Warum Passwörter allein nicht mehr reichen

Die Zeiten, in denen ein starkes Passwort als ausreichender Schutz galt, sind endgültig vorbei. Aktuelle Untersuchungen zeigen, dass kompromittierte Zugangsdaten 2026 der mit Abstand häufigste Einstiegspunkt für Cyberangriffe auf Unternehmen sind. Angreifer müssen keine aufwendigen Exploits entwickeln oder Zero-Day-Schwachstellen finden. Sie melden sich einfach an - mit echten Benutzernamen und Passwörtern, die aus Datenlecks, Phishing-Kampagnen oder durch Infostealer-Malware erbeutet wurden. Für kleine und mittlere Unternehmen ist diese Entwicklung besonders brisant, denn ihnen fehlen häufig die Ressourcen und das Fachwissen, um ein professionelles Identity & Access Management aufzubauen. Dabei gibt es durchaus praktikable Lösungen, die weder ein eigenes Security-Team noch ein großes Budget erfordern. Dieser Artikel zeigt, welche Bedrohungen rund um digitale Identitäten aktuell bestehen und welche konkreten Schutzmaßnahmen KMU sofort umsetzen können.

Warum Identität zur wichtigsten Angriffsfläche geworden ist

Die digitale Transformation hat dazu geführt, dass Unternehmen jeder Größe heute Dutzende Cloud-Dienste, SaaS-Anwendungen und interne Systeme nutzen. Jeder dieser Dienste erfordert Zugangsdaten, und jedes einzelne Konto ist ein potenzielles Einfallstor. Was früher die Firewall war, ist heute die Identität: die zentrale Verteidigungslinie zwischen Angreifern und sensiblen Unternehmensdaten. Laut dem BSI werden KMU zunehmend gezielt angegriffen, weil Kriminelle wissen, dass dort die Schutzmaßnahmen oft schwächer ausfallen als bei Großkonzernen. Die Angriffsmethoden haben sich dabei grundlegend verändert. Statt aufwendiger technischer Angriffe setzen Kriminelle auf den einfachsten Weg: sie nutzen bereits gestohlene oder erratene Zugangsdaten. Ein einziger kompromittierter Account reicht aus, um sich durch das Netzwerk zu bewegen, Daten abzugreifen und im schlimmsten Fall Ransomware zu installieren.

Die fünf größten Bedrohungen für digitale Identitäten

Die Bedrohungslandschaft rund um digitale Identitäten ist vielfältig und entwickelt sich ständig weiter. Fünf Angriffsarten stechen aktuell besonders hervor, weil sie erschreckend effektiv funktionieren und KMU regelmäßig treffen. Credential Stuffing steht dabei an erster Stelle: Angreifer nehmen riesige Datenbanken mit gestohlenen Benutzername-Passwort-Kombinationen aus früheren Datenlecks und testen diese automatisiert bei Hunderten von Diensten. Weil viele Menschen ihre Passwörter mehrfach verwenden, funktioniert das erschreckend oft. Ein Datenleck bei einem Online-Shop kann so den Zugang zum geschäftlichen Microsoft-365-Konto öffnen. Laut Security Boulevard verstehen die meisten Nutzer zwar, dass Passwort-Wiederverwendung riskant ist, aber nur wenige begreifen, wie direkt dieser Zusammenhang bei automatisierten Angriffen ausgenutzt wird. Die zweite große Bedrohung bildet Infostealer-Malware. Diese Schadprogramme nisten sich unbemerkt auf Rechnern ein und kopieren systematisch alle gespeicherten Zugangsdaten aus Browsern, E-Mail-Programmen und anderen Anwendungen. Es spielt keine Rolle, wie komplex das Passwort ist, wenn eine Schadsoftware es direkt aus dem Speicher liest. Besonders tückisch: Infostealer werden häufig über scheinbar harmlose Downloads, manipulierte Werbeanzeigen oder Phishing-Mails verbreitet und arbeiten im Hintergrund, ohne dass der Nutzer etwas bemerkt.

