Illustration eines Dominoeffekts: Ein roter Dominostein im Vordergrund löst eine Kettenreaktion aus und kippt eine Reihe hellblauer Dominosteine vor blauem Hintergrund um. Rechts erscheint ein gelbes Warnsymbol mit Ausrufezeichen, das Risiko, Störung, Fehlerausbreitung oder kaskadierende Konsequenzen symbolisiert.

Die meisten Sicherheitsverletzungen beginnen nicht mit einem ausgeklügelten Angriff. Sie beginnen mit einem Passwort, das jemand auf zwei verschiedenen Websites verwendet hat. Laut dem Data Breach Investigations Report 2026 von Verizon tauchten gestohlene Anmeldedaten irgendwo in 39 % aller bestätigten Sicherheitsverletzungen auf — nicht nur als Einstiegspunkt, sondern auch bei lateraler Bewegung, Persistenz und Datendiebstahl. 

Die Ausnutzung von Schwachstellen hat Anmeldedaten als einzelnen Top-Vektor für den Erstzugang überholt, aber Angreifer haben den Missbrauch von Anmeldedaten nicht aufgegeben. Sie haben ihn tiefer in die Angriffskette integriert. Wenn Ihre Mitarbeiter Passwörter wiederverwenden (und statistisch gesehen tun das die meisten), trägt Ihr Unternehmen Risiken durch Passwortwiederverwendung, die erst sichtbar werden, wenn Angreifer bereits im System sind.

Wichtige Erkenntnisse

  • Ein einziges wiederverwendetes Passwort erzeugt sofort ein systemisches Risiko. Wenn Anmeldedaten aus einer privaten oder geschäftlichen Quelle geleakt werden, testen automatisierte Tools sie innerhalb von Stunden in Ihrem gesamten Netzwerk.
  • Credential Stuffing ist hochgradig automatisiert und unmittelbar. Angreifer führen automatisierte Datenbanken mit geleakten Anmeldedaten innerhalb von Stunden nach einem öffentlichen Datenleck gegen Unternehmensportale aus.
  • Session Hijacking umgeht die Multi-Faktor-Authentifizierung vollständig. Infostealer stehlen aktive Session-Cookies zusammen mit gespeicherten Browser-Passwörtern und ermöglichen es Angreifern, legitime Sitzungen zu klonen, ohne MFA-Abfragen auszulösen.
  • Erzwungene Passwortrotation schwächt die Unternehmenssicherheit. Obligatorische 90-Tage-Änderungen führen zu vorhersehbaren Mustern. Moderne Standards (einschließlich NIST SP 800-63B) empfehlen eine Mindestlänge von 15 Zeichen und Rotation nur bei tatsächlicher Kompromittierung.
  • Die Eliminierung von Wiederverwendung erfordert einen strukturierten Drei-Säulen-Ansatz. Organisationen müssen veraltete Richtlinien aktualisieren, Credential-Audits durchführen, um Schatten-IT aufzudecken, und einen zentralisierten Tresor bereitstellen, um sichere Gewohnheiten reibungslos zu gestalten.
  • Systemische Kontrolle muss individuelle Verantwortung ersetzen. Ein Passwort-Manager automatisiert die Credential-Hygiene durch kontinuierliches Scannen nach Duplikaten, Absicherung verwaister Dienstkonten und Verwaltung granularer Lieferantenzugriffe in einem zentralisierten Tresor.

Warum Passwortwiederverwendung gefährlich ist: Das Bild 2026

Passwortwiederverwendung schafft einen Single Point of Failure für alle Konten, die dieselben Anmeldedaten teilen. Wenn Angreifer diese Anmeldedaten aus einer beliebigen Quelle (geschäftlich oder privat) erhalten, testen automatisierte Tools sie innerhalb von Stunden gegen Unternehmens-E-Mail, VPN-Portale und Cloud-Anwendungen. Im Jahr 2025 indexierte Recorded Future 1,95 Milliarden Credential-Expositionen aus Malware-Quellen, von denen 31 % aktive Session-Cookies enthielten, die MFA (Multi-Faktor-Authentifizierung) vollständig umgehen.

