World Password Day 2026: Acht Sicherheitsexperten über das Ende des Passwortzeitalters, KI-getriebene Angriffe und warum Passkeys kein Luxus mehr sind.
Am 7. Mai ist World Password Day. Eigentlich ein Anlass, um wieder einmal darauf hinzuweisen, dass Passwörter mindestens 16 Zeichen haben, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten sollten. Eigentlich. Denn acht Sicherheitsexperten aus der Branche sind sich in einem einig: Diese Botschaft greift 2026 ins Leere. Nicht weil sie falsch wäre – sondern weil Passwörter in der aktuellen Bedrohungslandschaft schlicht das falsche Werkzeug für die ihnen zugeschriebene Aufgabe sind.
Angreifer loggen sich ein, sie brechen nicht mehr ein
„Hacker brechen nicht mehr ein – sie loggen sich einfach ein.“ Patrick Fetter, Lead Sales Engineer und Cyber Security Evangelist bei Check Point Software, bringt die Lage auf den Punkt. Die Cyberbedrohungslandschaft hat sich zu einer industrialisierten Cybercrime-as-a-Service-Wirtschaft (CaaS) entwickelt, angetrieben von generativer KI. Ein 16-stelliges Passwort ist nutzlos, wenn eine Infostealer-Malware es direkt aus dem Browser-Cache extrahiert oder ein Mitarbeiter es unbedarft in einen unkontrollierten KI-Chatbot eingibt.
Wie real dieses Risiko ist, zeigen aktuelle Zahlen: Der Verizon Data Breach Investigations Report 2025 analysierte über 22.000 Sicherheitsvorfälle. Ergebnis: Gestohlene Zugangsdaten waren bei 22 Prozent aller bestätigten Verletzungen der erste Angriffsweg. Bei Angriffen auf Webanwendungen steigt dieser Anteil auf 88 Prozent. Rich Greene, Instructor beim SANS Institute, ergänzt: Ein IBM-X-Force-Report verzeichnete einen Anstieg von 84 Prozent bei Infostealer-Malware, verbreitet über ganz gewöhnliche Phishing-Mails. Das ist keine ausgeklügelte Exploit-Kunst. Das ist Massenware.
Das Darknet hat sich professionalisiert – und die Preise sind erschreckend niedrig
Was auf den kompromittierten Geräten gesammelt wird, landet schnell auf dem Markt. Das Darknet hat laut Fetter einen massiven Plattformwechsel erlebt: Während traditionelle Foren zunehmend der Glaubwürdigkeitspflege dienen, werden Käufer direkt in private Telegram-Kanäle und automatisierte Bots geleitet – für sofortige Transaktionen.
Die Preise sind ernüchternd: Ein gehackter Facebook-Account kostet rund 45 US-Dollar, ein Gmail-Zugang 60 bis 65 Dollar. Verifizierte Online-Banking-Zugänge mit hohem Guthaben erzielen Aufschläge bis 1.170 Dollar. Am teuersten ist der direkte Zugang zu Unternehmensnetzwerken über Initial Access Broker (IABs): Laut dem Initial Access Brokers Report von Rapid7 lagen Grundpreise bei rund 2.700 Dollar – administrativer Zugriff mit hohen Berechtigungen brachte über 113.000 Dollar.
Dazu kommt: Abonnements für Infostealer-Malware wie LummaC2 oder RedLine kosten zwischen 100 und 1.024 Dollar pro Monat. Damit ist es selbst für unerfahrene Cyberkriminelle günstiger denn je, Millionen von Passwörtern zu sammeln.
KI macht Phishing erschreckend effektiv
KI senkt nicht nur die Einstiegshürden, sie verbessert auch die Qualität der Angriffe dramatisch. Personalisierte, KI-gesteuerte Phishing-as-a-Service-Pakete werden auf Telegram für unter 100 Dollar im Monat angeboten. Das Ergebnis: KI-generierte Phishing-Mails erzielen laut einer Studie von Brightside AI Klickraten von bis zu 54 Prozent – gegenüber etwa 12 Prozent bei traditionellem Phishing. Der gängigste Trick bleibt die gefälschte IT-Anfrage zur Passwortzurücksetzung oder ein betrügerisches VPN-Portal, nun aber perfekt formuliert, frei von Tippfehlern und hochgradig zielgerichtet.
