Was Angreifer mit nur einem Firmenpasswort anrichten können

„So wichtig kann ein Passwort doch nicht sein…“

In vielen Gesprächen hört man sinngemäß:

• „Bei uns gibt es nichts zu holen.“
• „Das Passwort ist zwar einfach, aber ich brauche mir nur eins zu merken.“
• „MFA nervt nur – das ist doch übertrieben.“

Das Problem: Angreifer interessieren sich selten für das einzelne Unternehmen an sich. Sie nutzen jedes schwache Konto als Einstiegspunkt – für Geld, Daten oder um andere anzugreifen.

Was passiert, wenn ein Firmen-E-Mail-Konto übernommen wird?

Ein kompromittiertes Postfach ist deutlich mehr als „nur E-Mails lesen können“:

• Passwort-Reset für andere Dienste: Viele Systeme lassen sich über „Passwort vergessen“ mit einer E-Mail zurücksetzen.
• Identitätsdiebstahl: Angreifer können als Geschäftsführung, Vertrieb oder Buchhaltung auftreten.
• Rechnungsbetrug: Bestehende Rechnungen werden mit geänderter Bankverbindung weitergeleitet („Bitte nutzen Sie ab sofort diese IBAN…“).
• Auslesen von vertraulichen Informationen: Angebote, Verträge, interne Abstimmungen, Zugänge zu Portalen.
• Angriff auf Ihre Kunden: Über scheinbar legitime Mails aus Ihrem Postfach werden Links oder Anhänge an Geschäftspartner verschickt.

Was, wenn Microsoft 365 oder ein zentrales Konto betroffen ist?

Geht es nicht nur um ein einzelnes Postfach, sondern um ein Konto mit Zugriff auf Teams, SharePoint oder andere Systeme, kommen weitere Risiken dazu:

• Download großer Datenmengen (Dateien, Verträge, Personalunterlagen).
• Manipulation von Dateien (z. B. geänderte Vorlagen, eingefügte Makros, falsche Informationen).
• Anlegen zusätzlicher Regeln oder Konten, um den Zugriff unbemerkt zu halten.
• Missbrauch von Adminrechten, falls das Konto zu viele Berechtigungen hat.

Warum einfache oder wiederverwendete Passwörter so gefährlich sind

Angreifer kommen selten durch „Zufall“ an ein Passwort. Typische Wege sind:

• Wiederverwendung von Passwörtern: Ein kompromittierter Onlineshop oder privater Dienst, in dem dasselbe Passwort genutzt wurde.
• Phishing-Mails: Gefälschte Login-Seiten, auf denen Zugangsdaten eingegeben werden.
• Schwache Passwörter: Kombinationen aus Firmenname, Jahreszahlen oder simplen Mustern lassen sich leicht erraten.
• Malware auf unsicheren Geräten: Keylogger, die Eingaben mitlesen, oder ausgelesene Browserpasswörter.

Was starke Passwörter und MFA konkret verhindern

Es geht nicht um „Technikliebe“, sondern um ganz konkrete Effekte:

• Lange, zufällige Passwörter erschweren das Erraten oder automatisierte Durchprobieren.
• Ein Passwort pro Dienst verhindert Kettenreaktionen bei einem Datenleck.
• Ein Passwortmanager nimmt den Stress aus dem Merken und Tippen.
• MFA sorgt dafür, dass ein gestohlenes Passwort allein nicht ausreicht – die Anmeldung braucht zusätzlich z. B. eine App-Bestätigung.

Wie man das im Unternehmen „verkaufen“ kann

Damit Mitarbeitende nicht das Gefühl haben, dass einfach nur neue Hürden aufgebaut werden, hilft ein ehrlicher Ansatz:

• Konkrete Beispiele aus dem eigenen Umfeld oder aus der Branche nennen.
• Klar machen, dass es nicht um Kontrolle, sondern um Schutz ihrer Arbeit und der Firma geht.
• Passwortmanager und MFA möglichst komfortabel einrichten (z. B. klare Anleitungen, Unterstützung beim Onboarding).
• Admins nicht als „Türsteher“, sondern als Begleiter darstellen, die Probleme lösen.

Minimalpaket: Was jedes Unternehmen umsetzen sollte

• Verwendung eines Passwortmanagers für Firmenkonten.
• MFA für E-Mail, zentrale Anwendungen und Adminkonten.
• Trennung von Admin- und Benutzerkonten.
• Kurze, regelmäßige Awareness-Einheiten (keine stundenlangen Schulungen).

Passwortmanager pragmatisch einführen · MFA ohne Chaos einführen · Security-Awareness & Check anfragen