Fünf Sicherheitsabkürzungen, die Unternehmen teuer werden

Dasselbe Passwort für das Bankkonto, das E-Mail-Postfach und die Essensliefer-App von vor zwei Jahren zu verwenden, fühlt sich effizient an. Tatsächlich ist es vor allem riskant. Laut einer Analyse von Cybernews zu 19 Milliarden offengelegten Passwörtern waren 94% der geleakten Zugangsdaten bereits kompromittiert, weil sie wiederverwendet wurden. Nur 6% waren einzigartig. Der Rest war vorhersagbar und in weniger als einer Sekunde zu knacken.

Diese eine Gewohnheit ist nur eine von fünf Abkürzungen, die Mitarbeiter im Alltag regelmäßig nehmen. Jede davon spart vermeintlich ein paar Sekunden. Zusammengenommen kosten sie Unternehmen im Durchschnitt rund 1,12 Millionen Euro pro phishinggetriebenem Vorfall, wenn man den Wert von 1,29 Millionen US-Dollar grob in Euro überträgt. In Deutschland wirkt das besonders relevant, weil Sicherheitsdisziplin und Compliance längst keine Nebenthemen mehr sind.

Bequemlichkeit ist selten neutral

Der BSI-Lagebericht 2024 beschreibt Angriffe mit schwachen oder recycelten Passwörtern sowie Phishing weiterhin als ein zentrales Muster. Gerade Webmail-Systeme gelten dabei als besonders verwundbar. Das passt zu einem Befund, den viele Unternehmen aus der Praxis kennen: Sicherheitsprobleme beginnen selten mit hochkomplexer Technik, sondern oft mit Routinehandlungen, die niemand mehr hinterfragt.

Genau deshalb unterschätzen Organisationen diese Abkürzungen so häufig. Sie sehen nicht nach Regelbruch aus, sondern nach Alltag. Erst wenn sich mehrere davon überlagern, wird aus Zeitersparnis ein strukturelles Risiko.

Ein wiederverwendetes Passwort öffnet mehr als eine Tür

Der durchschnittliche Nutzer verwaltet etwa 191 Onlinekonten. Ein eigenes starkes Passwort für jeden Dienst zu behalten, erscheint vielen unrealistisch. Laut Bitwarden-Forschung, zitiert von CinchOps, verwenden 85% der Nutzer weltweit Passwörter auf mehreren Seiten erneut. Mehr als die Hälfte greift zudem auf leicht erratbare Informationen wie Geburtstage oder Tiernamen zurück.

Warum das problematisch ist, zeigt der bekannte Fall Dropbox: Dort wurden 60 Millionen Zugangsdaten kompromittiert, weil ein Mitarbeiter sein Passwort beruflich wiederverwendete. Angreifer müssen Ihr Unternehmen nicht zwingend direkt angreifen. Es genügt, ein bereits geleaktes Passwort aus einem anderen Kontext wiederzuverwerten. Wer meint, ein Passwortmanager allein löse das Problem, übersieht zudem, dass Sitzungsübernahmen inzwischen auch gespeicherte Zugangsdaten umgehen können.

Zwischen Eingang und Klick liegen 21 Sekunden

Phishing lebt nicht nur von Täuschung, sondern auch von Tempo. Laut Proofpoint-Forschung, auf die sich Bright Defense bezieht, beträgt die mediane Zeit zwischen Eingang einer Phishing-Mail und dem Klick auf den enthaltenen Link 21 Sekunden. Das reicht für eine spontane Reaktion, aber kaum für eine Prüfung.

Die Benchmark-Studie 2025 von KnowBe4, die 14,5 Millionen Nutzer in 62.400 Organisationen betrachtet, beziffert die Anfälligkeit für Phishing und Social Engineering auf 33,1%. Im Gesundheitswesen liegt der Wert sogar bei 41,9%. Hinzu kommt, dass inzwischen 82,6% der Phishing-Mails KI-generierte Inhalte enthalten. Das erhöht die sprachliche Glaubwürdigkeit der Nachrichten erheblich. Schulungen helfen zwar, die Anfälligkeit innerhalb eines Jahres um 86% zu senken, werden jedoch in vielen Unternehmen weiterhin als Pflichttermin statt als kontinuierlicher Prozess behandelt.

MFA aufzuschieben ist ein kalkulierter Fehler

Mehrfaktor-Authentifizierung verhindert 99% der phishingbezogenen Kontoübernahmen. Dennoch hatten 76% der Organisationen, die von Business-E-Mail-Compromise betroffen waren, keine phishingresistente MFA eingeführt. Die Versuchung ist nachvollziehbar: MFA stört, kostet Sekunden und wird deshalb verschoben. Aus Sicht eines Angreifers ist genau das der günstige Moment.

Zugleich ist selbst einfache MFA nicht mehr in jedem Fall ausreichend. Adversary-in-the-middle-Angriffe, bei denen Sitzungs-Cookies gestohlen werden, nahmen 2024 um 146% zu. Deshalb überholen KI-gestützte Angriffe Sicherheitsteams inzwischen in weniger als 30 Minuten. Gegen diese neueren Verfahren gelten Hardware-Sicherheitsschlüssel nach FIDO2 derzeit als die robusteste Option.

Private Geräte sind oft der Seiteneingang

Der Boom von Homeoffice und hybrider Arbeit hat jedes Notebook, Smartphone und Tablet potenziell in einen Zugangspunkt zum Unternehmensnetz verwandelt. Damit wird BYOD schnell zu „bring your own vulnerabilities“. 28% der Cybersicherheitsfachleute bezeichnen schwache Passwörter auf privaten Geräten als die problematischste Sicherheitsgewohnheit im Remote-Kontext.

Diese Geräte verfügen häufig weder über Endpoint Detection noch über zuverlässig verschlüsserten Speicher oder sauberes Patch-Management. Sie verbinden sich mit öffentlichen WLANs, koppeln sich mit unbekannten Bluetooth-Geräten und vermischen private mit beruflichen Konten. Genau darin liegt das Risiko: nicht in einer einzelnen spektakulären Lücke, sondern in einer Vielzahl kleiner Nachlässigkeiten.

Geteilte Zugangsdaten unterlaufen jedes Kontrollsystem

„Schicken Sie mir einfach den Login“ gehört vermutlich zu den gefährlichsten Sätzen im Arbeitsalltag. Bis zu 30% der Datenpannen in Organisationen gehen auf Passwortweitergabe, Passwortwiederverwendung oder Phishing zurück. Sobald Zugangsdaten per Chat, E-Mail oder Notizzettel zirkulieren, verlassen sie den Bereich kontrollierter Sicherheit.

Die Gegenmaßnahmen sind keineswegs exotisch: rollenbasierte Berechtigungen, Single Sign-on und temporäre Freigaben machen das Teilen von Passwörtern weitgehend überflüssig. Wirtschaftlich betrachtet ist der Befund eindeutig. Ein Datenvorfall kostet im globalen Durchschnitt umgerechnet etwa 3,86 Millionen Euro, wenn man den Wert von 4,44 Millionen US-Dollar zugrunde legt. Unternehmen, die monatliche Phishing-Simulationen einführen, Hardware-MFA durchsetzen und auf passkeybasierte Anmeldung umstellen, senken die Anfälligkeit laut KnowBe4 von 33% auf 4,1% binnen zwölf Monaten. Die eigentliche Frage lautet daher nicht, ob Mitarbeiter solche Abkürzungen nehmen. Sie tun es. Entscheidend ist, ob Ihre Systeme diese Gewohnheiten weiter stillschweigend mittragen.