Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Passwortsicherheit Guide 2026 - Sichere Passwörter erstellen und verwalten
Security Awareness

Passwortsicherheit 2026: Der vollständige Guide für sichere Passwörter

Warum die meisten Passwörter unsicher sind, wie sichere Passwörter und Passphrasen aussehen, was Sie nach einem Datenleck tun müssen - und warum Passkeys die Zukunft sind.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
12 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Schwache Passwörter sind der häufigste Einstiegspunkt bei Cyberangriffen. Ein sicheres Passwort ist mindestens 12 Zeichen lang, einzigartig für jeden Dienst und nicht in Datenpannen vorhanden. Passphrasen aus zufälligen, thematisch unverbundenen Wörtern sind leichter zu merken und schwerer zu knacken als kurze Zufallspasswörter. Passwort-Manager lösen das Problem der Merkbarkeit vollständig. Passkeys als FIDO2-basierter Nachfolger sind technisch phishing-sicher und werden langfristig Passwörter ersetzen. Ob eigene Daten in Datenpannen enthalten sind, prüft haveibeenpwned.com kostenlos.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (9 Abschnitte)

Passwörter sind das schwächste Glied in der Sicherheitskette - und gleichzeitig die meistgenutzte Authentifizierungsmethode. Der Verizon Data Breach Investigations Report 2024 ist eindeutig: 68 Prozent aller Datenlecks entstehen durch gestohlene oder schwache Zugangsdaten, 86 Prozent aller webbasierten Angriffe sind credential-basiert.

Dieser Guide zeigt, warum Passwörter so häufig scheitern, wie Sie heute sichere Passwörter erstellen und verwalten - und warum Passkeys als nächste Stufe bereits bereitstehen.

Warum die meisten Passwörter unsicher sind

Das Wiederverwendungsproblem

51 Prozent der Menschen nutzen dasselbe Passwort für mehrere Dienste. Das Hasso-Plattner-Institut analysierte eine Milliarde Nutzerkonten aus 31 veröffentlichten Datenlecks: 20 Prozent verwendeten exakt das gleiche Passwort auf mehreren Plattformen, 27 Prozent nutzten geringfügige Abwandlungen derselben Passphrase.

Das Ergebnis ist verheerend: Sobald ein einziger Dienst gehackt wird, ist das Passwort auf der Liste. Angreifer führen dann automatisierte Credential-Reuse-Angriffe durch - ein Tool testet innerhalb von Sekunden dutzende Webseiten mit der gefundenen E-Mail-Passwort-Kombination. Erlangen die Angreifer Zugang zum E-Mail-Konto, ist die Wiederherstellung der übrigen Accounts in den meisten Fällen nicht mehr möglich.

Das Vorhersehbarkeitsproblem

Das Passwort “123456” wurde 2020 allein 2.543.285 Mal in Datenlecks gefunden - in Summe über alle Jahre 23.597.311 Mal. Das beliebteste Passwort weltweit landet 2024 noch immer unter den Top 5.

Fußballvereine werden überraschend häufig als Passwort verwendet. “schalke” und ähnliche Club-Namen erscheinen regelmäßig in den Listen meistgenutzter Passwörter. Angreifer kennen diese Muster und testen sie systematisch.

Gleiches gilt für Muster, die durch erzwungene Passwortänderungen entstehen: Wenn Nutzer ihr Passwort regelmäßig ändern müssen, entstehen vorhersehbare Variationen. Eine Studie der University of North Carolina analysierte 7.700 Accounts und stellte fest: Bei Nutzern, die regelmäßig zu Änderungen gezwungen wurden, entstanden Muster wie tarheels#1tarheels#2. 17 Prozent der Online-Accounts wurden in weniger als fünf Versuchen geknackt. Bei Offline-Accounts sieht es noch schlechter aus: 41 Prozent wurden in weniger als drei Sekunden gebrochen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese Erkenntnis umgesetzt und empfiehlt inzwischen, Passwörter nicht mehr routinemäßig zu ändern - nur noch bei konkretem Kompromittierungshinweis.

Das Brute-Force-Problem

Moderne Hardware knackt kurze Passwörter erschreckend schnell. Ein normaler Laptop ohne dedizierte Grafikkarte schafft beim MD5-Hashverfahren etwa 875 Millionen Hashes pro Sekunde. Ein 6-stelliges Passwort ist damit in Sekunden geknackt. Ein Setup aus zehn Nvidia GTX 1080 Ti, das rund 10.000 Euro kostet, erreicht rund 355 Milliarden Hashes pro Sekunde für MD5.

Die Empfehlung aus diesen Zahlen: Passwörter unter 10 Zeichen bieten mit aktueller Hardware keinen ausreichenden Schutz mehr. Die Mindestempfehlung liegt bei 12 Zeichen - besser 15 oder mehr.

