Passwort-Audits gehören zum Standardrepertoire der meisten Sicherheitsprogramme. Sie ermöglichen es Organisationen, Compliance nachzuweisen, offensichtliche Risiken zu senken und die Funktionsfähigkeit grundlegender Kontrollen zu bestätigen. Doch in der Praxis sind die Konten, die in Audit-Reports auftauchen, häufig nicht jene, die Angreifer ins Visier nehmen.
Die meisten Passwort-Audits konzentrieren sich auf oberflächliche Indikatoren wie Komplexitäts- und Ablaufrichtlinien. Während diese Aspekte wichtig sind, lassen solche Audits potenzielle Risiken außer Acht: Über-privilegierte Benutzer, verwaiste Zugänge, Service-Accounts oder Zugangsdaten, die bereits in Sicherheitsverletzungen freigelegt wurden.
Passwörter in Compliance-Regeln sind nicht automatisch sicher
Audits beginnen typischerweise mit Stärkevorgaben: Mindestlänge, Komplexitätsanforderungen, Rotationsrichtlinien und Überprüfungen gegen häufige schwache Kombinationen. Doch diese technischen Checks bieten keine umfassende Sicherheit. Ein Passwort kann alle Compliance-Anforderungen erfüllen und trotzdem im Kontext leicht zu erraten sein — etwa “Healthcare123!” bei einem Krankenhauskrankenhaus-Mitarbeiter. Angreifer nutzen gezielt solche vorhersehbaren Muster.
Schlimmer noch: Ein Passwort kann “stark” wirken, während es bereits kompromittiert ist. Hat es in früheren Datenbreaches das Internet verlassen, können Angreifer damit einfach einsteigen. Eine Studie belegt dies eindrucksvoll: 83 Prozent von 800 Millionen bekannten kompromittierten Passwörtern hätten Sicherheitsstandards formal erfüllt.
Ohne Screening gegen Breach-Datenbanken entsteht eine kritische Lücke: Konten sehen auf dem Papier sicher aus, sind aber tatsächlich leicht zu knacken — besonders bei hochprivilegierten Accounts, wo ein erfolgreicher Zugriff zu deutlich größeren Schäden führt.
Verwaiste Accounts bleiben unsichtbar
Viele Passwort-Audits gehen davon aus, dass nur aktive Mitarbeiter zählen. Das ist ein massiver Fehlschluss. Accounts von früheren Mitarbeitern, Auftragnehmer, Test-Konten oder Shadow-IT-Systemen außerhalb normaler Identity-Prozesse sind in Unternehmensumgebungen weit verbreitet.
Diese “verwaisten” Konten sind für Angreifer hochinteressant. Sie können monatelang oder sogar jahrelang unbeachtet bleiben und haben typischerweise schwächere Kontrollen: veraltete Passwörter, fehlende Multi-Faktor-Authentifizierung (MFA). Gelingt es einem Angreifer, gültige Anmeldedaten eines alten Contractor-Accounts zu finden, verschafft er sich Zugang ohne die Alarme zu triggern, die ein privilegierter Login auslösen würde.
Service-Accounts sind die vergessene Risikozone
Service-Accounts werden in benutzer-zentrierten Passwort-Audits häufig ignoriert — dabei sind sie besonders riskant. Sie haben oft umfassende Berechtigungen bei Passwörtern, die nie ablaufen. Für Angreifer bedeutet ein kompromittierter Service-Account langfristigen Zugriff ohne die Sichtbarkeit und Kontrolle, die privilegierte Benutzer-Logins mit sich bringen. Organisationen können ein Audit bestehen, während einige der gefährlichsten Konten praktisch unverwaltet bleiben.
Continuous Monitoring statt punktueller Snapshots
Ein Audit zeigt eine Momentaufnahme zum Zeitpunkt der Durchführung. Credential-basierte Angriffe aber sind kontinuierlich. Credential-Stuffing ist ein Paradebeispiel: Angreifer nutzen in einem Breach freigelegte Benutzernamen und Passwörter, um sie auf anderen Diensten auszuprobieren. Ein heute konformes Konto kann morgen bereits kompromittiert sein — nur weil die gleichen Zugangsdaten anderswo geleakt wurden.
Besonders relevante ist dies für große Organisationen und solche mit externen Login-Portalen. Angreifer müssen Passwort-Regeln nicht brechen, wenn sie einfach Credentials aus kriminellen Marktplätzen weiterverwenden können.
Was Sicherheitsteams tun sollten
Wollen Organisationen das Kompromittierungsrisiko senken und nicht nur ein Assessment bestehen, müssen Audits realistisch abbilden, wie Angreifer vorgehen. Moderne Passwort-Audits sollten:
- Kontinuierliches Screening gegen Datenbanken kompromittierter Passwörter durchführen
- Verwaiste, externe und nicht im Personalbestand verzeichnete Konten einbeziehen
- Service-Accounts mit elevated Permissions explizit prüfen
- Credentials in sichere Vaults verlagern und regelmäßige Rotation erzwingen
- Suspicious Login-Muster überwachen und verdächtige Aktivitäten behandeln
Lösungen wie spezialisierte Audit-Tools können durch Read-Only-Scans von Active Directory Schwachstellen aufdecken — von inaktiven Admin-Accounts bis zu bekanntermaßen kompromittierten Passwörtern. Erst dann wird aus einem Compliance-Häkchen ein echtes Sicherheitsinstrument.