Kriminelle erstellen und handeln Combolists: strukturierte Dateien mit geleakten E-Mail/Passwort-Paaren, die aus Jahren von Datenlecks aggregiert wurden. Automatisierte Tools testen diese Paare innerhalb von Stunden nach Erscheinen einer neuen Liste auf Dark-Web-Märkten gegen Unternehmens-Anmeldeseiten, VPN-Portale und Cloud-Anwendungen. Der Angriff ist mechanisch: Nehmen Sie eine Liste bekannter Anmeldedaten, führen Sie sie gegen eine Anmeldeseite aus, sammeln Sie die Treffer.

Infostealer sind die schnellere, gefährlichere Pipeline. Diese Malware läuft unbemerkt auf einem infizierten Gerät, extrahiert jedes im Browser gespeicherte Passwort, sammelt aktive Session-Cookies und exfiltriert das Paket — oft innerhalb von Minuten. Wenn der Angreifer einen gültigen Session-Token hat, wird kein Login-Ereignis ausgelöst, keine MFA-Abfrage erscheint, und der Zugriff sieht völlig legitim aus.

Das Volumen im Jahr 2025 war beeindruckend. Der Identity Threat Landscape Report 2025 von Recorded Future (veröffentlicht März 2026) erkannte 1,95 Milliarden Malware-Combolist-Credential-Expositionen über das Jahr, mit einem starken Volumenanstieg — das letzte Quartal produzierte 90 % mehr indexierte Anmeldedaten als das erste. Der Identity Breach Report 2026 von Constella Intelligence stellte fest, dass fast 60 % der aufgenommenen Datenleck-Datensätze recycelte Credential-Zusammenstellungen waren — ein Anstieg gegenüber dem Vorjahr.

Ein Detail aus den Daten von Recorded Future verdient Aufmerksamkeit: 276 Millionen der Anmeldedaten, die 2025 indexiert wurden, enthielten aktive Session-Cookies. Das sind 31 % der Malware-basierten Anmeldedaten, die MFA konstruktionsbedingt vollständig umgehen. Passwortwiederverwendung ist gefährlich. Credential-Wiederverwendung kombiniert mit Session Hijacking ist eine andere Kategorie von Problem.

11 Risiken der Passwortwiederverwendung, die jedes Unternehmen kennen sollte

Passwortwiederverwendung erzeugt eine Kette von Schwachstellen. Jedes unten aufgeführte Risiko ist unabhängig, aber bei einem echten Angriff verstärken sie sich gegenseitig. Ein Angreifer, der Risiko Nr. 1 ausnutzt, erlangt oft die Position, um die Risiken Nr. 3, Nr. 7 und Nr. 11 in derselben Sitzung auszunutzen.

1. Automatisierte Login-Angriffe treffen alle Konten gleichzeitig

Wenn ein Passwort in einem Datenleck auftaucht, führen Angreifer es gleichzeitig gegen Ihre Unternehmens-E-Mail, Ihr HR-System, Ihren Cloud-Speicher und Ihr VPN-Portal aus. Das ist Credential Stuffing — vollständig automatisiert, läuft im großen Maßstab innerhalb von Stunden nach Erscheinen einer neuen Combolist. Laut der zusätzlichen DBIR-Forschung 2025 von Verizon zu Credential Stuffing lag der mediane tägliche Anteil von Credential Stuffing in SSO-Provider-Logs bei 19 % aller Authentifizierungsversuche. Fast einer von fünf Anmeldeversuchen, an einem durchschnittlichen Tag.

