozent aller weltweit genutzten Passwörter können innerhalb von 24 Stunden geknackt werden. Besonders anfällig sind kurze Codes mit acht oder weniger Zeichen. Die Forscher stellten zudem eine hohe Verbreitung vorhersagbarer Muster fest – etwa Passwörter, die mit Zahlen beginnen oder enden. Das „@"-Zeichen und der Punkt sind die am häufigsten verwendeten Sonderzeichen.

Angesichts der rasanten Entwicklung bei Cyberangriffen ist ein aktuelles und sicheres Betriebssystem die wichtigste Verteidigungslinie für Ihre Daten. Dieser kostenlose Expertenreport zeigt, wie Ihnen der Wechsel auf ein modernes System ohne Risiko und Datenverlust gelingt. Windows 11 Starterpaket jetzt kostenlos anfordern

Diese Schwachstellen treiben eine regelrechte Welle von Identitätsdiebstählen an. Laut der Sophos State of Identity Security 2026-Umfrage, ebenfalls Mitte Mai veröffentlicht, erlitten 71 Prozent aller Organisationen im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall. Besonders betroffen: der Energiesektor mit 80,3 Prozent betroffener Unternehmen. Die finanziellen Folgen sind enorm – die durchschnittlichen Kosten für die Behebung eines solchen Angriffs liegen bei umgerechnet rund 1,5 Millionen Euro.

Wenn die Cloud zur Einfallstür wird

Die Probleme potenzieren sich in der Cloud-Umgebung. Die Cloud Security Alliance stellte fest, dass 95 Prozent aller Unternehmen innerhalb von 18 Monaten einen Cloud-basierten Sicherheitsvorfall erlitten. Die Ursache liegt in 99 Prozent der Fälle bei unsicheren Identitäten und mangelhaftem Zugriffsmanagement.

Millionen Datensätze im freien Fall

Die Konsequenzen unzureichenden Schutzes zeigen sich in spektakulären Fällen. Am 17. Mai 2026 einigte sich Fidelity Investments auf einen Vergleich von 2,5 Millionen Dollar (rund 2,3 Millionen Euro) zur Beilegung einer Sammelklage. Auslöser war ein Datenleck aus dem Jahr 2024, bei dem die Daten von über 155.000 Kunden – darunter Namen, Sozialversicherungsnummern und Bankverbindungen – abgegriffen wurden. Betroffene können Zahlungen von bis zu 5.000 Dollar erhalten.

Noch am selben Tag deckte Cybernews auf, dass der Messaging-Dienst Tokee die Profile von 1,2 Millionen Nutzern ungeschützt im Netz hinterließ. Namen, Telefonnummern und Geräte-Token waren frei zugänglich. Zwar blieben die Chat-Inhalte verschlüsselt – die Datenbank auf MongoDB war jedoch ohne jeglichen Schutz.

Angriffe auf höchster Ebene

Selbst Regierungsmitglieder sind nicht sicher. Bereits Anfang Mai 2025 wurden Details zu einem Sicherheitsvorfall um US-Verteidigungsminister Pete Hegseth bekannt. Seine Zugangsdaten waren durch Datenlecks aus den Jahren 2017 und 2018 kompromittiert worden. Der Fall zeigt: Historische Leaks bleiben eine akute Gefahr für die nationale Sicherheit.

KI-gestützte Angriffswelle

Die Angriffsmethoden werden immer raffinierter. Das Tycoon2FA-Phishing-Kit wurde laut eSentire um eine „Device-Code"-Technik erweitert, die speziell auf Microsoft-365-Konten abzielt. Die Angriffskette nutzt Trustifi-Klick-URLs und Cloudflare-Workers, um Opfer auf eine manipulierte Microsoft-Anmeldeseite zu locken. Experten raten dringend, OAuth-Gerätecode-Flows zu deaktivieren, wenn sie nicht zwingend benötigt werden.

Ein weiterer neuer Exploit namens „MiniPlasma" wurde am 17. Mai 2026 veröffentlicht. Er betrifft den Windows-Cloud-Filter-Treiber (cldflt.sys) und gewährt Angreifern SYSTEM-Zugriff – selbst auf vollständig gepatchten Systemen. Microsofts früherer Patch (CVE-2020-17103) bleibt auf Windows 11 Pro wirkungslos. Zudem ermöglicht ein Bug in Windows Server 2025 („dMSA Ouroboros") die Erstellung von „Zombie"-Dienstkonten, die auch nach Löschung des ursprünglichen Kontos weiter Zugangsdaten stehlen können.

Microsofts KI als Jäger

Im Kampf gegen diese Bedrohungen setzt Microsoft auf Künstliche Intelligenz. Das KI-gestützte System MDASH identifizierte kürzlich 16 bisher unbekannte Schwachstellen in Windows, darunter vier kritische. Betroffen waren unter anderem der TCP/IP-Stack, Netlogon und der DNS-Client.

Patchen auf Rekordniveau

Der Patch Tuesday im Mai 2026 war einer der umfangreichsten der Geschichte: Microsoft schloss über 137 Sicherheitslücken. Damit liegt die Gesamtzahl für 2026 bereits bei über 500 – ein Rekordtempo. Besonders dringend: Patches für CVE-2026-41089 (Netlogon) und CVE-2026-41096 (DNS-Client), beide mit einer CVSS-Bewertung von 9,8 – höchste Gefahrenstufe für nicht authentifizierte Remote-Code-Ausführung. Auch Apple, Google und Oracle haben ihre Update-Frequenz erhöht.

Wirtschaftlicher Schaden explodiert

Die Kosten der Cyberkriminalität steigen rasant. Das FBI verzeichnete für 2025 über eine Million Beschwerden mit Gesamtschäden von 20,9 Milliarden Dollar – ein Anstieg von 26 Prozent zum Vorjahr. Besonders betroffen: die Altersgruppe der 20- bis 29-Jährigen, die über 550 Millionen Dollar durch Job-Betrug und gefälschte Wohnungsinserate verloren.

Ausblick: Der Wettlauf gegen die Zeit

Die Branche reagiert mit neuen Sicherheitsarchitekturen. P0 Security launchte im Frühjahr 2025 eine Plattform für einheitliches Identitätsmanagement über AWS, Azure und GCP hinweg. Parallel setzt die UNESCO auf digitale Bildung: Ein Workshop Mitte Mai in St. Kitts und Nevis schulte ältere Erwachsene im Erkennen von Betrugsmaschen.

Microsoft warnt indes: Bis Juni 2026 benötigen die meisten Windows-Geräte dringende Updates für ein ablaufendes Secure-Boot-Zertifikat – andernfalls drohen erhebliche Startprobleme.

Während Microsoft vor kritischen Zertifikatsabläufen warnt, suchen viele PC-Nutzer nach einem umfassenden Leitfaden für ein stabiles System. Der Gratis-Report bündelt alle wichtigen Informationen für einen reibungslosen Wechsel auf das neueste Betriebssystem. Kostenloses Windows 11 Komplettpaket sichern

Der Trend zum „Cybercrime-as-a-Service" senkt die Einstiegshürden für komplexe Angriffe drastisch. Laut Javelin Research werden rund 23 Prozent der Datenopfer später auch direktes Opfer von Betrug. Die Antwort der Experten: Echtzeit-Transaktionssperren und phishing-resistente Multi-Faktor-Authentifizierung. Der Abschied vom einfachen Passwort steht bevor – hin zu einer Sicherheitsarchitektur, die Identität in den Mittelpunkt stellt.

de | wissenschaft | 69363041 |