Warum starke Passwörter heute nicht mehr ausreichen

Der klassische Passwortschutz steht vor dem Aus. Während Unternehmen am World Password Day weiterhin auf lange, komplexe Passwörter setzen, haben Cyberkriminelle ihre Methoden längst modernisiert – mit KI, automatisierten Angriffen und professionellen Cybercrime-Plattformen.

Experten warnen: Nicht schwache Passwörter sind heute das größte Problem, sondern kompromittierte Identitäten, KI-Phishing und gestohlene Zugangsdaten aus Browsern und Chatbots.

Die jahrzehntelange Empfehlung „mindestens 16 Zeichen plus Sonderzeichen“ verliert angesichts moderner Cyberangriffe zunehmend an Bedeutung. Denn selbst das sicherste Passwort schützt nicht mehr, wenn Infostealer-Malware Zugangsdaten direkt aus dem Browser-Cache ausliest oder Mitarbeiter sensible Informationen unbewusst in KI-Tools eingeben.

„Hacker brechen nicht mehr ein – sie loggen sich einfach ein“, erklärt Patrick Fetter, Lead Sales Engineer und Cyber Security Evangelist bei Check Point Software . Die Cyberbedrohungslandschaft habe sich innerhalb weniger Jahre zu einer hochprofessionellen „Cybercrime-as-a-Service“-Industrie entwickelt, die massiv von generativer KI profitiert.

KI verändert das Geschäft im Darknet

Besonders deutlich zeigt sich dieser Wandel im Darknet. Klassische Hackerforen verlieren zunehmend an Bedeutung. Stattdessen verlagern Cyberkriminelle ihre Geschäfte auf geschlossene Telegram-Kanäle und automatisierte Bots. Gestohlene Daten lassen sich dadurch schneller denn je verkaufen und monetarisieren.

Der aktuelle „Dark Web Price Index 2025/2026“ von Privacy Affairs und DeepStrike verdeutlicht den enormen Marktwert digitaler Identitäten:

• Gehackte Social-Media-Accounts wie Facebook werden bereits für rund 45 US-Dollar gehandelt.
• Gmail-Konten erzielen durchschnittlich 60 bis 65 US-Dollar.
• Kreditkartendaten mit CVV kosten zwischen 10 und 40 US-Dollar.
• Besonders lukrativ sind verifizierte Online-Banking- und Krypto-Zugänge mit hohen Guthaben – hier liegen die Preise bei mehreren hundert bis über 1.000 US-Dollar.
• Noch profitabler ist der Handel mit Unternehmenszugängen: Laut Rapid7 kosten privilegierte Zugänge zu Firmennetzwerken teilweise über 113.000 US-Dollar.

Gleichzeitig sinken die Einstiegshürden für Angreifer drastisch. Hochentwickelte Infostealer-Malware wie LummaC2 oder RedLine ist inzwischen bereits als monatliches Abonnement erhältlich – teilweise für unter 100 US-Dollar.

Phishing 2.0: KI macht Cyberangriffe überzeugender denn je

Besonders gefährlich ist der Einsatz generativer KI im Bereich Social Engineering. Cyberkriminelle nutzen KI inzwischen, um täuschend echte Phishing-Mails, gefälschte VPN-Portale oder Passwort-Reset-Anfragen zu erstellen.

Fehlerhafte Grammatik oder auffällige Schreibweisen gehören damit der Vergangenheit an. Stattdessen entstehen perfekt formulierte, personalisierte Nachrichten, die gezielt auf einzelne Mitarbeiter zugeschnitten sind.

Laut einer Studie von Brightside AI erreichen KI-generierte Phishing-Mails inzwischen Klickraten von bis zu 54 Prozent – traditionelle Phishing-Kampagnen lagen bislang bei etwa 12 Prozent.

Deepfakes und KI-Stimmklone erhöhen das Risiko zusätzlich

Die Bedrohung endet längst nicht mehr bei Textnachrichten. Deepfake-Technologien und KI-basierte Stimmenklone entwickeln sich rasant weiter. Bereits wenige Sekunden Audiomaterial reichen heute aus, um täuschend echte Stimmen zu erzeugen. Besonders Finanzabteilungen und Führungskräfte geraten dadurch verstärkt ins Visier. Cyberkriminelle geben sich als CEOs, IT-Leiter oder HR-Verantwortliche aus, um Mitarbeiter zur Herausgabe sensibler Zugangsdaten oder zu Überweisungen zu bewegen. Laut dem „Identity Fraud Report 2024“ von Onfido ist die Zahl der Deepfake-basierten Betrugsversuche innerhalb eines Jahres um 3.000 Prozent gestiegen.

Diese vier Sicherheitsmaßnahmen werden jetzt entscheidend

Nach Einschätzung von Check Point Software müssen Unternehmen ihre Sicherheitsstrategien dringend modernisieren. Besonders vier Maßnahmen gelten künftig als entscheidend:

1. Passwortlose Authentifizierung und FIDO2-Passkeys

Passwörter allein reichen nicht mehr aus. Unternehmen sollten verstärkt auf FIDO2-basierte Passkeys und passwortlose Authentifizierung setzen, um Phishing- und Infostealer-Angriffe wirksam zu verhindern.

2. Identity-First Zero Trust etablieren

Sicherheitsverantwortliche sollten jeden Login-Versuch grundsätzlich kritisch bewerten. Die Kombination aus Endpoint Detection and Response (EDR) sowie Identity Threat Detection and Response (ITDR) hilft dabei, verdächtige Aktivitäten frühzeitig zu erkennen.

3. KI-Browser-Risiken kontrollieren

Mitarbeiter kopieren zunehmend vertrauliche Inhalte direkt in GenAI-Tools wie Chatbots. Klassische DLP-Lösungen reichen dafür nicht mehr aus. Unternehmen benötigen Browser-Sicherheitslösungen, die den Datenaustausch mit KI-Anwendungen überwachen und kontrollieren.

4. Dark Web und Telegram kontinuierlich überwachen

Wer erst nach einem Sicherheitsvorfall reagiert, handelt zu spät. Moderne Threat-Intelligence-Lösungen müssen kompromittierte Zugangsdaten frühzeitig identifizieren – bevor sie von Initial Access Brokers weiterverkauft werden.

Passwörter galten lange als Fundament digitaler Sicherheit. Doch im Zeitalter von KI, automatisierten Cyberangriffen und professionellen Hacker-Marktplätzen werden sie zunehmend zur Schwachstelle.

Die Zukunft der Cybersicherheit liegt deshalb nicht mehr nur in der Absicherung einzelner Zugangsdaten, sondern in der kontinuierlichen Überprüfung von Identitäten, Verhalten und Zugriffsmustern.