Wichtig dabei: MD5 gilt als veraltet und unsicher. Moderne Systeme verwenden stärkere Hashverfahren (bcrypt, Argon2, scrypt), die deutlich langsamer zu berechnen sind und Brute-Force-Angriffe erheblich verlangsamen. Die Länge des Passworts bleibt dennoch der entscheidende Faktor.

Wie sichere Passwörter aussehen

Die Grundregeln

Ein sicheres Passwort erfüllt vier Kriterien:

  1. Mindestlänge: 12 Zeichen, empfohlen 15 oder mehr
  2. Einzigartigkeit: Kein Passwort auf mehr als einem Dienst verwenden
  3. Kein persönlicher Bezug: Kein Name, kein Geburtstag, kein Vereinsname
  4. Nicht in Datenpannen enthalten: Prüfung über haveibeenpwned.com

Was weniger entscheidend ist als oft angenommen: das erzwungene Einbauen von Sonderzeichen, Großbuchstaben und Zahlen in kurze Passwörter. Ein 8-Zeichen-Passwort mit Sonderzeichen ist schwächer als ein 16-Zeichen-Passwort ohne. Länge schlägt künstliche Komplexität.

Das Scheinproblem sicherer Passwörter: Merkbarkeit

Kryptische Zufallspasswörter wie X7$k2mQp9! sind sicher - aber kaum merkbar. Hilfsmittel wie der Kryptonizer von passwort-ausdenken.de können helfen: Aus einem einfachen Merkwort wie “Bolognese” wird per persönlicher Verschlüsselungskarte ein kryptisches Passwort wie 5oW#7m%mm3D3. Die Karte wird zweifach ausgedruckt - einmal für die Brieftasche, einmal als Backup. Das Prinzip verbindet Besitz und Wissen.

Noch eleganter ist die Passphrase-Methode - dazu gleich mehr.

Passphrasen: Das sicherere und merkbarere Passwort

Eine Passphrase besteht aus mehreren Wörtern statt aus einem kryptischen Zeichensalat. Der entscheidende Vorteil: Passphrasen aus vier zufälligen, thematisch unverbundenen Wörtern brauchen Angreifer Jahrhunderte zum Erraten - und lassen sich gleichzeitig besser merken als kurze Zufallspasswörter.

So erstellen Sie eine sichere Passphrase

Wählen Sie Wörter aus völlig unterschiedlichen Lebensbereichen:

  1. Ihr Lieblingsgericht, ein Urlaubsort oder ein Hobby - zum Beispiel: “Air Skydiving”
  2. Eine aktuelle Nachricht oder ein aktuelles Ereignis - zum Beispiel: “Pandemie”
  3. Ein Wort aus einem digitalen Wörterbuch nach dem Zufallsprinzip - zum Beispiel: “Retikulum”

Daraus entsteht: “Air Skydiving Pandemie Retikulum”

Leerzeichen sind in Passwörtern ebenfalls Zeichen. Sie können sie durch Sonderzeichen ersetzen, um typischen Passwortanforderungen zu entsprechen:

“Air-Skydiving_Pandemie_Retikulum”

Mit Zahlen, die Anforderungen für Ziffern erfüllen:

“1Air-Skydiving_2Pandemie_3Retikulum”

Das Ergebnis ist ein sehr starkes Passwort. Wenn Sie es sich bildlich vorstellen - jemand, der beim Air Skydiving an die Pandemie und ein astronomisches Objekt namens Retikulum denkt - fällt das Merken deutlich leichter als bei einem reinen Zeichensalat.

Was Passphrasen nicht schützt

IT-Sicherheitsexperten raten davon ab, Songtexte oder bekannte literarische Werke wie die Bibel als Ideengeber zu nutzen. Angreifer testen diese Quellen gezielt. Die ausgewählten Wörter müssen aus thematisch unverbundenen Bereichen stammen.

Und das Wichtigste: Auch die stärkste Passphrase gilt nur für einen einzigen Dienst. Mehrfachverwendung macht auch die beste Phrase angreifbar.

Login ohne Passwort: Passkeys, MFA und die Post-Passwort-Ära

Multi-Faktor-Authentifizierung als Zwischenschritt

Multi-Faktor-Authentifizierung (MFA) setzt voraus, dass Angreifer sowohl das Passwort als auch einen zweiten Faktor kennen - etwa einen TOTP-Code aus einer Authenticator-App oder einen SMS-Code. Das macht einen kompromittierten Faktor allein wertlos.

Es gibt verschiedene MFA-Verfahren mit unterschiedlichen Sicherheitsstufen:

  • FIDO2/Passkeys: Höchste Sicherheit, technisch phishing-unmöglich
  • TOTP-Apps (Microsoft/Google Authenticator): Gut für die meisten Fälle
  • SMS-OTP: Besser als nichts, aber SIM-Swapping ist ein bekanntes Angriffsszenario
  • E-Mail-OTP: Anfällig, wenn der E-Mail-Account selbst kompromittiert ist

Ein kritischer Punkt: TOTP und SMS können durch Echtzeit-Phishing-Relay umgangen werden. Ein Angreifer betreibt eine Phishing-Seite, das Opfer gibt den TOTP-Code ein, der Angreifer leitet ihn sofort an den echten Server weiter - das 30-Sekunden-Fenster reicht vollständig aus.