2. Ein Datenleck auf einem privaten Gerät wird zu Ihrem Problem

Wenn der private Laptop eines Mitarbeiters Infostealer-Malware aufschnappt (durch einen Phishing-Link oder einen kompromittierten Download), wird jedes im Browser gespeicherte Passwort gestohlen. Wenn eines dieser Passwörter mit dem übereinstimmt, das bei der Arbeit verwendet wird, sind Ihre Systeme jetzt exponiert. Sie hatten keinen Anteil an diesem Datenleck. Sie tragen trotzdem die Konsequenzen.

Der Annual Identity Exposure Report 2025 von SpyCloud stellte fest, dass 91 % der Organisationen angaben, im vergangenen Jahr einen identitätsbezogenen Vorfall erlitten zu haben — fast doppelt so viele wie im Vorjahr — wobei Infostealer-Malware ein Haupttreiber war. Die Infektion muss nicht auf einem Firmenrechner stattfinden, um ein Firmenproblem zu werden.

3. Ein Passwort öffnet viele Türen

Innerhalb eines Unternehmens sind Systeme verbunden. Ein Angreifer, der mit einem wiederverwendeten Passwort in ein Konto gelangt, kann dieselben Anmeldedaten verwenden, um andere interne Systeme zu sondieren. Was als Zugriff auf ein einzelnes Mitarbeiterkonto beginnt, kann sich auf Dateiserver, interne Tools oder Administratorkonsolen ausweiten. Bis es bemerkt wird, war der Angreifer wochenlang im System.

4. Nicht nachverfolgte Apps erzeugen versteckte Hintertüren

Mitarbeiter melden sich selbstständig bei Tools an (Projekt-Tracker, Design-Plattformen, Kommunikations-Apps) mit ihrer Arbeits-E-Mail und oft einem Passwort, das sie auch bei der Arbeit verwenden. Die IT-Abteilung weiß nicht, dass diese Konten existieren. Wenn eine dieser Apps gehackt wird, hat der Angreifer funktionierende Anmeldedaten für Ihre Unternehmenssysteme durch eine Tür, von der niemand wusste, dass sie offen war.

Das ist Schatten-IT, und sie ist eines der am schwierigsten zu verwaltenden Risiken der Passwortwiederverwendung, da die Exposition vollständig außerhalb Ihrer Sichtbarkeit stattfindet.

5. Zwei-Faktor-Authentifizierung rettet Sie nicht immer

2FA ist wertvoll. Es ist keine vollständige Lösung für Passwortwiederverwendung. Angreifer fangen den Authentifizierungsprozess in Echtzeit ab und erfassen sowohl das Passwort als auch den temporären Session-Token, der beweist, dass die 2FA-Prüfung bereits bestanden wurde. Sobald sie diesen Token haben, sind sie drin — und 2FA hat seine Aufgabe aus Sicht des Systems bereits erfüllt.

2FA reduziert das Risiko erheblich. Ein wiederverwendetes Passwort gibt Angreifern jedoch immer noch einen Ausgangspunkt, mit dem sie arbeiten können, und Session Hijacking eliminiert MFA vollständig aus der Gleichung.

6. Wiederverwendete Passwörter können Ihr nächstes Audit scheitern lassen

Wenn Ihr Unternehmen Zahlungsdaten oder personenbezogene Daten verarbeitet oder unter einem formalen Sicherheitsrahmen operiert, werden Passwortpraktiken genau unter die Lupe genommen. Sicherheitsstandards wie SOC 2, ISO 27001 und PCI DSS verlangen alle, dass Zugriffskontrollen ordnungsgemäß verwaltet werden — und Auditoren prüfen, ob Ihre Organisation Passwortqualität durchsetzt. Das Auffinden weit verbreiteter Passwortwiederverwendung ist ein Warnsignal, das zu Audit-Feststellungen, fehlgeschlagenen Zertifizierungen oder Compliance-Lücken führen kann, die vor dem Abschluss eines Geschäfts oder der Verlängerung eines Vertrags formell behoben werden müssen.

