Die Risiken von Standardpasswörtern: Welche es sind und wie Sie sich schützen können

Cyberangriffe entwickeln sich rasend schnell weiter. Im Zuge des technologischen Fortschritts entwickeln sich auch die Tools und Methoden der Hacker weiter, von KI-gesteuerten Phishing-Methoden bis hin zu zielgerichteten Ransomware-Angriffen. Doch obwohl die Methoden immer ausgefeilter werden, stützen sich viele erfolgreiche Angriffe noch immer auf eine erschreckend einfache Methode: Standardpasswörter.

Laut einem aktuellen IBM-Bericht ändern 86 % der Benutzer nie das Administrator-Passwort ihres Heimrouters. Diese Unachtsamkeit kann gravierende Folgen haben, denn so können Hacker den Datenverkehr manipulieren und überwachen, Man-in-the-Middle-Angriffe (MiTM) zum Datenklau starten und sogar Nutzer über verbundene IoT-Geräte ausspionieren.

Im geschäftlichen Kontext können die Konsequenzen sogar noch schwerwiegender sein. Standard-Anmeldeinformationen auf Geräten, Servern oder Cloud-Anwendungen eines Unternehmens können als offene Tür für Angreifer fungieren und diesen den Zugriff auf sensible Systeme und den Wechsel zwischen Netzwerken ohne großen Widerstand ermöglichen.

Das ist nur ein Beispiel für die Gefahr, die von Standardpasswörtern ausgeht, und warum sie unbedingt aus Ihrer Umgebung entfernt werden sollten. In diesem Artikel erfahren Sie, was Standardpasswörter sind, warum sie auch im Jahr 2025 ein solches Risiko darstellen und welche praktischen Maßnahmen Sie zum Schutz Ihres Netzwerks vor Kompromissen ergreifen können.

Was sind Standardpasswörter?

Standardpasswörter sind vorgegebene Anmeldeinformationen (wie „admin“ oder „password“), die Hersteller Geräten zur Vereinfachung der Ersteinrichtung und Bereitstellung zuweisen. Sie sind als temporäre Lösungen gedacht, die den Benutzern während der Installation den schnellen Zugriff ermöglichen.

Doch trotz der damit verbundenen Sicherheitsbedenken werden diese Passwörter oft noch lange nach der Einführung unverändert beibehalten.

Warum werden Standardpasswörter verwendet?

Es gibt mehrere Gründe für die Beibehaltung von Standardpasswörtern, sowohl auf der Seite der Hersteller als auch auf der Seite der Benutzer. Der wichtigste Grund für die Hersteller ist, dass sie den Einsatz in großen Umgebungen erleichtern. Die Verwendung eines standardmäßigen, bekannten Passworts gestattet die schnelle Bereitstellung, Prüfung und Auslieferung von Geräten ohne komplizierte Einrichtungsprozesse.

Wenn Hersteller Standardpasswörter festlegen, verlagern sie die Verantwortung für die Sicherheit auf die nachgeordneten Ebenen – und genau dort kommt es häufig zu Problemen. In Geschäftsumgebungen verteilen IT-Teams möglicherweise Laptops, Telefone, Router oder andere Geräte an Mitarbeiter mit der Erwartung, dass sie die Onboarding-Anweisungen befolgen, darunter das Ändern des Standardpassworts in ein sicheres Passwort.

Viele Benutzer tun dies jedoch nicht. Egal, ob aus Gewohnheit, Bequemlichkeit oder mangelndem Bewusstsein, oft überspringen die Mitarbeiter diesen Schritt, sodass die Geräte ungeschützt bleiben und tote Winkel in der Sicherheitslage des Unternehmens entstehen.

Das Risiko von Standardpasswörtern

Unveränderte Standardpasswörter können sowohl für Einzelpersonen als auch für Unternehmen zu ernsthaften Sicherheitsbedrohungen führen. Oft sind diese Anmeldedaten öffentlich zugänglich und werden in Benutzerhandbüchern oder auf Hersteller-Websites aufgeführt, weshalb sie von Angreifern beim Scannen nach anfälligen Systemen als erstes ausprobiert werden. Sobald sie den Weg hinein gefunden haben, kann der Schaden schnell eskalieren.

