Artikel

Passwortangriffe: Arten und wie Sie sie verhindern können

Gestohlene, schwache und wiederverwendete Passwörter sind die häufigste Ursache für hackingbedingte Datenschutzverletzungen – und ein bewährter Einstiegspunkt für den Zugriff auf IT-Ressourcen von Unternehmen. Da im Dark Web Milliarden von Zugangsdaten verfügbar sind, müssen Cyberkriminelle kaum Aufwand betreiben, um kompromittierte Passwörter zu finden.

Angreifer suchen den einfachsten Zugang, um ihren Return on Investment zu maximieren. Eine verbesserte Passwortsicherheit im Unternehmen erhöht die Hürden, die sie überwinden müssen.

Passwortangriffe erfolgen auf unterschiedliche Weise – ebenso vielfältig sind die Maßnahmen, mit denen sich das Unternehmensrisiko reduzieren lässt. Wer die verschiedenen Arten von Passwortangriffen kennt, schafft die Grundlage für Sicherheitsprozesse und -systeme, die Angriffe effizient und wirksam verhindern und abwehren.

Passwortangriffe verstehen

Ein Passwortangriff ist eine Cyberattacke, die darauf abzielt, sich unbefugt Zugriff auf Systeme, Netzwerke oder Konten zu verschaffen, indem schwache oder kompromittierte Passwörter ausgenutzt werden. Angreifer setzen dafür unterschiedliche Methoden ein, um Passwörter zu erlangen – häufig als Teil größerer Kampagnen, um in Systeme einzudringen oder Berechtigungen auszuweiten.

Arten von Passwortangriffen

Passwortangriffe lassen sich in mehrere übergeordnete Kategorien einteilen, basierend auf den eingesetzten Taktiken und der jeweiligen Art des Angriffs. Zu den wichtigsten Arten zählen:

  • Credential-Reuse-Angriffe nutzen Anmeldedaten aus früheren Datenschutzverletzungen, indem bekannte Kombinationen aus Benutzername und Passwort bei mehreren Diensten ausprobiert werden (Credential Stuffing).
  • Angriffe durch exhaustive Suche zielen darauf ab, Passwörter systematisch zu erraten: durch das Ausprobieren aller möglichen Kombinationen (Brute Force) oder mithilfe vorab erstellter Listen gängiger Passwörter (Dictionary Attacks).
  • Netzwerkabfangangriffe erfassen Passwörter während der Übertragung über Netzwerke (Man-in-the-Middle-Angriffe, Packet Sniffing, DNS Spoofing).
  • Offline-Cracking-Angriffe richten sich gegen Passwort-Hashes oder verschlüsselte Passwortdatenbanken aus kompromittierten Systemen (Rainbow-Table-Angriffe).
  • Passwort-Raten-Angriffe basieren darauf, Passwörter anhand persönlicher Informationen oder vorhersehbarer Muster zu erraten (Password Spraying).
  • Social-Engineering-Angriffe manipulieren menschliches Verhalten und nutzen Schwachstellen von Benutzern aus, um Passwörter zu erlangen (Phishing, Identitätsvortäuschung).
  • Überwachungsangriffe umfassen die Beobachtung von Benutzereingaben oder -verhalten, um Anmeldedaten abzugreifen (Keylogging, Shoulder Surfing, versteckte Kameras).

Häufige Arten von Passwortangriffen

Passwort-Hacking umfasst verschiedene Techniken, mit denen Cyberkriminelle unbefugten Zugriff auf geschützte Systeme erlangen. Diese Methoden verdeutlichen die anhaltende Bedrohungslage und machen robuste Cybersecurity-Maßnahmen sowie kontinuierliche Wachsamkeit erforderlich. Wer diese zentralen Angriffsarten kennt, kann gezielte Strategien entwickeln, um die Abwehr gegen unautorisierte Zugriffsversuche zu stärken.

Brute-Force-Angriff

Ein Brute-Force-Angriff ist eine Form des Passwortangriffs, bei der Angreifer mit zahlreichen Versuch-und-Irrtum-Versuchen Zugriff zu erlangen versuchen. Es handelt sich um eine einfache Angriffsmethode, die häufig automatisiert erfolgt – etwa mithilfe von Software, die zahlreiche Buchstaben-Zahlen-Kombinationen durchprobiert.

Das Durchspielen einer sehr großen Anzahl möglicher Kombinationen ist zeitaufwendig, deshalb suchen Angreifer nach effizienteren Vorgehensweisen. Um eine Liste potenzieller Kombinationen zu erzeugen, beginnen sie häufig mit naheliegenden Optionen wie gängigen oder kurzen Passwörtern. Wenn ihnen zudem die Passwortanforderungen eines bestimmten Anbieters bekannt sind, etwa die akzeptierte Mindestlänge, werden diese Kriterien ebenfalls berücksichtigt.

