World Password Day: Wenn Angreifer sich als Mitarbeiter anmelden
(ots) - ESET rät Unternehmen, Multi-Faktor-Authentifizierung für zentrale Zugänge zu Netzwerken und Konten zu nutzen
Passwörter bleiben wichtig. Allein tragen sie die Sicherheit von Unternehmen aber nicht mehr. Der World Password Day am 7. Mai erinnert jedes Jahr daran, sichere Kennwörter zu verwenden. Für Unternehmen greift diese Botschaft inzwischen zu kurz. Cloud-Dienste, VPN-Zugänge, Remote Desktop, E-Mail-Konten und Administrationsoberflächen brauchen mehr Schutz als Benutzername und Passwort.
Der Grund ist einfach: Angreifer müssen heute nicht immer technische Schwachstellen ausnutzen. Oft genügt eine gültige Identität. Gestohlene oder wiederverwendete Zugangsdaten öffnen den Weg in Postfächer, Cloud-Umgebungen oder interne Systeme. Für Sicherheitsabteilungen ist das besonders tückisch. Im erstenMoment sieht ein solcher Zugriff nicht wie ein Einbruch aus, sondern wie eine normale Anmeldung.
Wie konkret dieses Risiko ist, zeigt die aktuelle ESET-Telemetrie. Im ESET Threat Report H2 (https://www.welivesecurity.com/en/eset-research/eset-threat-report-h2-2025/) 2025 stiegen E-Mail-Bedrohungen gegenüber der ersten Jahreshälfte um 36 Prozent. Unter den Top-Bedrohungen in E-Mails lag HTML/Phishing.Agent mit 30,8 Prozent klar vorn. Auch klassische Passwortangriffe bleiben relevant. Bei externen Netzwerkangriffsvektoren entfiel mit 43,3 Prozent der größte Anteil auf Password Guessing.Hinzu kommen Infostealer wie Formbook, Agent Tesla oder SnakeStealer, die Zugangsdaten, Browserdaten und weitere sensible Informationen von kompromittierten Geräten abgreifen können.
"Viele Angriffe beginnen heute mit einer ganz normalen Anmeldung", sagt Michael Schröder, Head of Product Marketing bei ESET Deutschland."Genau deshalb dürfen Unternehmen Passwörter nicht länger alleinlassen. Multi-Faktor-Authentifizierung sorgt dafür, dass ein gestohlenes Passwort nicht automatisch zum Zugang ins Unternehmen wird. Wichtig ist aber, dass MFA sauber eingeführt und im Alltag akzeptiert wird."
Multi-Faktor-Authentifizierung wird zur Pflichtaufgabe
Multi-Faktor-Authentifizierung (MFA) ergänzt das Passwort um mindestens einen weiteren Nachweis. Das kann eine App-Freigabe sein, ein Einmalcode, ein Hardware-Token, ein biometrisches Merkmal oder ein FIDO-basierter Sicherheitsschlüssel. Der Nutzen liegt auf der Hand: Selbst, wenn ein Passwort kompromittiert wurde, fehlt Angreifernein weiterer Faktor.
Auch regulatorisch gewinnt MFA an Bedeutung. Das BSI verweist im NIS2-Kontext auf Multi-Faktor-Authentisierung (https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-MFA/NIS-2-MFA.html) und gesicherte Kommunikation als Teil der Risikomanagementmaßnahmen für wichtige und besonders wichtige Einrichtungen. Damit wird MFA für viele Unternehmen in Deutschland, Österreich und der Schweiz nicht nur zu einer technischen Empfehlung, sondern zu einem Baustein professioneller Unternehmensführung.
ESET rät Unternehmen deshalb, MFA nicht als Einzelprojekt zu betrachten. Entscheidend ist eine Strategie, die kritische Zugänge priorisiert, Nutzergruppen einbindet und Sonderfälle sauber regelt. Dazu gehören verlorene Smartphones, Gerätewechsel, Dienstleisterzugänge, Notfallkonten und ältere Anwendungen, die moderne Authentifizierung nur eingeschränkt unterstützen.
World Password Day als Anlass für den Sicherheitscheck
Auch mit MFA bleiben gute Passwörter wichtig. Sie sollten lang, einzigartig und nicht mehrfach verwendet werden. Passwortmanager helfen, sichere Zugangsdaten praktikabel zu machen. Der regelmäßige Zwangswechsel ohne konkreten Anlass ist dagegen kein Allheilmittel. Wichtiger ist, unsichere oder kompromittierte Kennwörter zu erkennen und kritische Zugänge zusätzlich abzusichern.
Der World Password Day sollte für Unternehmen deshalb mehr sein als ein Hinweis auf Sonderzeichen und Mindestlängen. Er ist ein guter Anlass, die eigene Identity-Security-Strategie zu prüfen. Welche Konten sind besonders kritisch? Wo fehlt MFA noch? Welche Dienstleister haben Zugriff? Welche Altanwendungen umgehen moderne Sicherheitsregeln? Und wie schnell erkennt das Unternehmen, wenn Zugangsdaten missbraucht werden?
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication&PR DACH
+49 (0)3641 3114-269
christian.lueg(at)eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte(at)eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum(at)eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Contentvon: ESET Deutschland GmbH,übermittelt durch news aktuell
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Datum: 04.05.2026 - 09:00 Uhr
Sprache: Deutsch
News-ID 2248619
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: ots
Stadt:
Jena
Kategorie:
Dieser Fachartikel wurde bisher 3 mal aufgerufen.
Der Fachartikel mit dem Titel:
"World Password Day: Wenn Angreifer sich als Mitarbeiter anmelden"
steht unter der journalistisch-redaktionellen Verantwortung von
ESET Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).