• Botnet-Rekrutierung: Häufig werden kompromittierte Geräte unbemerkt in große Botnets eingeschleust, in denen Tausende anfälliger Systeme zum Starten von DDoS-Angriffen (Distributed Denial of Service) oder zur Verbreitung von Malware genutzt werden.
• Einschleusen von Ransomware und laterale Bewegungen: Standardpasswörter können als erster Einstiegspunkt für Ransomware-Betreiber dienen. Wenn Angreifer erst einmal über ein ungesichertes Gerät in ein Netzwerk eingedrungen sind, können sie mit verheerenden Folgen lateral vorgehen.
• Ausnutzung der Lieferkette: Verschaffen sich Angreifer Zugang zu Systemen, die in Partner- oder Lieferantensysteme integriert sind, können sie diese vertrauenswürdigen Verbindungen zur Verbreitung von Schadsoftware, zur Exfiltration vertraulicher Daten oder zur Beeinträchtigung nachgelagerter Kunden ausnutzen.

Reale Beispiele für Angriffe mit Standardpasswörtern

Angriff auf die Wasserversorgung in Pennsylvania

Im Jahr 2023 wurde ein Wasserwerk im US-amerikanischen Pennsylvania Opfer eines Cyberangriffs, initiiert von ausländischen Hackern, bekannt als „Cyber Av3ngers“. Das Wasserwerk setzte programmierbare Logiksteuerungen von Unitronics zur Überwachung und Regelung der Wassersysteme ein, die offensichtlich mit dem Standardpasswort „1111“ mit dem offenen Internet verbunden waren. Die Hacker fanden dieses schwache Standardpasswort und machten es sich zunutze, um die Kontrolle über das System zu übernehmen und den Betrieb vorübergehend einzustellen. 

Dieser Angriff sowie mehrere andere damit zusammenhängende Sicherheitsverletzungen veranlassten verschiedene Behörden, darunter das FBI, die CISA und die NSA, eine gemeinsame Empfehlung zu veröffentlichen, in der vor der Bedrohung gewarnt und Organisationen dringend zu Schutzmaßnahmen wie dem Austausch aller Standardpasswörter aufgefordert werden.

Mirai-Botnet

Eines der berüchtigtsten Beispiele für einen Cyberangriff unter Ausnutzung von Standardpasswörtern ist das Mirai-Botnet, das im Jahr 2016 auf den Plan trat. Mirai richtete sich speziell gegen Geräte des Internets der Dinge (IoT) wie Router und IP-Kameras, die weiterhin Standard-Anmeldedaten verwendeten. Die Malware scannte das Internet kontinuierlich nach anfälligen Geräten und verwendete eine hartkodierte Liste üblicher Standardanmeldeinformationen wie „admin:admin“ oder „root:123456“, um sich unbefugten Zugang zu verschaffen. Sobald ein Gerät kompromittiert wurde, rekrutierte Mirai es als Teil einer massiven Botnet-Armee, die von den Angreifern ferngesteuert werden konnte.

Mirai wurde für einige der größten Distributed Denial of Service (DDoS)-Angriffe aller Zeiten verwendet. In einem besonders aufsehenerregenden Fall griff Mirai den DNS-Anbieter Dyn an, mit der Folge weitreichender Ausfälle bei großen Unternehmen wie Twitter, Netflix und Reddit.

Die Folgen der Verwendung von Standardpasswörtern

Standardpasswörter dienen in der Regel zur Vereinfachung der Ersteinrichtung, werden sie jedoch nach der Bereitstellung nicht geändert, ist Ihr Unternehmen für Angriffe anfällig. Zusätzlich zum Risiko einer Sicherheitsverletzung selbst finden Sie hier einige der möglichen Konsequenzen, wenn Sie sich auf werksseitig eingestellte oder fest codierte Anmeldedaten verlassen:

1.     Markenschäden durch Sicherheitsverletzungen

Wenn ein Cyberangriff voreingestellte Anmeldeinformationen in Ihrer Infrastruktur ausnutzt, können die Auswirkungen dem Ruf Ihres Unternehmens erheblichen Schaden zufügen. Öffentlich bekannt gewordene Sicherheitsverletzungen – besonders jene, die Kundendaten oder kritische Abläufe betreffen – schaden dem Vertrauen und können zu Geschäftseinbußen, negativer Presse und geschädigten Partnerschaften führen.

