Klassische Passwort-Audits beginnen mit Stärke-Regeln: Mindestlänge, Komplexitätsvorgaben, Rotationsfristen und Prüfungen gegen verbreitete schwache Begriffe. Enden sie an dieser Stelle, übersehen sie laut dem Beitrag genau jene Schwachstellen, nach denen Angreifer suchen. Ein Beispiel: Ein Krankenhausmitarbeiter, der ein Passwort wie “Healthcare123!” verwendet, erfüllt formal die Komplexitätsregeln – mit einer gezielten Wortliste lässt sich ein solches Passwort jedoch leicht knacken.
Noch gravierender ist der Fall bereits kompromittierter Zugangsdaten. Wurde ein Passwort anderswo geleakt, können Angreifer sich damit schlicht anmelden. Als Gegenmaßnahme nennt der Beitrag Abgleiche gegen geleakte Passwörter und eine risikobasierte Priorisierung, damit der Fokus auf den am stärksten gefährdeten Konten bleibt. Werkzeuge wie Specops Password Policy prüfen Zugangsdaten fortlaufend gegen eine Datenbank mit mehr als 5,4 Milliarden kompromittierten Passwörtern und erlauben zudem unbegrenzte, an die eigene Umgebung angepasste Sperrlisten.
Ein zweiter blinder Fleck sind verwaiste Konten. Audits gehen oft davon aus, dass nur Konten aktiver Mitarbeiter relevant sind – doch nicht jedes aktive Konto gehört zu einem aktiven Mitarbeiter. Konten ehemaliger Beschäftigter, von Auftragnehmern, Test- oder Schatten-IT-Konten existieren in Unternehmensumgebungen häufig und bleiben mitunter über Monate oder Jahre unbeachtet. Sie weisen oft schwächere Kontrollen auf, etwa veraltete Passwörter oder fehlende Multi-Faktor-Authentifizierung. Findet ein Angreifer gültige Zugangsdaten für ein altes Auftragnehmerkonto, erhält er möglicherweise Zugang, ohne dieselben Alarme auszulösen wie ein privilegierter Login. Der Beitrag empfiehlt, Audits über aktive Nutzer hinaus auf ruhende, externe und nicht im Personalsystem geführte Konten auszuweiten und Passwortprüfungen mit Zugriffsüberprüfungen sowie automatisiertem Deprovisioning zu koppeln.
Laut dem von Specops zitierten Data Breach Investigations Report von Verizon sind gestohlene Zugangsdaten an 44,7 Prozent der Sicherheitsverletzungen beteiligt.
Auch Servicekonten geraten in nutzerzentrierten Audits regelmäßig aus dem Blick – problematisch, weil sie oft überzogene Rechte besitzen und Passwörter haben, die nie ablaufen. Aus Angreifersicht ermöglicht ein kompromittiertes Servicekonto langfristigen Zugriff ohne die Aufmerksamkeit, die ein privilegierter Nutzer-Login auslöst. Der Beitrag rät, Servicekonten ausdrücklich einzubeziehen, Zugangsdaten in einen Tresor zu verlagern, Rotation zu erzwingen und das Prinzip der minimalen Rechtevergabe anzuwenden.
Schließlich liefert ein Audit nur eine Momentaufnahme. Credential Stuffing zeigt, warum das nicht genügt: Angreifer setzen aus einem Datenleck stammende Zugangsdaten bei anderen Diensten ein und spekulieren auf Passwort-Wiederverwendung. Ein heute konformes Konto kann morgen kompromittiert sein, weil dieselben Daten anderswo durchgesickert sind. Der Beitrag fordert daher kontinuierliche Überwachung – regelmäßige Abgleiche gegen aktualisierte Leak-Daten und das Beobachten verdächtiger Login-Muster. Lösungen wie Specops Password Auditor führen dazu einen schreibgeschützten Scan des Active Directory durch und markieren etwa inaktive privilegierte Administratorkonten oder kompromittierte Passwörter.