Keylogger-Angriff

Ein Keylogger ist eine Art Spyware, die die Aktivitäten eines Benutzers aufzeichnet, indem sie Tastatureingaben protokolliert. Cyberkriminelle nutzen Keylogger, um unterschiedliche vertrauliche Informationen zu stehlen – von Passwörtern bis hin zu Kreditkartennummern. Bei einem Passwortangriff erfasst der Keylogger nicht nur Benutzername und Passwort, sondern auch die Website oder Anwendung, bei der diese Zugangsdaten verwendet werden.

Keylogger gibt es als Hardware- und als Software-Variante. Da das Platzieren von Hardware auf einem Gerät erheblichen Aufwand bedeutet, installieren Angreifer Malware eher, indem sie Benutzer dazu verleiten, auf einen schädlichen Link zu klicken oder einen infizierten Anhang zu öffnen. Manche Keylogger werden außerdem zusammen mit Software ausgeliefert, etwa vermeintlich kostenlosen Anwendungen von Drittanbieter-Websites.

Wörterbuchangriff

Als Form eines Brute-Force-Passwortangriffs basiert ein Wörterbuchangriff auf einer Liste häufig verwendeter Wörter und Ausdrücke sowie gängiger Passwörter. Um nicht eine lange Liste möglicher Passwörter durcharbeiten zu müssen, reduzieren Angreifer diese Liste auf sogenannte Wörterbuchwörter.

Diese Wörter beschränken sich nicht auf Begriffe aus einem Wörterbuch. Dazu können auch verbreitete Namen von Haustieren, Filmfiguren und Personen zählen. Hacker nutzen außerdem Varianten, indem sie Buchstaben durch Zahlen und Sonderzeichen ersetzen, etwa den Buchstaben O durch die Zahl 0.

Credential Stuffing

Credential-Stuffing-Angriffe ähneln Brute-Force-Attacken: Angreifer versuchen per Trial-and-Error, Zugriff zu erlangen. Statt Passwörter zu erraten, werden jedoch gestohlene Zugangsdaten eingesetzt. Die Methode basiert auf der Annahme, dass viele Personen Passwörter für mehrere Konten auf unterschiedlichen Plattformen wiederverwenden.

Im Laufe der Jahre haben zahlreiche Sicherheitsvorfälle bei Websites und cloudbasierten Services zu einer enormen Menge kompromittierter Zugangsdaten geführt. Bereits der Datenabfluss bei einem einzigen großen Anbieter kann Millionen betroffener Konten liefern, die Cyberkriminelle anschließend im Dark Web verkaufen, vermieten oder weitergeben.

Angreifer nutzen Credential Stuffing, um zu prüfen, welche gestohlenen Passwörter noch gültig sind oder auch auf anderen Plattformen funktionieren. Wie bei Brute-Force-Angriffen sorgen automatisierte Tools dafür, dass diese Angriffe besonders erfolgreich sind.

Man-in-the-Middle

Bei einem Man-in-the-Middle-Angriff sind drei Parteien beteiligt: der Benutzer, der Angreifer und die Drittpartei, mit der die Person kommunizieren möchte. Bei einem Passwortangriff geben sich Cyberkriminelle in der Regel als legitime Drittpartei aus, häufig über eine Phishing-E-Mail.

Die E-Mail wirkt authentisch und kann die E-Mail-Adresse der Drittpartei fälschen (Spoofing), um selbst erfahrenere Benutzer in die Irre zu führen. Angreifer versuchen den Empfänger dazu zu bringen, auf einen Link zu klicken, der auf eine gefälschte, aber täuschend echt wirkende Website führt, und greifen die Zugangsdaten ab, sobald sich der Benutzer anmeldet.

Abfangen von Datenverkehr

Beim Abfangen von Datenverkehr – einer Variante des Man-in-the-Middle-Angriffs – hören Bedrohungsakteure den Netzwerkverkehr ab, um Daten zu überwachen und abzugreifen. Häufig geschieht das über ungesicherte WLAN-Verbindungen oder Verbindungen ohne Verschlüsselung, etwa über HTTP.

Selbst SSL-Datenverkehr ist in diesem Szenario angreifbar. Ein Hacker kann beispielsweise einen Man-in-the-Middle-Angriff im Rahmen eines sogenannten SSL Hijacking durchführen. Wenn jemand eine Verbindung zu einer sicheren Website aufbaut, schaltet sich der Angreifer zwischen Benutzer und Ziel und fängt sämtliche übertragenen Informationen ab, etwa Passwörter.

Phishing

Phishing ist ein vielseitiger Angriffsansatz. Cyberkriminelle setzen unterschiedliche Social-Engineering -Methoden ein – von Phishing-E-Mails für Man-in-the-Middle-Angriffe bis hin zur Kombination aus Spear Phishing und Vishing (mehrstufiger Passwortangriff mit Sprachanruf und Link zu einer bösartigen Website). Letzteres wurde bereits bei Angriffen auf VPN-Zugangsdaten von Mitarbeitenden eingesetzt.