7. Lieferantenzugriff ist Teil Ihrer Angriffsfläche

Auftragnehmer und Drittanbieter benötigen oft Zugriff auf Ihre Systeme. Wenn diese Anmeldedaten nachlässig geteilt werden — oder wenn das Personal des Anbieters selbst Passwörter wiederverwendet — wird ein Datenleck beim Anbieter zu einem Datenleck in Ihrer Organisation. Der DBIR 2026 von Verizon stellte fest, dass 48 % der Sicherheitsverletzungen in irgendeiner Form einen Dritten involvierten, ein Anstieg von 60 % gegenüber dem Vorjahr. Lieferantenkonten werden häufig nach Projektende vergessen. Der Zugriff bleibt aktiv, das Passwort wird nie geändert, und niemand überwacht es.

8. Mitarbeiter verwenden auch Systempasswörter wieder

Dienstkonten und Systemanmeldedaten erhalten weit weniger Aufmerksamkeit als Mitarbeiterkonten. Ein Entwickler, der drei Datenbankumgebungen mit demselben Passwort verwaltet, erscheint auf keiner HR-Offboarding-Liste. Niemand besitzt diese Anmeldedaten, also prüft sie auch niemand. Wenn eine Umgebung kompromittiert wird, ist jedes System, das diese Anmeldedaten teilt, exponiert.

Diese Konten erscheinen nicht in einem Standard-Mitarbeiterverzeichnis. Keine einzelne Person besitzt sie. Das ist die Lücke, durch die Angreifer gehen.

9. Geschäftliche und private Konten kontaminieren sich gegenseitig

Die Grenze zwischen privaten und beruflichen Passwörtern ist fast vollständig verschwommen. Laut dem Annual Identity Exposure Report 2025 von SpyCloud verwendeten 70 % der in Datenlecks exponierten Benutzer zuvor exponierte Passwörter über mehrere Konten hinweg wieder. SpyCloud beschreibt dies als eine Allzeit-Rate — was bedeutet, dass sie das kumulative Wiederverwendungsverhalten über jedes Datenleck in ihrem Datensatz widerspiegelt, nicht eine Momentaufnahme eines einzelnen Jahres. Ein Mitarbeiter, der sein Arbeitspasswort für ein privates Konto verwendet, exponiert das Unternehmen, wenn dieses private Konto gehackt wird. Das Umgekehrte gilt gleichermaßen.

Die Daten von SpyCloud zeigen auch, dass Infostealer-basierte Expositionen zunehmend private und geschäftliche Identitätsdaten vom selben Gerät vermischen, was die Grenze zwischen privat und beruflich für einen Angreifer, der die Anmeldedaten bereits hat, funktionell irrelevant macht.

10. Erzwungene Passwortänderungen haben gegenteilige Wirkung

Viele Unternehmen verlangen noch immer, dass Mitarbeiter ihre Passwörter alle 90 Tage ändern. Das Ergebnis ist normalerweise, dass Password123! zu Password124! wird — eine Änderung, die die Richtlinie erfüllt, aber keinen echten Schutz bietet. Menschen nehmen die kleinstmögliche Änderung vor, um die Erinnerung loszuwerden.

NIST SP 800-63B-4 (2025) rät aus genau diesem Grund von obligatorischer periodischer Rotation ab. Erzwungene Änderungen erzeugen vorhersehbare Muster. Der Standard verlangt mindestens 15 Zeichen für benutzerdefinierte Passwörter, wenn das Passwort der einzige Authentifikator ist, und empfiehlt Rotation nur bei Nachweis einer Kompromittierung — nicht nach einem Kalenderplan.

