HackerangriffeCyberkriminalitätDatenschutz

Das unterschätzte Risiko: Warum regelmäßige Passwort-Zurückstellungen zur Sicherheitsfalle werden

Das unterschätzte Risiko: Warum regelmäßige Passwort-Zurückstellungen zur Sicherheitsfalle werden
Zusammenfassung

Regelmäßige Passwortänderungen sind ein kritischer Schwachpunkt in der Sicherheitsinfrastruktur von Unternehmen – nicht wegen der Änderungen selbst, sondern wegen der Prozesse dahinter. Der Angriff auf den britischen Einzelhandelsgiganten Marks & Spencer im April 2025 zeigt eindrucksvoll, wie Cyberkriminelle diese vermeintlich einfachen Verwaltungsvorgänge ausnutzen. Angreifer der Hackergruppe Scattered Spider gaben sich als Mitarbeiter aus, kontaktierten den Service Desk eines Drittanbieters und erreichten so einen Passwort-Reset – ohne technische Hacks, ohne Malware, nur durch geschickte Social Engineering. Mit legitimierten Zugangsdaten konnten sie daraufhin in die Systeme eindringen, sich lateral ausbreiten und schließlich Ransomware einschleusen. Das Ergebnis waren fünf Tage Ausfallzeit des Online-Handels mit Verlusten von durchschnittlich 5,1 Millionen Dollar täglich. Für deutsche Unternehmen und Behörden ist dies eine Warnung: Service Desk und Helpdesk-Prozesse sind bevorzugte Angriffsziele, da menschliche Verifikation leicht zu manipulieren ist. Ohne robuste Identitätsprüfungen, Multifaktor-Authentifizierung bei Passwort-Resets und konsistente Sicherheitsprotokolle bleiben Organisationen verwundbar gegenüber ausgefeilten Social-Engineering-Attacken.

Die Gefahr lauert im Alltag: Laut Forrester-Research kostet jede Passwort-Zurückstellung ein Unternehmen durchschnittlich 70 Dollar. Viele Organisationen führten deshalb Self-Service-Lösungen (SSPR) ein, um den Helpdesk zu entlasten. Doch trotz dieser Systeme bleibt der manuelle Aufwand erheblich, und genau diese Abhängigkeit vom menschlichen Faktor wird zur Schwachstelle.

Die M&S-Attacke ist ein Lehrbuchfall: Scattered Spider setzte auf Social Engineering, nicht auf Zero-Day-Exploits. Ein Anrufer gab sich als Mitarbeiter aus und forderte eine Passwort-Zurückstellung an. Ohne zuverlässige Identitätsverifikation konnte der Service-Desk-Agent nicht unterscheiden zwischen einem legitimen Angestellten und einem Angreifer. Mit echten Zugangsdaten bewaffnet, drangen die Hacker in die Infrastruktur ein. Sie exploitierten Active Directory, extrahierten die NTDS.dit-Datei – die zentralen Passwort-Hashes – und knackten diese offline. Mit gesammelten Anmeldedaten führten sie Privilege-Escalation durch und platzierten Ransomware in kritischen Systemen für Zahlungsverkehr, E-Commerce und Logistik.

Laut Verizon’s Data Breach Investigation Report sind gestohlene Anmeldedaten in 44,7 Prozent aller Sicherheitsverletzungen involviert – eine alarmierende Quote.

Wie wird die Passwort-Zurückstellung sicherer? Mehrere Best Practices helfen:

Self-Service fördern: Nicht jeder Reset muss den Helpdesk passieren. Mit guter Nutzer-Schulung und benutzerfreundlichen Lösungen sinken sowohl Kosten als auch Risiken.

Sichere temporäre Zugangsdaten: Resets müssen mit starken, einmalig nutzbaren Codes erfolgen, die über verschlüsselte Kanäle übermittelt werden – nicht per unverschlüsselter E-Mail oder Sprachanruf.

Aktivitäten überwachen: Anomalien wie ungewöhnlich häufige Resets oder verdächtige Muster helfen, Missbrauch früh zu erkennen.

Helpdesk ausbilden und ausrüsten: Mitarbeiter brauchen klare Richtlinien und verlässliche Identitätsverifikation. Statt Eigenermessen sollten standardisierte Verfahren gelten – idealerweise mit Multi-Faktor-Authentifizierung oder vertrauenswürdigen Geräten.

Der zentrale Punkt: Angreifer müssen nicht einbrechen, wenn man ihnen die Tür öffnet. Eine robuste Identitätsverifikation vor jeder Passwort-Zurückstellung ist daher nicht optional, sondern notwendig – für große Konzerne wie M&S, aber auch für deutsche Unternehmen und Behörden.

Ähnliche Artikel