Phishing-Angriffe erzeugen gezielt Zeitdruck. Deshalb wird in E-Mails häufig mit einer angeblichen Kontobelastung, einem auslaufenden Service, einem IT- oder HR-Thema oder einem ähnlichen Vorwand gearbeitet, der die Aufmerksamkeit der betroffenen Person auf sich ziehen soll.

Password Spraying

Password Spraying ist eine weitere Form des Brute-Force-Angriffs: Dabei wird eine große Anzahl gängiger Passwörter gegen eine kleine Anzahl von Benutzerkonten oder sogar nur gegen ein einzelnes Konto ausprobiert.

Um unentdeckt zu bleiben, gehen Angreifer äußerst sorgfältig vor. In der Regel wird zunächst Aufklärung betrieben, um die Anzahl der Anmeldeversuche zu begrenzen und eine Kontosperrung zu vermeiden.

Cybersecurity: Best Practices zur Reduzierung von Passwortangriffsrisiken

Passwortangriffe gehören zu den häufigsten Formen von Cyberangriffen – dennoch lassen sie sich verhindern. Eine sorgfältig geplante Cyberabwehrstrategie senkt in Kombination mit Cybersecurity-Tools und -Programmen das Risiko und die Auswirkungen von Passwortangriffen deutlich.

Schutz vor Passwortangriffen

Wirksame Strategien gegen Passwortangriffe beginnen mit einem klaren Verständnis typischer Passwortrisiken und einer Bewertung bestehender Schwachstellen. Sind Sicherheitslücken identifiziert, sollten IT- und Security-Teams festlegen, welche vorhandenen Tools und Prozesse in die Abwehr einbezogen werden können und wie sich diese optimieren lassen.

Passwortangriffe verhindern

Die Umsetzung von Best Practices für Passworthygiene und Passwortverwaltung ist der wirksamste Ansatz, um Passwortangriffe zu verhindern. Leicht angreifbare Umgebungen mit schwacher Sicherheitslage sind für opportunistische Cyberkriminelle deutlich attraktiver. Eine effektive Abwehr erfordert das Zusammenspiel aus Richtlinien, Tools und Frameworks.

Richtlinien zur Abwehr von Passwortangriffen

  • Starke Passwörter vorschreiben: lang (mindestens 12 Zeichen), komplex, ungewöhnlich und für jede Website bzw. jedes Konto eindeutig
  • Passwörter ändern, wenn ein Sicherheitsvorfall vermutet wird
  • Multi-Faktor-Authentifizierung (MFA) implementieren, wo immer möglich
  • Einen Passwort-Manager einführen, um die Passwortverwaltung zu vereinfachen und eine sichere Speicherung sicherzustellen
  • Zugriff auf privilegierte Konten begrenzen und für diese Konten zusätzliche Sicherheitsebenen einrichten
  • Alle Mitarbeitenden sowie alle weiteren Personen mit Zugriff auf Unternehmensressourcen zu Passwortsicherheit schulen

Tools zur Verhinderung von Passwortangriffen

  • Multi-Faktor-Authentifizierung (MFA): Zugriffskontroll-Tools, die beim Login mehrere Verifikationsfaktoren erfordern, z. B. Passwort, biometrische Merkmale oder Hardware-Token
  • Privileged Access Management (PAM): Tools, die privilegierte Konten absichern, überwachen und verwalten
  • Passwort-Hashing und -Salting: Tools, die Passwörter durch starke Hashing-Algorithmen wie bcrypt oder Argon2 mit individuellen Salts sicher speichern und damit Offline-Cracking-Angriffe wie Rainbow Tables wirkungslos machen
  • Rate Limiting und Account-Lockout-Mechanismen: Tools, die Login-Versuche drosseln oder Konten nach mehreren Fehlversuchen vorübergehend sperren
  • Monitoring und Anomalieerkennung: Tools, die Authentifizierungsversuche proaktiv überwachen und ungewöhnliches Verhalten erkennen
  • Sichere Passwort-Reset-Mechanismen: Tools, die sicherstellen, dass Prozesse zur Passwortwiederherstellung abgesichert sind
  • Netzwerksegmentierung: Aufteilung von Netzwerkressourcen in isolierte Segmente, um Schäden durch kompromittierte Zugangsdaten zu begrenzen und laterale Bewegungen zu verhindern
  • Kontinuierliche Authentifizierung: Fortlaufende Bewertung der Benutzeridentität anhand kontextueller Signale wie Gerätezustand, Geolokation oder verhaltensbasierter Biometrie

Praxisbeispiele für Passwortangriffe

Aktuelle Passwortangriffe aus der Praxis zeigen, wie wichtig robuste Cybersecurity-Maßnahmen sind. Im Folgenden finden Sie einige besonders aufschlussreiche Vorfälle.