11. Gestohlene Anmeldedaten sind schwer zu erkennen

Wenn ein Angreifer ein echtes, gültiges Mitarbeiterpasswort verwendet, sieht seine Aktivität wie normales Benutzerverhalten aus. Kein Alarm wird ausgelöst, kein Login wird blockiert, kein offensichtliches Zeichen erscheint, dass etwas nicht stimmt. Sie können wochenlang in Ihren Systemen sitzen — E-Mails lesen, auf Dateien zugreifen, Ihre interne Struktur kartieren — bevor es jemand bemerkt. Laut dem Cost of a Data Breach Report 2025 von IBM benötigten Organisationen durchschnittlich 158 Tage, um einen Sicherheitsvorfall zu identifizieren — und weitere 83 Tage, um ihn einzudämmen, für einen Gesamtlebenszyklus von 241 Tagen, ein Neun-Jahres-Tief, aber immer noch lang genug für einen Angreifer mit gültigen Anmeldedaten, um erheblichen Schaden anzurichten.

Passwork bietet Ihnen einen klaren Überblick darüber, wer auf was Zugriff hat — und markiert Anmeldedaten, die schwach, wiederverwendet oder überfällig für eine Rotation sind. Erfahren Sie, wie es funktioniert

So bringen Sie Ihr Team weg von der Passwortwiederverwendung

Passwortgewohnheiten in einem Team zu ändern, geschieht nicht durch das Versenden eines Richtliniendokuments. Es erfordert die Beseitigung der Reibung, die Wiederverwendung überhaupt erst notwendig erscheinen lässt. Die folgende Struktur (die 3-Säulen-Passwort-Verteidigungsstrategie: Richtlinie, Audit und Tresor) adressiert jede Ebene, auf der Wiederverwendung Fuß fasst.

Säule 1 — Richtlinie: Ändern Sie die Regeln, nicht nur die Erinnerungen.

Streichen Sie die 90-Tage-Rotationsanforderung. Folgen Sie stattdessen den NIST SP 800-63B-Richtlinien: Verlangen Sie Passwörter mit mindestens 15 Zeichen, prüfen Sie neue Passwörter gegen bekannte Datenleck-Listen und hören Sie auf, Komplexitätsregeln durchzusetzen, die nur Summer2026!-Muster erzeugen. Kommunizieren Sie die Änderung an Ihr Team mit einem klaren Grund — „Wir streichen die erzwungene Rotation, weil sie vorhersehbare Passwörter erzeugt hat, keine sicheren." Menschen befolgen Regeln, die sie verstehen.

Richtlinienbereich Veralteter Ansatz NIST SP 800-63B (2025)
Mindestlänge 8 Zeichen 15 Zeichen (benutzerdefiniert)
Rotation Alle 90 Tage Nur bei Nachweis einer Kompromittierung
Komplexitätsregeln Großbuchstabe + Zahl + Symbol erforderlich Nicht empfohlen — erzeugt vorhersehbare Muster
Datenleck-Screening Selten implementiert Erforderlich — Prüfung gegen bekannte Datenleck-Listen
Wiederverwendungsbeschränkung Oft 5 vorherige Passwörter Einzigartig pro Konto, durch Tools durchgesetzt
Gemeinsam genutzte Konten In der Praxis üblich Untersagt — eindeutige ID pro Benutzer

Säule 2 — Audit: Finden Sie heraus, womit Sie es tatsächlich zu tun haben.

Bevor Sie das Problem beheben können, müssen Sie es kartieren. In dieser Phase prüfen Sie nicht Passwörter — Sie prüfen die Angriffsfläche. Erstellen Sie eine Liste aller Systeme, Anwendungen und Dienste, auf die Ihr Team zugreift. Überprüfen Sie Ihr AD/LDAP-Verzeichnis auf aktive Konten, veraltete Konten und gemeinsam genutzte Anmeldedaten. Identifizieren Sie, wo SSO die Authentifizierung bereits abdeckt und wo nicht. Das Ergebnis ist ein klares Bild: wie viele separate Passwörter Ihr Team tatsächlich verwaltet und welche Systeme das größte Risiko tragen, wenn diese Anmeldedaten kompromittiert werden.