Tomer Bar, Associate Vice President of Security Research bei Semperis, erklärt den mathematischen Kern des Problems: Ein zehnstelliges Passwort klingt sicher – der gesamte Suchraum umfasst rund 5,4×10¹⁹ Kombinationen, ein Brute-Force-Angriff würde theoretisch 1.700 Jahre dauern. Doch Menschen erstellen keine wirklich zufälligen Passwörter. Sie greifen auf Muster zurück: Großbuchstabe vorne, Jahreszahl in der Mitte, Sonderzeichen am Ende. Erfahrene Angreifer nutzen genau diese Vorhersehbarkeit. Der effektive Suchraum schrumpft dadurch auf rund 100 Billionen Kombinationen – und mit einer High-End-GPU sind diese in Minuten durchprobiert.
Passkeys: Die Technologie ist da – die Hürden auch
Die gute Nachricht: Es gibt Alternativen. Der Begriff „World Password Day“ selbst ist zumindest semantisch unter Druck geraten. Die FIDO Alliance hat bewusst denselben Tag zum World Passkey Day erklärt. Alexander Summerer, Head of Authentication bei Swissbit, erklärt warum: Passkeys basieren auf asymmetrischer Kryptografie, sind von Haus aus Phishing-resistent – kryptografisch an eine spezifische Domain gebunden – und können auf gefälschten Seiten schlicht nicht verwendet werden.
Sven Kniest, VP Central & Eastern Europe bei Okta, ergänzt: Anmeldungen mit Passkeys sind durchschnittlich 20 Prozent schneller, und da kein Passwort mehr existiert, gibt es auch nichts, das gestohlen, über Keylogger mitgeschnitten oder per Brute Force geknackt werden könnte. Laut FIDO Alliance besitzen bereits 69 Prozent der Verbraucher mindestens einen Passkey. Google verzeichnet über 800 Millionen Passkey-Konten und 2,5 Milliarden Passkey-Anmeldungen. Das ist keine Zukunftsmusik mehr.
Und doch: Rich Greene vom SANS Institute mahnt zur Nüchternheit. Unternehmensumgebungen mit veralteter Infrastruktur, lokalem Active Directory, gemeinsam genutzten Arbeitsplätzen und älteren Geräten ohne TPM oder biometrische Hardware stehen vor echten Schwierigkeiten. Kontowiederherstellung, Delegierung von Anmeldedaten in großen Organisationen und plattformübergreifende Interoperabilität sind noch nicht vollständig gelöst. „Die Richtung stimmt, aber der Weg dorthin wird für viele Unternehmen chaotisch sein“, sagt Greene.
KI-Agenten als neue Identitäts-Herausforderung
Zu den klassischen Bedrohungen kommt eine völlig neue Dimension hinzu: Mark Molyneux, Field CTO bei Commvault, weist auf den „Tsunami von Identitäten“ hin, der durch KI-Agenten entsteht. McKinsey etwa meldete, dass die eigene Beratungseinheit von 40.000 auf 65.000 Einheiten gewachsen sei – die Differenz: 25.000 KI-Agenten in zwei Jahren. Jeder dieser Agenten benötigt eine verwaltete Identität, Zugriffsrechte, Credentials – und all das muss ebenso geschützt werden wie menschliche Konten.
Besonders gefährlich: Schatten-KI-Agenten, die von Fachabteilungen ohne Wissen der IT eingeführt werden und ungeprüfte Tools in zentrale Arbeitsabläufe integrieren. KI-Agenten können Passwörter kompromittieren und Berechtigungen eskalieren – eine klassische Zugriffsverwaltung reicht hier schlicht nicht mehr aus. Molyneux fordert: Backup, Recovery und Integritätssicherung müssen mit den Fähigkeiten der KI Schritt halten.