Datenschutzverletzung bei 13cabs (März 2025)

13cabs, ein australisches Taxiunternehmen, stellte unautorisierten Zugriff auf seine Anwendungen fest, durch den potenziell Nutzerinformationen wie Benutzernamen, Telefonnummern und Adressen offengelegt wurden. Es wird davon ausgegangen, dass bei diesem Angriff Credential Stuffing eingesetzt wurde.

Ransomware-Angriff auf Parascript (August 2024)

Parascript, LLC – ein Anbieter für Intelligent Document Processing (IDP) mit Kunden in Branchen, die sensible Informationen verarbeiten, darunter Banken, Versicherungen, Gesundheitswesen und Behörden – wurde Ziel eines Ransomware-Angriffs. Die Angreifer nutzten kompromittierte Zugangsdaten, um in Systeme einzudringen, und verschafften sich so unbefugten Zugriff auf sensible Verbraucherdaten einschließlich Sozialversicherungsnummern.

Microsoft Midnight Blizzard Attack (Januar 2024)

Staatlich unterstützte russische Hacker verschafften sich Zugriff auf Microsoft-Systeme, kompromittierten Test-Tenant-Konten und exfiltrierten E-Mails sowie Dokumente aus einer begrenzten Anzahl von Unternehmens-E-Mail-Konten – darunter Konten der Führungsebene sowie von Mitarbeitenden aus den Bereichen Cybersecurity und Recht. Für den unbefugten Zugriff setzten die Angreifer einen Password-Spray-Angriff ein.

HAFTUNGSAUSSCHLUSS: DIE AUF DIESER WEBSEITE ENTHALTENEN INFORMATIONEN DIENEN AUSSCHLIESSLICH INFORMATIONSZWECKEN. NICHTS AUF DIESER WEBSEITE IST ALS RECHTSBERATUNG ZU VERSTEHEN. SAILPOINT KANN EINE SOLCHE BERATUNG NICHT ERBRINGEN UND EMPFIEHLT, SICH BEI RECHTLICHEN FRAGEN AN EINE RECHTSBERATUNG ZU WENDEN.

Häufig gestellte Fragen zu Passwortangriffen

Was sind Passwortlecks?

Passwortlecks sind Cyberangriffe, bei denen unbefugte Personen, etwa Cyberkriminelle oder böswillige Insider, Zugriff auf eine Datenbank oder ein System mit Benutzeranmeldedaten erhalten. In der Praxis entstehen sie meist dadurch, dass Angreifer Schwachstellen in einem System ausnutzen oder gestohlene Zugangsdaten aus früheren Datenlecks verwenden.

Was ist das größte Risiko für die Passwortsicherheit?

Die größten Risiken für die Passwortsicherheit sind schwache, leicht zu erratende Passwörter und die Wiederverwendung von Passwörtern. Passwörter, die zwar leicht zu merken, aber vorhersehbar sind, schaffen eine Sicherheitslücke, die Bedrohungsakteure routinemäßig ausnutzen. Auch die Wiederverwendung desselben Passworts für mehrere Konten ist riskant: Wird ein Konto kompromittiert, können Angreifer häufig auch auf weitere Konten zugreifen.

Wie läuft ein Passwortangriff ab?

Passwortangriffe nutzen Schwachstellen in Netzwerken, Anwendungen oder im Nutzerverhalten aus. Sobald ein Ziel bestätigt ist, setzen Angreifer Methoden wie Phishing, Brute Force oder Credential Stuffing ein, um Anmeldedaten zu stehlen. Brute-Force-Angriffe machen sich dabei häufig wiederverwendete und schwache Passwörter zunutze, um den ersten Zugriff zu erlangen.

Was ist die häufigste Form von Passwortangriffen?

Phishing gehört weiterhin zu den wichtigsten Angriffsvektoren bei Passwortangriffen. Für Angreifer bleibt es eine bevorzugte Methode, weil die Erfolgsquote konstant hoch ist – begünstigt durch die Wirksamkeit von Phishing-Nachrichten und dadurch, dass Nutzer auf die Täuschungsversuche hereinfallen.

Welche Arten von Sicherheitsangriffen gibt es?

Sicherheitsangriffe nutzen verschiedene bewährte Taktiken, um Schwachstellen in Systemen, Netzwerken oder bei einzelnen Nutzern auszunutzen. Zu den häufigsten Arten zählen:

  • Phishing
  • Brute-Force-Angriffe
  • Advanced Persistent Threats (APTs)
  • Zero-Day-Exploits
Datum: 19. Mai 2026Lesezeit: 11 Minuten
Cybersicherheit

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt