Cyberangriffe beginnen heute nur selten mit hochkomplexen Schwachstellen oder ausgefeilten technischen Exploits. In vielen Fällen ist der Einstieg deutlich banaler: über ein Passwort. Für Unternehmen wird das zunehmend zum handfesten Geschäftsrisiko, dem viele Sicherheitsteams inzwischen mit einem Wechsel zu identitätsbasierter Authentifizierung begegnen.
Ein einzelnes Passwort entscheidet häufig über den Erfolg ganzer Angriffsketten. Identitätsbasierte Verfahren ersetzen dieses Risiko durch geräte- und kontextgebundene Nachweise.
Der aktuelle Verizon Data Breach Investigations Report zeigt, dass kompromittierte Zugangsdaten in rund 39 Prozent aller untersuchten Sicherheitsvorfälle eine Rolle spielen. Angreifer müssen sich also häufig gar nicht technisch in Systeme „hineinhacken“, sondern nutzen gestohlene oder wiederverwendete Logins, um sich Zugriff zu verschaffen.
Passwörter sind heute einer der einfachsten und meistgenutzten Angriffsvektoren. Phishing, die Wiederverwendung von Zugangsdaten und identitätsbasierte Angriffe nehmen dementsprechend weiter zu. Vor diesem Hintergrund ist es nicht nur überholt, sich primär auf Passwörter zu verlassen. Es ist ein handfestes Geschäftsrisiko.
Die Rahmenbedingungen, für die Passwörter ursprünglich gedacht waren, existieren längst nicht mehr. Moderne Unternehmen arbeiten in verteilten SaaS-Landschaften, mit mobilen, hybriden Belegschaften und einer Vielzahl externer Anbindungen. Zugriffe auf Unternehmensressourcen finden von überall statt, permanent und oft unter Zeitdruck. Wenn die Authentifizierung Prozesse ausbremst oder versagt, suchen Mitarbeitende nach Abkürzungen. Genau diese Umgehungslösungen eröffnen Angreifern neue Möglichkeiten.
Eine aktuelle Umfrage von TeamViewer zeigt, dass mehr als ein Viertel der Beschäftigten in Deutschland bei der Arbeit auf private Tools oder Geräte zurückgreift, wenn die ihnen bereitgestellte Technik im Arbeitsalltag versagt. Im Durchschnitt geht pro Monat mehr als ein kompletter Arbeitstag durch diese und andere IT-Probleme verloren. In einem solchen Umfeld beeinträchtigt eine holprige Authentifizierung nicht nur die Produktivität. Sie verlagert Sicherheitsrisiken in die Hände von Anwenderinnen und Anwendern, die schlicht versuchen, ihre Arbeit zu erledigen.
Passwörter scheitern also nicht, weil Mitarbeitende leichtsinnig handeln, sondern weil das dahinterliegende Modell ihnen zu viel Verantwortung aufbürdet. Komplexe Regeln für die Erstellung, regelmäßige Änderungen und ständige Abfragen erhöhen die Hürden, ohne das Risiko wirksam zu senken. Die Folgen dürften Security-Verantwortlichen in den meisten Unternehmen bekannt vorkommen: Zugangsdaten werden mehrfach verwendet, notiert, weitergegeben oder auf täuschend echte Phishing-Seiten eingegeben.
Aus Sicht der Security fehlt Passwörtern zudem der Kontext. Ein korrekt eingegebenes Passwort sagt nichts darüber aus, ob der Zugriff von einem vertrauenswürdigen Gerät, aus einer gemanagten Umgebung oder von einem ungewöhnlichen Standort erfolgt. Sicherheitsteams versuchen, diese Lücke mit zusätzlichen Kontrollen zu schließen, etwa durch Monitoring, Alarme oder bedingte Zugriffsregeln. Die grundlegende Schwäche bleibt jedoch bestehen.
So entsteht eine wachsende Diskrepanz zwischen der Art, wie Zugriffe abgesichert werden, und der Realität moderner Angriffe.
Identität ist zur ersten Verteidigungslinie geworden
Mit dem Wegfall klassischer Netzwerkgrenzen ist Identität zum zentralen Kontrollpunkt geworden. Jede Verbindung eines Nutzers, eines Geräts oder einer Anwendung stellt einen potenziellen Einstiegspunkt dar. Die Entscheidung darüber, wie die Authentifizierung stattfinden soll, wird damit zu einer grundlegenden Entscheidung für die Sicherheit und Widerstandsfähigkeit eines Unternehmens.
Single Sign-on ist ein sinnvoller Einstieg, entfaltet seine Wirkung aber nur bei konsequenter Umsetzung. Ausnahmen für einzelne Anwendungen oder fragmentierte Identitätssysteme schaffen Lücken, die schwer zu erkennen und noch schwerer zu kontrollieren sind. Wer Identität nur als Teillösung betrachtet, lässt genau dort Angriffsflächen offen, wo Angreifer zuerst hinschauen.