Was Unternehmen jetzt tun müssen
Die Empfehlungen der Experten konvergieren auf wenige klare Maßnahmen. Patrick Fetter nennt vier: passwortlose Authentifizierung und FIDO2 einsetzen; ein identitätsorientiertes Zero-Trust-Modell implementieren, das Endpoint Detection and Response (EDR) mit Identity Threat Detection and Response (ITDR) kombiniert; den KI-Browser-Vektor kontrollieren – klassische DLP-Tools versagen, wenn Mitarbeiter sensible Daten per Strg+V in ChatGPT einfügen; und das Darknet sowie Telegram kontinuierlich überwachen, um gehandelte Zugangsdaten abzufangen, bevor Initial Access Broker sie weiterverkaufen.
Praveen Das Haridas, Regional Technical Head EU bei ManageEngine, macht deutlich, dass das Thema weit über klassische Benutzerkonten hinausgeht. Passwörter stecken heute in administrativen Accounts, Servicekonten, Skripten, Anwendungen, DevOps-Prozessen und maschinellen Identitäten. Sensible Credentials müssen zentral verwaltet, sicher bereitgestellt, mit klaren Zugriffsrechten versehen, maximal verschlüsselt und vollständig auditierbar sein.
Marcel Weber, Territory Manager bei Object First, bringt es auf eine einfache Formel: „Passwörter sind keine sichere Authentifizierungsmethode mehr.“ Der effektivste Weg – Passwortmanager kombiniert mit MFA und eingerichteten Wiederherstellungskonten – ist das Mindestmaß. Entscheidender aber: Kritische Daten müssen in einem absolut unveränderlichen Backup gesichert sein. 89 Prozent der IT-Fachleute geben an, dass KI-gestützte Angriffe sie beunruhigen. Die wichtigste Abwehrmaßnahme, die sie selbst nennen: erhöhte Sicherheit der Backup-Daten.
Martin Zugec, Technical Solutions Director bei Bitdefender, zieht das schärfste Fazit: „Der World Password Day sollte umbenannt werden – in Welt-Passwort-Ersetztag.“ Passwörter seien nicht an sorglosem Nutzerverhalten gescheitert, sondern weil sie strukturell das falsche Werkzeug sind. Die Anforderung, Dutzende komplexe Passwörter zu merken und ständig zu wechseln, überfordere die kognitiven Fähigkeiten von Menschen schlicht. Das Ergebnis: „Password1!“ auf einem Post-it am Bildschirm.
Fazit: Das Passwort ist nicht tot – aber es ist nicht mehr ausreichend. Jeder Passkey, der ein Passwort ersetzt, beseitigt eine Angriffsfläche. Sicherheitsteams sollten weniger Passwörter einsetzen, überall phishing-resistente MFA implementieren und sich auf den Weg zur Passwortlosigkeit machen – so pragmatisch wie möglich, so schnell wie verantwortbar.
Carolina Heyder ist Business Analyst und Moderatorin. Sie verfügt über langjährige Expertise über den deutschen und internationalen IT Markt.. Sie verfügt über langjährige Erfahrung in renommierten Verlagshäusern wie WEKA-Fachmedien, Springer und Aspencore. Ob Text fürs Web oder Print, Audio oder Video. Am Laptop, vor dem Mikrofon oder der Kamera. Ob in Deutsch, Englisch oder Spanisch, Carolina Heyder ist in der IT-Welt Zuhause. Ihre Themenschwerpunkte sind Cybersecurity, Digitale Transformation, Nachhaltigkeit, Storage u. a.
Carolina Heyder is Editor-in-Chief of Security Storage and Channel Germany as well as a business analyst and presenter. She has many years of experience at renowned publishing houses such as WEKA-Fachmedien, Springer and Aspencore. Whether text for the web or print, audio or video. On the laptop, in front of the microphone or the camera. Whether in German, English or Spanish, Carolina Heyder is at home in the IT world. Her main topics are cybersecurity, digital transformation, sustainability, storage and others.
Kontakt – Contact via Mail: carolina.heyder@security-storage-und-channel-germany.com