MFA-Fatigue und Phishing-Proxies

Selbst Unternehmen, die bereits eine Multi-Faktor-Authentifizierung einsetzen, sind nicht automatisch sicher. Bei sogenannten MFA-Fatigue-Angriffen bombardieren Angreifer das Opfer mit Push-Benachrichtigungen zur Authentifizierung. Mitten in der Nacht oder während eines stressigen Arbeitstages bestätigt der genervte Nutzer irgendwann die Anfrage, nur damit sie aufhört. Noch ausgefeilter sind Phishing-Proxies, auch Adversary-in-the-Middle genannt, die eine legitime Anmeldeseite in Echtzeit spiegeln und dabei sowohl Passwort als auch MFA-Token abfangen. Die fünfte Bedrohung bildet Session Hijacking, bei dem Angreifer aktive Sitzungscookies stehlen und damit einen bereits authentifizierten Zugang übernehmen, ganz ohne Passwort oder zweiten Faktor. Für eine grundlegende Absicherung der E-Mail-Kommunikation ist es daher wichtig, diese Angriffsformen zu kennen und die eigenen Mitarbeiter entsprechend zu schulen.

Was KMU anders machen müssen als Großunternehmen

Der entscheidende Unterschied zwischen KMU und Großunternehmen liegt nicht in der Bedrohungslage, denn Angreifer machen keinen Unterschied nach Unternehmensgröße. Der Unterschied liegt in den verfügbaren Ressourcen. Ein Konzern hat ein dediziertes Identity-Team, ein Security Operations Center und Budgets für Enterprise-Lösungen. Ein mittelständischer Betrieb mit 20 Mitarbeitern hat nichts davon, wird aber genauso angegriffen. Das bedeutet nicht, dass wirksamer Schutz unmöglich ist, aber die Strategie muss eine andere sein. Statt komplexer Enterprise-IAM-Plattformen brauchen KMU pragmatische Lösungen, die mit wenig Aufwand einen großen Sicherheitsgewinn bringen. Die gute Nachricht: Gerade im Bereich Identitätsschutz gibt es inzwischen Werkzeuge, die speziell für kleinere Organisationen konzipiert sind. Wer seine Cybersicherheits-Checkliste um den Identitätsschutz ergänzt, macht einen wichtigen Schritt in die richtige Richtung.

Passwort-Manager als Fundament

Die wichtigste Einzelmaßnahme, die ein KMU sofort umsetzen kann, ist die unternehmensweite Einführung eines Passwort-Managers. Werkzeuge wie Bitwarden (Open Source, ab 4 Dollar pro Nutzer und Monat) oder 1Password Business eliminieren das Kernproblem der Passwort-Wiederverwendung, indem sie für jeden Dienst automatisch ein einzigartiges, komplexes Passwort generieren und sicher speichern. Der Nutzer muss sich nur noch ein einziges Master-Passwort merken. Entscheidend ist dabei, dass der Passwort-Manager nicht optional angeboten, sondern als verbindlicher Standard eingeführt wird. Das bedeutet: Schulung für alle Mitarbeiter, klare Richtlinien zur Nutzung und regelmäßige Überprüfung, ob die Software tatsächlich verwendet wird. Ein Passwort-Manager allein verhindert zwar keine Infostealer-Angriffe, aber er beseitigt das größte Einfallstor, nämlich die millionenfache Wiederverwendung identischer Zugangsdaten. Wer nach kostengünstigen Security-Tools sucht, findet in Bitwarden eine exzellente Option.