In bestimmten Fällen kann Ihr Unternehmen auch internen Untersuchungen, einer Prüfung durch den Vorstand oder rechtlichen Schritten aufgrund von Fahrlässigkeit ausgesetzt sein.

2.     Bußgelder bei Nichteinhaltung von Vorschriften

Mit neuen Vorschriften wie dem EU Cyber Resilience Act und Gesetzen auf Ebene der US-Bundesstaaten (wie in Kalifornien) wird gegen Hersteller vorgegangen, die Geräte mit unsicheren Standardeinstellungen liefern. Mit diesen Gesetzen können erhebliche Geldstrafen verhängt und sogar der Verkauf von nicht konformen Produkten verboten werden. Unternehmen, die ihre Standardpasswörter nicht abschaffen, müssen damit rechnen, dass sie rechtlich belangt werden und ihre Produkte später umgestalten müssen.

3.     Hohe Betriebskosten

Wenn Sie Standardpasswörter unverändert lassen, erhöht sich Ihr Risiko für Cyber-Bedrohungen erheblich, was sich wiederum auf die Kosten für die Wartung Ihrer Systeme auswirkt.

Schon eine einzige Kompromittierung kann Patches für Notfälle, forensische Untersuchungen, Ausfallzeiten und Systemumstellungen erforderlich machen. All diese reaktiven Maßnahmen verursachen mehr Störungen und sind teurer als eine proaktive Passwortverstärkung.

4.     Risiko für allgemeine IT-Systeme

Schwachstellen durch Standardpasswörter bleiben in der Regel nicht isoliert. Hat ein Angreifer erst einmal Zugriff auf ein einziges unzureichend gesichertes Gerät oder System erlangt, kann er sich lateral durch Ihr Netzwerk bewegen, unter Ausnutzung der Privilegienerweiterung immer mehr Zugriff erlangen und erhebliche Störungen und Schäden verursachen.

Das ist besonders gefährlich in kritischen Umgebungen wie Gesundheitseinrichtungen oder industriellen Kontrollsystemen, in denen eine einzige Schwachstelle die Sicherheit der gesamten Infrastruktur untergraben kann.

Wie Sie das Risiko von Standardpasswörtern verringern können

Standardpasswörter sind einer der einfachsten Einstiegspunkte für Angreifer. Zum Glück sind sie auch mit am einfachsten zu reparieren. Durch proaktive Maßnahmen kann Ihr Unternehmen die Anfälligkeit für Angriffe auf der Grundlage von Zugangsdaten drastisch verringern.

1.     Regelmäßige Ermittlung und Überprüfung von Standardanmeldeinformationen

Um Standardpasswörter zu finden, müssen Sie zunächst wissen, wo sie verwendet werden. Unterziehen Sie Ihr gesamtes Netzwerk regelmäßigen Audits, um alle standardmäßigen oder unsicheren Anmeldeinformationen aufzuspüren, die noch verwendet werden.

Dies beinhaltet die Überprüfung der Herstellerdokumentation, die Suche nach den bekannten Standardpasswort-Benutzerkombinationen und den Einsatz automatischer Tools, um unsichere Konfigurationen zu erkennen.

Unser kostenloser Specops Password Auditor bietet Ihnen die Möglichkeit, einen Nur-Lese-Bericht über Ihr Active Directory zu erstellen, um schwache oder gefährdete Anmeldedaten zu identifizieren. Er kann den NTHash jedes Passworts vergleichen und Benutzer mit demselben Passwort anzeigen – ein Hinweis auf die mögliche Verwendung von Standardpasswörtern. Hier kostenlos testen.