Das ist die Grundlage für Säule 3. Sobald der Passwort-Manager bereitgestellt ist, führen Sie den zweiten Durchgang durch — Scannen nach schwachen, duplizierten oder veralteten Passwörtern über alles außerhalb von SSO. Dann entsteht das vollständige Bild.

Säule 3 — Tresor: Machen Sie die sichere Option zur einfachen Option.

Führen Sie einen Passwort-Manager mit obligatorischer Nutzung für jedes Konto außerhalb von SSO ein. Das Ziel ist, die sichere Option zum Standard zu machen. Wenn das Tool Anmeldedaten automatisch generiert und ausfüllt, ist Wiederverwendung keine Wahlmöglichkeit mehr. Führen Sie die Einführung teamweise durch, beginnend mit den Gruppen, die Zugriff auf die sensibelsten Systeme haben. Kombinieren Sie es mit einer kurzen Onboarding-Sitzung, nicht mit einem langen Schulungsdokument.

💡
Diese drei Säulen adressieren Passwortwiederverwendung direkt. Sie ersetzen jedoch nicht MFA oder einen strukturierten Offboarding-Prozess. Wenn ein einzigartiges Passwort leakt und es keinen zweiten Faktor gibt, ist das Konto trotzdem kompromittiert. Wenn die Anmeldedaten eines ehemaligen Mitarbeiters am letzten Arbeitstag nicht widerrufen werden, wird das kein Audit rechtzeitig erkennen. Betrachten Sie diesen Plan als Fundament, nicht als vollständige Verteidigung.

Wie Passwork Passwortwiederverwendung auf Organisationsebene adressiert

Die Verwaltung von Passwortwiederverwendung erfordert den Übergang von individueller Verantwortung zu systemischer Kontrolle. Die folgende Tabelle zeigt, wie Passwork die primären in diesem Leitfaden identifizierten Risiken der Passwortwiederverwendung mindert.

Risiko der Passwortwiederverwendung Risikoniveau Passwork-Reaktion und -Minderung
Laterale Bewegung und Credential Stuffing (Risiken 1, 3, 9) Kritisch Das Sicherheits-Dashboard markiert automatisch duplizierte, schwache und veraltete Passwörter in allen Tresoren. Administratoren können gemeinsam genutzte Anmeldedaten identifizieren und eliminieren, bevor Angreifer sie ausnutzen.
Infostealer-Malware und Browser-Speicher-Exposition (Risiko 2) Hoch Passwork ersetzt unsichere im Browser gespeicherte Passwörter durch einen verschlüsselten, zentralisierten Tresor. Mitarbeiter greifen über sichere Browser-Erweiterungen auf Anmeldedaten zu, wodurch verhindert wird, dass Rohdaten lokal im Klartext zwischengespeichert werden.
Verwaiste Dienst- und Systemkonten (Risiko 8) Hoch Strukturierte Tresore ermöglichen es Teams, Datenbank-, API- und Dienst-Anmeldedaten explizit zuzuweisen. Jede Systemanmeldung wird katalogisiert, überwacht und geprüft.
Nicht verwalteter Lieferanten- und Auftragnehmerzugriff (Risiko 7) Hoch Rollenbasierte Zugriffskontrolle (RBAC) gewährt temporären, granularen Zugriff auf bestimmte Anmeldedaten. Administratoren widerrufen den Zugriff sofort in einem Schritt, wenn ein Projekt oder Vertrag endet.
Audit- und Compliance-Fehler (Risiko 6) Hoch Detaillierte Aktivitätsprotokolle und kontinuierliche Sicherheitsaudits liefern überprüfbare Nachweise für Passwortqualität und Zugriffskontrolle für SOC 2, ISO 27001 und PCI DSS Compliance.