Phishing-resistente Authentifizierung mit FIDO2

Der nächste Schritt nach dem Passwort-Manager ist die Einführung einer phishing-resistenten Multi-Faktor-Authentifizierung. Klassische MFA-Methoden wie SMS-Codes oder TOTP-Apps bieten einen gewissen Schutz, sind aber anfällig für die oben beschriebenen Angriffsmethoden. Die FIDO2-Allianz hat mit Passkeys einen Standard geschaffen, der Phishing technisch unmöglich macht, weil die Authentifizierung kryptografisch an die echte Website gebunden ist. Eine gefälschte Anmeldeseite kann den Passkey schlicht nicht abfragen. Für KMU sind Passkeys besonders attraktiv, weil sie bereits in allen gängigen Betriebssystemen und Browsern integriert sind und keine zusätzliche Hardware erfordern. Alternativ bieten physische Sicherheitsschlüssel wie der YubiKey einen noch robusteren Schutz, insbesondere für privilegierte Accounts wie Administratoren oder Geschäftsführung. Wer tiefer in das Thema einsteigen möchte, findet in unserem Artikel über Passkeys und FIDO2 eine ausführliche Anleitung zur Umsetzung.

Kompromittierte Zugangsdaten erkennen und reagieren

Ein oft übersehener Aspekt des Identitätsschutzes ist die proaktive Überwachung: Werden Zugangsdaten der eigenen Mitarbeiter in Datenlecks gefunden? Dienste wie Have I Been Pwned erlauben eine kostenlose Prüfung einzelner E-Mail-Adressen, während Enzoic für Active Directory automatisch prüft, ob Passwörter im Unternehmensverzeichnis bereits in bekannten Datenlecks aufgetaucht sind. Für KMU, die Microsoft 365 einsetzen, bietet auch der Azure AD Identity Protection eine ähnliche Funktion. Das Ziel ist simpel: Wenn ein Passwort kompromittiert ist, muss es sofort geändert werden, noch bevor ein Angreifer es nutzen kann. Dieser Ansatz ergänzt den Passwort-Manager perfekt, denn selbst ein einzigartiges Passwort kann durch ein Datenleck beim Dienstanbieter selbst betroffen sein. Die Integration solcher Prüfungen in die regulären IT-Prozesse ist ein wesentlicher Bestandteil eines funktionierenden Schwachstellenmanagements.

Zugriffskontrolle: Wer darf was und warum?

Neben der Absicherung der Authentifizierung spielt die Autorisierung eine ebenso wichtige Rolle. Das Prinzip der minimalen Rechte, auch Least Privilege genannt, besagt, dass jeder Mitarbeiter nur die Zugriffsrechte erhalten sollte, die er für seine aktuelle Aufgabe tatsächlich benötigt. In der Praxis sieht das bei vielen KMU anders aus: Alle haben Adminrechte, geteilte Accounts werden für bestimmte Dienste verwendet, und wenn ein Mitarbeiter das Unternehmen verlässt, bleiben seine Zugänge oft wochenlang aktiv. Ein regelmäßiger Access Review, also die systematische Überprüfung aller vergebenen Zugriffsrechte, kostet wenig Zeit und bringt viel Sicherheit. Einmal pro Quartal sollte sich die Geschäftsführung gemeinsam mit der IT fragen: Wer hat Zugriff auf welche Systeme, und ist das noch gerechtfertigt? Besonders kritisch sind dabei Drittanbieter und externe Dienstleister, deren Zugänge oft eingerichtet und dann vergessen werden. Dieser Aspekt ist auch für die DSGVO-Compliance relevant, denn der Zugriff auf personenbezogene Daten muss dokumentiert und auf das Notwendige beschränkt sein.

Offboarding als Sicherheitsprozess

Ein Bereich, den viele KMU dramatisch unterschätzen, ist das Offboarding von Mitarbeitern. Wenn jemand das Unternehmen verlässt, müssen sämtliche Zugänge am selben Tag deaktiviert werden - nicht nächste Woche, nicht wenn die IT mal Zeit hat. Ein ehemaliger Mitarbeiter mit aktivem VPN-Zugang, Zugriff auf Cloud-Speicher und Kenntnis geteilter Passwörter ist ein erhebliches Sicherheitsrisiko, unabhängig davon, ob die Trennung im Guten oder im Schlechten erfolgte. Die Lösung ist eine Offboarding-Checkliste, die systematisch alle Systeme und Zugänge auflistet, die bei einem Austritt gesperrt werden müssen. Single Sign-On Lösungen vereinfachen diesen Prozess erheblich, weil die Deaktivierung eines zentralen Kontos automatisch den Zugang zu allen verknüpften Diensten kappt. Wer im Ernstfall schnell reagieren muss, profitiert davon, einen Incident-Response-Plan zu haben, der auch kompromittierte Accounts abdeckt.

Mitarbeiter als erste Verteidigungslinie

Technik allein reicht nicht. Die beste Multi-Faktor-Authentifizierung hilft wenig, wenn ein Mitarbeiter seine Zugangsdaten freiwillig auf einer Phishing-Seite eingibt oder einen MFA-Push aus Gewohnheit bestätigt. Security-Awareness-Training muss über die üblichen Standardphrasen hinausgehen und konkrete Szenarien durchspielen: Wie sieht eine gefälschte Microsoft-Anmeldeseite aus? Was tun, wenn unerwartet eine MFA-Anfrage erscheint? Warum darf man Zugangsdaten niemals per E-Mail oder Chat teilen? Kurze, regelmäßige Schulungen, etwa 15 Minuten pro Monat, sind dabei effektiver als ein jährlicher Pflichtworkshop, den niemand ernst nimmt. Simulierte Phishing-Tests helfen zusätzlich, die Aufmerksamkeit hochzuhalten. Für KMU, die auch im Homeoffice arbeiten, gelten dabei besondere Anforderungen an die Datensicherheit, denn die Trennung von privater und geschäftlicher Nutzung ist dort besonders schwer durchzusetzen.

Sofort umsetzbare Maßnahmen: Die Identitätsschutz-Checkliste

Wer nach der Lektüre dieses Artikels konkret handeln möchte, kann mit diesen Schritten sofort beginnen: Erstens die Einführung eines Passwort-Managers für alle Mitarbeiter, verbunden mit der Anweisung, für jeden Dienst ein eigenes Passwort zu verwenden. Zweitens die Aktivierung von Multi-Faktor-Authentifizierung auf allen geschäftskritischen Systemen, idealerweise mit FIDO2-Passkeys. Drittens die Prüfung aller geschäftlichen E-Mail-Adressen auf Have I Been Pwned und die sofortige Änderung betroffener Passwörter. Viertens ein Access Review aller IT-Systeme mit der Frage, wer Zugriff hat und ob das noch nötig ist. Fünftens die Erstellung einer Offboarding-Checkliste für den Austritt von Mitarbeitern. Und sechstens die Einführung regelmäßiger kurzer Security-Schulungen mit Fokus auf Identitätsdiebstahl und Phishing. Diese sechs Punkte erfordern kein großes Budget und kein spezialisiertes Team. Sie bieten aber einen massiven Sicherheitsgewinn, der den Unterschied zwischen einem erfolgreichen Angriff und einem abgewehrten Versuch ausmachen kann.

Identitätsschutz als Teil einer ganzheitlichen Sicherheitsstrategie

Identitätsschutz ist kein isoliertes Thema, sondern ein zentraler Baustein einer umfassenden Security-Strategie. Er greift in andere Bereiche wie Zero Trust, Netzwerksegmentierung und Endpoint-Security ein und muss entsprechend in den Gesamtkontext eingebettet werden. Wer bei der Umsetzung Unterstützung braucht, ob bei der Auswahl der richtigen Tools, der Konfiguration von MFA oder der Entwicklung einer Identity-Strategie, sollte nicht zögern, professionelle Hilfe in Anspruch zu nehmen. Eine IT-Sicherheitsberatung kann den Einstieg erheblich beschleunigen und dafür sorgen, dass die gewählten Maßnahmen auch tatsächlich zum Unternehmen passen. Die Investition in den Schutz digitaler Identitäten zahlt sich aus, denn ein einziger kompromittierter Account kann Schäden verursachen, die ein Vielfaches der Präventionskosten betragen. Die Frage ist nicht, ob Ihr Unternehmen angegriffen wird, sondern ob Sie vorbereitet sind, wenn es passiert.