2.     Standardpasswörter sofort ändern

Sobald Sie ein neues Gerät, einen neuen Dienst oder eine neue Plattform in Ihre Umgebung integrieren, sollten Sie als Teil des anfänglichen Einrichtungsprozesses sofort eine Passwortänderung erzwingen. Versuchen Sie möglichst, alle Konten mit Standard-Anmeldedaten vollständig zu deaktivieren – möglicherweise sind sie gar nicht notwendig, und durch ihre Eliminierung wird die Angriffsfläche erheblich verringert.

Specops First Day Password, ein Feature von Specops uReset, kann diesen Prozess sicherer und reibungsloser gestalten. Dadurch müssen neue Benutzer bei der Einrichtung keine temporären Passwörter mehr verwenden. Die Benutzer können ihr Onboarding-Passwort stattdessen selbst zurücksetzen, ohne jemals das ursprüngliche Passwort zu kennen oder damit umgehen zu müssen.

Mit diesem einfachen Schritt beseitigen Sie eine verbreitete Schwachstelle in Ihrem Onboarding-Prozess und erhöhen sowohl die Sicherheit als auch die Benutzerfreundlichkeit. Kontaktieren Sie uns für eine kostenlose Demo.

3.     Implementieren starker Passwortrichtlinien

Standardpasswörter stellen eine Gefahr dar, das gilt aber auch für schwache Passwörter im Allgemeinen. Sie sollten unbedingt strenge Passwortrichtlinien durchsetzen, die die Mindestanforderungen an Komplexität und Länge erfüllen.

Specops Password Policy kann Ihnen bei der Verbesserung Ihrer Passwortsicherheit helfen, indem es die Einhaltung von Vorschriften sicherstellt und über 4 Milliarden kompromittierte Passwörter in Ihrem Active Directory blockiert. Melden Sie sich noch heute für eine kostenlose Live-Demo an.

4.     Multi-Faktor-Authentifizierung (MFA) aktivieren

Multifaktor-Authentifizierung reduziert das Risiko erheblich, dass ein kompromittiertes Passwort (Standard- oder anderweitig) zu einem Verstoß führen kann. Durch die Anforderung einer zweiten Form der Authentifizierung, z. B. eines einmaligen Passcodes von einer Authentifizierungs-App, bildet MFA eine zweite Verteidigungslinie, die Angriffe bereits im Ansatz stoppen kann.

5.     Segmentierung und Überwachung des Netzzugangs

Selbst wenn Sie eine strenge Passwortrichtlinie anwenden, sollten Sie immer damit rechnen, dass Ihre Anmeldedaten kompromittiert werden könnten. Falls sich Angreifer dennoch Zugriff verschaffen, kann eine Netzwerksegmentierung die Bewegungsfreiheit der Angreifer innerhalb Ihrer Umgebung einschränken.

Die kontinuierliche Überwachung und Protokollierung ist außerdem wichtig zur Erkennung ungewöhnlicher Zugriffsversuche, insbesondere von bekannten Standard-Zugangsdatenmustern oder nicht erkannten IP-Adressen.

Schützen Sie Ihr Unternehmen noch heute vor den Risiken von Standardpasswörtern

Eines der besten Mittel zur Minderung des Risikos von Standardpasswörtern in Ihrer Umgebung besteht darin, strenge Passwortrichtlinien zu implementieren, die die Verwendung eindeutiger, komplexer Anmeldeinformationen für jedes System fördern, die regelmäßige Änderung von Passwörtern zu erzwingen und die Wiederverwendung üblicher oder voreingestellter Standardpasswörter zu verbieten.

 Specops Password Policy ermöglicht einen proaktiven Ansatz zur Passwortsicherheit, mit dem Sie auf einfache Weise die Einhaltung von Vorschriften durchsetzen und über 4 Milliarden kompromittierte Passwörter aus Ihrem Active Directory blockieren können. Specops Password Policy ermöglicht nicht nur die kontinuierliche Suche nach neuen geknackten Passwörtern, es kann auch verhindern, dass Endanwender überhaupt schwache Passwörter erstellen. So wird die Bedrohung durch Angriffe über Anmeldeinformationen beseitigt.

Möchten Sie mehr über Specops Password Policy zur Beseitigung von Standardpasswörtern in Ihrem AD erfahren? Vereinbaren Sie noch heute eine Live-Demo.