09 05 2026

Internet-Sicherheit: Moderne Angriffe auf verschlüsselte Passwörter

Passwörter gelten seit Jahrzehnten als das erste Schloss vor sensiblen Daten – und genau deshalb haben sie sich zum bevorzugten Angriffsziel entwickelt. Wer glaubt, eine Verschlüsselung schütze automatisch vor dem Zugriff Unbefugter, unterschätzt, wie weit die Methoden der Angreifer inzwischen gereift sind. Für Unternehmen ist das längst keine abstrakte Bedrohung mehr, sondern ein konkretes Haftungsrisiko.

Wie Angreifer verschlüsselte Passwörter knacken

Der gängige Irrtum lautet: Ein gehashtes Passwort sei sicher gespeichert. Stimmt – solange der Hash-Algorithmus zeitgemäß ist und das Passwort selbst komplex genug. Doch die Realität sieht anders aus. Moderne Angriffe setzen nicht mehr darauf, eine Verschlüsselung mathematisch zu brechen. Stattdessen wird sie umgangen.

Credential Stuffing gehört derzeit zu den effektivsten Methoden. Dabei werden Milliarden von Zugangsdaten aus früheren Datenlecks – öffentlich verfügbar im Darknet – automatisiert gegen neue Dienste getestet. Die Erfolgsquote ist erschreckend hoch, weil Menschen Passwörter wiederverwenden. Kein Algorithmus muss gebrochen werden; das Passwort wurde schlicht bereits woanders gestohlen.

Deutlich technischer sind Rainbow-Table-Angriffe: Dabei werden vorberechnete Tabellen mit Hashwerten genutzt, um einem gestohlenen Hash das dazugehörige Klartextpasswort zuzuordnen. Fehlt ein sogenanntes Salt – also ein zufälliger Zusatzwert, der vor dem Hashing hinzugefügt wird – funktioniert diese Methode erschreckend schnell. Veraltete Systeme, die MD5 oder SHA-1 ohne Salting einsetzen, sind faktisch offen.

Hinzu kommen Brute-Force-Angriffe mit GPU-Clustern, die heute mit Milliarden von Hashberechnungen pro Sekunde operieren. Ein achtstelliges Passwort, ausschließlich aus Kleinbuchstaben, lässt sich damit in Minuten rekonstruieren. Und mit dem Aufkommen spezialisierter KI-Modelle, die menschliche Passwortmuster erlernen, werden auch scheinbar clevere Konstruktionen wie „Passwort2024!" zunehmend anfällig.

Was das rechtlich bedeutet – und wen es trifft

Datenverluste durch schwache oder schlecht gesicherte Passwort-Infrastrukturen sind keine IT-Panne, die sich intern bereinigen lässt. Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen ausdrücklich, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen – Artikel 32 ist hier unmissverständlich. Wer Nutzerdaten mit veralteten Hash-Verfahren speichert, verstößt potenziell gegen diesen Standard.

Die Konsequenzen sind doppelt schmerzhaft: Bußgelder der Datenschutzbehörden auf der einen Seite, zivilrechtliche Haftungsansprüche betroffener Nutzer auf der anderen. Seit dem EuGH-Urteil vom April 2023 (C-300/21) können Betroffene auch bei rein immateriellen Schäden – also bloßer Verunsicherung oder Kontrollverlust – Schadensersatz verlangen. Die Messlatte liegt damit deutlich niedriger als viele Unternehmensjuristen bisher annahmen.

Gleichzeitig verpflichtet die DSGVO zur Meldung von Sicherheitsvorfällen innerhalb von 72 Stunden nach Bekanntwerden. Wer bei einem Passwort-Leak zögert oder internen Klärungsbedarf vorschiebt, riskiert zusätzliche Sanktionen – unabhängig davon, ob tatsächlich Schäden entstanden sind.

Der Stand der Technik ist keine Empfehlung, sondern eine Pflicht

„Stand der Technik" klingt nach einer weichen Formulierung. Juristisch ist es das nicht. Wer Passwörter heute noch mit MD5 hasht, kann sich nicht auf Unwissenheit berufen. Die einschlägigen Standards – etwa des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder des US-amerikanischen NIST – sind öffentlich zugänglich und werden regelmäßig aktualisiert.

Das BSI empfiehlt für die Passwort-Speicherung den Einsatz adaptiver Hash-Funktionen wie bcrypt, scrypt oder Argon2. Diese sind absichtlich rechenintensiv gestaltet, was Brute-Force-Angriffe massiv verlangsamt. Argon2 gewann 2015 den Password Hashing Competition und gilt seither als Referenz. Unternehmen, die noch auf ältere Verfahren setzen, tun das auf eigenes Risiko – technisch wie rechtlich.

Wichtig ist auch: Selbst ein guter Algorithmus nützt wenig, wenn er falsch implementiert wird. Fehlende Salts, zu kurze Iterationszahlen oder mangelhafte Zugriffskontrolle auf die Datenbank mit den Hashwerten sind typische Implementierungsfehler, die in Security-Audits regelmäßig auftauchen.

Prävention: Was Entscheider konkret anstoßen müssen

Technische Maßnahmen allein reichen nicht. Sicherheit ist eine Frage der Unternehmenskultur – und der internen Prozesse. Wer als Entscheider auf Vorstand- oder Geschäftsführungsebene wartet, bis die IT-Abteilung von alleine eskaliert, wartet oft zu lange.

Ein Ausgangspunkt: Ein gezieltes Audit der bestehenden Authentifizierungsinfrastruktur. Welche Hashing-Verfahren werden wo eingesetzt? Gibt es Legacy-Systeme, die noch nie migriert wurden? Wo werden Passwörter im Klartext geloggt – auch das kommt in der Praxis vor? Diese Fragen klingen banal, ihre Beantwortung ist es nicht.

Multi-Faktor-Authentifizierung (MFA) reduziert das Schadenspotenzial gestohlener Passwörter erheblich. Selbst wenn ein Angreifer ein korrektes Passwort kennt, scheitert er an einem zweiten Faktor – zumindest solange keine SIM-Swapping-Angriffe oder Phishing-Kits im Spiel sind. Für kritische Systeme und privilegierte Nutzerkonten sollte MFA keine Option, sondern Pflicht sein.

Ebenso unterschätzt wird Passwort-Richtlinien-Management: Viele Unternehmen setzen noch auf Komplexitätsregeln aus dem Jahr 2003 – Sonderzeichen, Großbuchstaben, Ziffern – und erzwingen regelmäßige Wechsel. Das NIST hat diese Empfehlungen inzwischen revidiert. Häufige Wechsel führen zu schwächeren Passwörtern, nicht zu stärkeren. Besser sind längere Passwörter und Wechsel nur bei konkretem Verdacht auf Kompromittierung.

Schulungen für Mitarbeitende gehören ebenfalls dazu – nicht als jährliche Pflichtveranstaltung, sondern als konkretes Training anhand realer Angriffsmuster. Phishing bleibt der häufigste Einstiegspunkt für Angriffe auf Zugangsdaten. Wer seine Belegschaft nicht dafür sensibilisiert, gibt den Angreifern eine Tür, die kein Algorithmus schließen kann.

Wenn der Ernstfall eintritt: Strukturen müssen vorher stehen

Ein Datenleck bei Passwörtern ist für viele Unternehmen keine Frage des Ob, sondern des Wann. Diese Nüchternheit ist kein Pessimismus – sie ist Grundlage für belastbare Krisenplanung. Ein Incident-Response-Plan, der konkrete Zuständigkeiten, Eskalationswege und Kommunikationsstrategien für genau diesen Fall festschreibt, ist kein Luxus. Er ist Voraussetzung dafür, die 72-Stunden-Frist der DSGVO einzuhalten und nicht im Chaos zu versinken.

Technische Forensik, behördliche Meldepflichten, Kundeninformation und Pressekommunikation – all das muss parallel funktionieren. Unternehmen, die das erst im Krisenmoment zu organisieren versuchen, scheitern nicht an der Technik, sondern an der Struktur. Und wer in einer Anhörung der Datenschutzbehörde keinen dokumentierten Reaktionsplan vorweisen kann, hat ein zusätzliches Problem – unabhängig davon, wie gut die technischen Schutzmaßnahmen eigentlich waren.

Passwort-Sicherheit als Chefsache – nicht als IT-Thema

Die Vorstellung, Passwortsicherheit sei eine Frage für den IT-Leiter, ist überholt. Datenschutzverletzungen treffen Reputation, Vertrauen und Bilanzen. Die Verantwortung liegt deshalb auch auf Führungsebene – rechtlich, wie die DSGVO mit ihrer direkten Haftung des Verantwortlichen klarstellt, und strategisch, weil die Kosten eines erfolgreichen Angriffs die Investitionen in Prävention um ein Vielfaches übersteigen können. Wer heute die richtigen Fragen stellt, muss sie morgen nicht vor Gericht beantworten.

Häufig gestellte Fragen

Welche Hash-Verfahren gelten heute als sicher für die Passwort-Speicherung?
Moderne, adaptive Algorithmen wie Argon2, bcrypt und scrypt gelten derzeit als Stand der Technik. Sie sind rechenintensiv konstruiert, was automatisierte Angriffe erheblich verlangsamt. Ältere Verfahren wie MD5 oder SHA-1 sind für die Passwort-Speicherung nicht mehr geeignet und sollten umgehend migriert werden.

Was droht Unternehmen konkret bei einem Passwort-Datenleck?
Unternehmen riskieren Bußgelder nach Art. 83 DSGVO, die je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen können. Hinzu kommen zivilrechtliche Schadensersatzansprüche betroffener Personen – auch bei immateriellen Schäden, wie der EuGH 2023 klargestellt hat.

Reicht ein starkes Hashing-Verfahren als alleinige Schutzmaßnahme aus?
Nein. Technische Maßnahmen wie sichere Hash-Algorithmen sind notwendig, aber nicht hinreichend. Multi-Faktor-Authentifizierung, restriktive Zugriffsrechte auf Datenbanken, regelmäßige Sicherheitsaudits, Mitarbeiterschulungen und ein dokumentierter Incident-Response-Plan sind ebenso erforderlich, um den Anforderungen der DSGVO und dem Stand der Technik zu genügen.