Abschied von „geteilten Geheimnissen“
Moderne Authentifizierungsverfahren wie Passkeys oder plattformgebundene Zugangsdaten setzen gezielt an diesen strukturellen Schwächen von Passwörtern an. Sie ersetzen geteilte Geheimnisse durch kryptographische Nachweise, die an ein konkretes Gerät gebunden und häufig biometrisch abgesichert sind. Die eigentlichen Zugangsdaten werden dabei nie in einer Form übertragen, die abgefangen oder erneut verwendet werden könnte.
Das reduziert die Angriffsfläche für gängige Methoden deutlich, einschließlich des Echtzeit-Phishings, bei dem Passwörter oder Einmalcodes abgegriffen werden. Gleichzeitig verbessert sich die Usability für die Nutzer, weil Zurücksetzungen, Kontosperren und wiederholte Abfragen entfallen, die den Arbeitsfluss bei passwortbasierter Authentifizierung massiv stören.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In der Praxis zeigt sich bei der Umstellung auf passwortlose Verfahren oft ein wiederkehrendes Muster: Viele Mitarbeitende empfinden zunächst Unsicherheit, weil Passwörter für sie über Jahre ein vertrauter Bestandteil des Zugangs waren. Dahinter steht häufig die Sorge, Kontrolle zu verlieren oder im entscheidenden Moment nicht mehr auf Systeme zugreifen zu können. Unsere Erfahrung bei TeamViewer war jedoch eine andere. Die Einführung verlief deutlich reibungsloser als zunächst erwartet, und die Zahl der praktischen Probleme blieb überraschend gering. Vor allem wurde schnell sichtbar, dass Mitarbeitende mit dem Wegfall von Passwörtern nichts verlieren, sondern im Alltag spürbar gewinnen, denn der Zugang wird einfacher, schneller und komfortabler. Gerade diese unmittelbare Erleichterung hat wesentlich dazu beigetragen, dass die Akzeptanz nach kurzer Zeit deutlich gestiegen ist.
Ebenso wichtig ist ein weiterer Effekt. Der Vertrauensstatus eines Geräts wird direkt Teil der Authentifizierung. Ob ein Gerät bekannt, verwaltet oder compliant ist, fließt unmittelbar in die Zugriffsentscheidung ein, statt erst nachgelagert berücksichtigt zu werden.
Sicherheitsentscheidungen sind Geschäftsentscheidungen
Probleme bei der Anmeldung erhöhen also nicht nur das Risiko von Sicherheitsvorfällen. Sie stören Arbeitsabläufe, verzögern den Einstieg neuer Mitarbeitender und erschweren die schnelle Wiederaufnahme des Betriebs im Ernstfall. Eine solide Identitätsbasis sorgt dagegen für verlässlichen Zugriff und hilft, Security-Vorfälle schneller zu begrenzen.
Identitätssicherheit ist deshalb kein rein technisches Thema. Für Geschäftsleitungen zählt, welche Auswirkungen Identitätsrisiken auf Stabilität, Kontinuität und Handlungsfähigkeit eines Unternehmens haben.
Zu den neueren Aufgaben von CISOs und ihren Organisationen gehört es daher, diese Zusammenhänge verständlich zu machen. Sicherheitsmaßnahmen müssen sich wieder an den realen Arbeitsalltag anpassen. Alle Lösungen, die unter Druck nicht mehr funktionieren oder Arbeitsprozesse verzögern, gehören dagegen auf den Prüfstand. Dazu gehört die passwortbasierte Authentifizierung.
Passwörter halten sich vor allem deshalb, weil sie vertraut sind, nicht weil sie effektiv wären. Oftmals spielen sie weiterhin eine zentrale Rolle in der Sicherheitsarchitektur. Angesichts skalierbarer Phishing-Kampagnen und zunehmenden Missbrauchs von Zugangsdaten bedeutet das heutzutage eine unnötig große Angriffsfläche. Entsprechend betonen auch Zero-Trust-Konzepte zunehmend phishing-resistente Authentifizierung als Mindeststandard.
Die technischen Voraussetzungen für den Abschied vom Passwort sind längst vorhanden. Die eigentliche Herausforderung besteht darin, sie konsequent umzusetzen. Security- und Compliance-Teams sowie die Geschäftsleitung müssen dafür ein gemeinsames Verständnis für die Risiken entwickeln.
Authentifizierung bedeutet heute mehr, als eine Person zu identifizieren. Es geht darum, Vertrauen in den Zugriff selbst herzustellen – kontinuierlich und kontextabhängig. Allein mit Passwörtern lässt sich dieser Anspruch nicht mehr erfüllen.
Über den Autor: Jan Bee ist Chief Information Security Officer bei TeamViewer. Zuvor war er als Director of Product Security tätig, wo er die Weiterentwicklung der Produktsicherheit sowie Initiativen im Bereich „Trust & Safety“ vorantrieb. Mit mehr als zwanzig Jahren Erfahrung im Bereich Informationssicherheit, darunter ein Jahrzehnt bei Google, verfügt er über fundiertes technisches Fachwissen in den Bereichen sichere Softwareentwicklung und Schutz von Nutzerdaten.