Das Sicherheitsaudit-Dashboard von Passwork scannt jeden Tresor kontinuierlich. Schwache und veraltete Anmeldedaten werden automatisch angezeigt — keine manuelle Prüfung erforderlich. Administratoren erhalten eine konsolidierte Ansicht über alle Teams und Konten. Das ist die Sichtbarkeitsebene, die ein Credential-Audit im großen Maßstab funktionieren lässt.

Rollenbasierte Zugriffskontrolle (RBAC) bedeutet, dass Passwörter über den Tresor geteilt werden, nicht über Chat-Nachrichten oder E-Mail-Threads. Wenn ein Teammitglied einem Projekt beitritt, erhält es automatisch Zugriff auf die relevanten Anmeldedaten. Wenn es geht, wird der Zugriff in einem Schritt widerrufen. Kein Suchen danach, auf welche freigegebenen Ordner es noch Zugriff hat.

Für Organisationen mit strengen Anforderungen an Datenresidenz oder Compliance ist Passwork als Self-Hosted-Deployment verfügbar — alles läuft auf Infrastruktur, die Sie kontrollieren, ohne Abhängigkeit von einem externen Anbieter. Teams, die eine schnellere Bereitstellung ohne Verwaltung eigener Server wünschen, können Passwork Cloud nutzen, das denselben Funktionsumfang ohne den Infrastrukturaufwand bietet.

Fazit

Fazit

Passwortwiederverwendung besteht fort, weil die Systeme um sie herum Wiederverwendung zum Weg des geringsten Widerstands machen. Wenn 70 % der in Datenlecks exponierten Benutzer zuvor exponierte Passwörter über mehrere Konten hinweg wiederverwenden, ist die Antwort kein stärkeres Memo über Hygiene — sondern die Beseitigung der Bedingungen, die Wiederverwendung notwendig erscheinen lassen.

Die 3-Säulen-Passwort-Verteidigungsstrategie gibt Ihrem Team einen praktischen Weg nach vorn. Zuerst Richtlinienänderungen, weil Audits gegen die falschen Regeln Zeitverschwendung sind. Dann das Audit, weil Sie nicht beheben können, was Sie nicht sehen. Dann der Tresor, weil Durchsetzung ohne Tools nur Dokumentation ist.

Der erste Monat wird eine lange Liste von wiederverwendeten und schwachen sichtbar gemachten Risiken der Passwortwiederverwendung aufdecken. Das ist kein Problem — das bedeutet, dass das Audit seine Aufgabe erfüllt. Führen Sie zuerst das Audit durch. Alles andere folgt aus dem, was es aufdeckt.

Stoppen Sie Passwortwiederverwendung, bevor sie zu einem Datenleck wird. Passwork gibt Ihrem Team volle Sichtbarkeit über den Zustand der Anmeldedaten und setzt sichere Freigabe in Ihrer gesamten Organisation durch — auf Infrastruktur, die Sie kontrollieren, oder in der Cloud. Starten Sie noch heute Ihre kostenlose Testversion

Häufig gestellte Fragen

Häufig gestellte Fragen

Ist Passwortwiederverwendung ein Problem, wenn das Passwort sehr stark ist?

Ja. Ein starkes Passwort, das in einem Datenleck exponiert wurde, ist für Angreifer sofort nutzbar — sie müssen es nicht knacken, sie haben es bereits im Klartext aus der Datenleck-Datenbank. Stärke zählt nur gegen Rateangriffe. Gegen eine gestohlene Anmeldedatenliste bietet ein 20-Zeichen-Passwort nicht mehr Schutz als ein 6-Zeichen-Passwort. Einzigartigkeit ist das, was zählt, nicht Komplexität.

Wie prüft man Passwortwiederverwendung in einem Unternehmen?

Verwenden Sie einen Enterprise-Passwort-Manager mit integriertem Sicherheitsaudit, der automatisch doppelte, schwache oder veraltete Anmeldedaten über alle Konten hinweg markiert. Manuelle Prüfungen skalieren nicht und übersehen Dienstkonten, gemeinsam genutzte Logins und Schatten-IT. Automatisiertes Scannen gibt Ihnen kontinuierliche Sichtbarkeit anstelle einer einmaligen Momentaufnahme.

