Stell dir vor, jemand findet ein altes Passwort eines Mitarbeiters—eines Passworts, das schon Jahre nicht mehr genutzt wird und an das sich vielleicht nicht mal mehr derjenige erinnert. Nicht gerade ein Worst-Case aus Hollywood, sondern genau das Muster einer aktuellen, großangelegten Datendiebstahl-Kampagne.
Untersuchungen zeigen: Kriminelle haben sensible Unternehmensdaten von Dutzenden Firmen weltweit gesammelt und dann im Dark Web zum Verkauf angeboten. Branchen, Länder, Firmengrößen – sehr verschieden. Ein gemeinsamer Nenner aber tauchte immer wieder auf: Zugang zu wichtigen Cloud-Diensten war nur mit Benutzername und Passwort geschützt. Keine zusätzliche Prüfung, kein zweiter Schritt. Einfach Passwort eintippen – und drin bist du.
Was bedeutet MFA und warum ist das wichtig?
Multi-Faktor-Authentifizierung (MFA) heißt schlicht: Mehrere Beweise, dass du wirklich du bist. In der Praxis ist das oft das Passwort plus etwas wie:
– ein Einmal-Code, der aufs Smartphone geschickt wird,
– eine Push-Benachrichtigung, die du bestätigst,
– oder ein Fingerabdruck.
Das ist vergleichbar mit einem Haustürschloss plus Kettenriegel: Selbst wenn jemand den Schlüssel (also dein Passwort) findet, kommt er ohne den zweiten Riegel nicht hinein.
Wie kamen die Angreifer an die Passwörter?
Die Täter setzten sogenannte Infostealer-Malware ein – schädliche Software, die unbemerkt auf einem Rechner landet. Einmal installiert, sammelt sie gespeicherte Passwörter, Login-Daten und andere sensible Informationen und schickt sie an die Kriminellen weiter. Das passiert nicht nur am Büro-PC: Auch private Laptops, Heimgeräte oder sogar Geräte von Außendienstlern, die sich mal im Betriebssystem eingeloggt haben, können betroffen sein.
Und hier wird es besonders tückisch: Viele der gestohlenen Passwörter waren Jahre alt. Das zeigt zwei Dinge:
– Passwörter wurden zu selten geändert.
– Alte Logins wurden länger vertraut, obwohl sie längst hätten gesperrt werden müssen.
Man spricht hier von einer „Latenz“-Problematik: Die Gefahr sitzt lange im Hintergrund und schlägt erst später zu. Ein Gerät, das früher infiziert wurde, kann plötzlich heute zum Einfallstor werden.
Warum MFA den Schaden verhindert hätte
In den betroffenen Fällen hatten die Angreifer zwar Passwörter, aber keinen zweiten Faktor. Kein Telefon, keine App-Bestätigung, kein Fingerabdruck. Hätte MFA gegolten, wären viele der Angriffe an dieser zweiten Hürde gescheitert. Ein gestohlenes Passwort allein wäre nutzlos geblieben.
Ich weiß: Die häufigste Reaktion auf MFA ist „Das ist aber lästig“. Ja, es dauert einen Moment länger beim Einloggen. Aber stell dir vor, vertrauliche Dateien werden kopiert und verkauft, bevor überhaupt jemand etwas merkt. Dann ist dieser kurze Klick zur Bestätigung ein extrem günstiger Preis.
Was Du jetzt tun solltest
– MFA einführen und durchsetzen: Für alle kritischen Cloud-Dienste und E-Mail-Accounts. Das ist die effektivste Sofortmaßnahme.
– Alte Logins prüfen und sperren: Nutzerkonten, die selten genutzt werden, sollten deaktiviert oder zurückgesetzt werden.
– Geräte checken: Auch Heimrechner und Mitarbeiter-Laptops sollten auf Malware gescannt werden.
– Passwortrichtlinien überdenken: Längere Passwörter, regelmäßiges Ändern und keine Wiederverwendung über verschiedene Dienste hinweg.
Denk an die kleinen Firmen hier bei uns in Ostfriesland und im Emsland: Ob Praxis in Leer, Handwerksbetrieb in Emden oder Büro in Papenburg — ein einziger kompromittierter Account kann weite Folgen haben. MFA ist die zweite Tür, die viele Datendiebstähle von vornherein verhindert.
Fazit
Alte Passwörter „laufen nicht ab“ von selbst. Angreifer nutzen Lücken, die lange bestehen bleiben. Eine zusätzliche Absicherung durch MFA macht ein gestohlenes Passwort nutzlos – das ist keine übertriebene Vorsicht, sondern schlaues Risikomanagement. Wenn Du Unterstützung beim Einrichten von MFA oder beim Absichern eurer Geräte brauchst, melde dich gern bei uns. Ein kurzer Check kann großen Ärger verhindern.
Christian Hainke ist Geschäftsführer der Hainke Computer GmbH – dem IT-Systemhaus in Ostfriesland für zuverlässige IT-Sicherheit, smarte Microsoft 365-Lösungen und moderne Infrastruktur. Mit über 20 Jahren Erfahrung und einem klaren Fokus auf kleine und mittelständische Unternehmen unterstützt er mit seinem Team Unternehmen dabei, IT einfach, sicher und effizient zu gestalten.
Sein Motto: „Sicherheit beginnt mit Klarheit – und die liefern wir.“
Lesetipps:
Der richtige Passwort-Manager für dein Unternehmen: So findest du die passende Lösung