Stoppt Zwei-Faktor-Authentifizierung Angriffe durch Passwortwiederverwendung?

Nicht vollständig. Angreifer können sowohl das Passwort als auch den aktiven Session-Token in Echtzeit abfangen und 2FA umgehen, nachdem es bereits bestanden wurde. Recorded Future stellte fest, dass 31 % der Malware-basierten Anmeldedaten im Jahr 2025 aktive Session-Cookies enthielten — was bedeutet, dass MFA konstruktionsbedingt umgangen wurde, nicht umgangen werden musste. 2FA ist eine wichtige Verteidigungsschicht, aber es hebt das durch wiederverwendete Passwörter geschaffene Risiko nicht auf.

Was ist eine Combolist?

Eine Combolist ist eine Datei, die Millionen von geleakten Benutzername-und-Passwort-Paaren enthält, die aus verschiedenen Datenlecks gesammelt und auf kriminellen Märkten verkauft werden. Angreifer verwenden diese Listen, um Anmeldedaten automatisch gegen Anmeldesysteme zu testen. Wenn Ihr Passwort in einer erscheint — aus irgendeinem Datenleck, irgendwo — ist jedes Konto, bei dem Sie es wiederverwendet haben, gefährdet.

Kann ein Sicherheitsaudit Passwortwiederverwendung markieren?

Ja. Auditoren, die SOC 2, ISO 27001 oder PCI DSS Compliance bewerten, suchen nach Nachweisen, dass Zugriffskontrollen ordnungsgemäß verwaltet werden. Weitverbreitete Passwortwiederverwendung wird als Kontrollversagen behandelt und führt in der Regel zu einer formellen Feststellung, die behoben werden muss, bevor Zertifizierung oder Attestierung erteilt wird.

Was ist der Unterschied zwischen Credential Stuffing und einem Brute-Force-Angriff?

Credential Stuffing verwendet bekannte, bereits gestohlene Benutzername/Passwort-Paare aus Datenleck-Datenbanken und testet sie gegen andere Dienste. Brute-Force-Angriffe versuchen, ein unbekanntes Passwort durch Generieren von Kombinationen zu erraten. Credential Stuffing ist schneller, günstiger und effektiver gegen wiederverwendete Passwörter — weil der Angreifer bereits die richtige Antwort hat und nur herausfindet, welche Schlösser sie öffnet.

Was sagt NIST zur Passwortrotation?

NIST SP 800-63B-4 (final, Juli 2025) rät von obligatorischer periodischer Rotation ab. Erzwungene Änderungen erzeugen vorhersehbare inkrementelle Muster — Password1 wird zu Password2 — ohne die Sicherheit zu verbessern. Der Standard empfiehlt Rotation nur bei Nachweis einer Kompromittierung und setzt eine Mindestlänge von 15 Zeichen für benutzerdefinierte Passwörter fest, die als einziger Authentifikator verwendet werden.

Shadow AI: The hidden threat costing enterprises $670K per breach
Shadow AI costs enterprises $670K extra per breach — and most of it traces back to credentials pasted into public LLMs. Learn what shadow AI actually looks like, why it's harder to stop than shadow IT, and how to govern it.
Passwork BlogAlex Muntyan
Password management for teams: The fix every SMB needs
Storing passwords in Slack and browsers exposes your business to breaches. Discover why personal tools fail teams, how to securely offboard departing employees in one click, and why the latest NIST guidelines recommend against forced password rotation.
Passwork BlogAlex Muntyan
Brute force attacks in 2026: Types, examples & how to prevent them
GPU clusters, AI-assisted wordlists, botnets of 2.8M devices. Brute force has scaled. This guide covers six attack variants, real-world cases from 2025, and a layered defense strategy your team can implement today.
Passwork BlogAlex Muntyan