Passkeys: Die phishing-sichere Alternative

Passkeys sind die Implementierung des FIDO2-Standards, die auf Apple-, Google- und Microsoft-Plattformen nativ unterstützt wird. Das Kernprinzip unterscheidet sich grundlegend von Passwörtern: Niemals wird ein Geheimnis übertragen.

Bei der Registrierung generiert das Gerät ein Schlüsselpaar. Der Private Key bleibt auf dem Gerät und verlässt es nie. Der Public Key wird zum Server gesendet. Beim Login signiert das Gerät eine Server-Challenge mit dem Private Key - Biometrie oder PIN entsperren den Private Key lokal. Der Server prüft die Signatur mit dem gespeicherten Public Key.

Was niemals übertragen wird: kein Passwort, kein Private Key, keine biometrischen Daten (Face ID bleibt auf iPhone oder Android).

Der Phishing-Schutz ergibt sich aus dem Origin Binding: Der Private Key ist an eine Domain gebunden. Auf einer Phishing-Domain mit einem ähnlichen, aber anderen Domainnamen ist die Origin eine andere - die Signatur schlägt fehl, ein Login ist technisch unmöglich.

Laut FIDO Alliance 2024 sind über 13 Milliarden Passkey-fähige Geräte weltweit im Einsatz. Apple, Google und Microsoft unterstützen Passkeys seit 2022/2023 nativ. Über 10.000 Dienste - darunter Shopify, GitHub und PayPal - unterstützen bereits Passkeys. Google hat seit dem internen FIDO2-Rollout 2017 keinen einzigen Account-Takeover durch Phishing verzeichnet.

User-Akzeptanz und Missverständnisse

Eine Studie der Ruhr-Universität Bochum, des Max-Planck-Instituts für Sicherheit und Privatsphäre sowie der University of Chicago mit 414 Probanden ergab: Rund 70 Prozent der Nutzer glauben fälschlicherweise, dass ihr Fingerabdruck beim passwortlosen Login an den Anbieter übertragen und dort gespeichert wird. Tatsächlich verbleibt der kryptografische Schlüssel ausschließlich auf dem Endgerät.

Weitere 60 Prozent der Befragten gingen davon aus, bei einem defekten Fingerabdrucksensor den Kontozugang vollständig zu verlieren - obwohl WebAuthn eine PIN-Alternative bietet. Gleichzeitig vertrauen 93 Prozent der Befragten dem biometrischen Schutz grundsätzlich.

Das Fazit der Forscher: Der wichtigste Kommunikationspunkt ist, dass biometrische Daten nicht an den Anbieter übertragen werden. Passkeys sind sicherer und schneller als Passwörter - die Nutzer-Erfahrung dauert rund 2 Sekunden statt 12,5 Sekunden bei Passwort plus TOTP.

Was tun, wenn das Passwort gestohlen wurde?

Wie Angreifer mit gestohlenen Passwörtern umgehen

Anfang 2019 wurde einer der damals größten Datensätze mit Zugangsdaten veröffentlicht: rund 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter. Solche Listen werden von Angreifern nicht blind eingesetzt. Sie werden gezielt auf das Opfer angepasst.

Ein Schalke04-Fan wird höchstwahrscheinlich nicht “Dortmund123” als Passwort verwenden - solche Vermutungen aus dem Social-Engineering-Bereich helfen Angreifern, die Passwortliste zu filtern und die Trefferwahrscheinlichkeit zu erhöhen. Persönliche Bezüge wie Vereinsnamen oder Familiennamen auf Social Media machen das Passwort angreifbar.

Erpressungsmails, die ein echtes Passwort enthalten und mit Webcam-Material drohen, nutzen exakt diese Datenpannen. Die Kriminellen besitzen in der Regel keinerlei Videoaufnahmen - sie schöpfen die Zugangsdaten ausschließlich aus alten, teils über zehn Jahre zurückliegenden Datenpannen. Auf solche Erpressungen sollte niemand eingehen.

Ob Ihre Daten betroffen sind, prüfen Sie so

Die Website haveibeenpwned.com von Troy Hunt ermöglicht es kostenlos, E-Mail-Adressen auf bekannte Datenpannen zu prüfen. Wir raten davon ab, aktiv genutzte Passwörter durch die Datenbank zu schicken. Eine deutsche Alternative betreibt das Hasso-Plattner-Institut in Potsdam: Der HPI Identity Leak Checker gibt erst Informationen preis, sobald Sie sich als Inhaber der E-Mail-Adresse verifiziert haben.

Sofortmaßnahmen bei einem Datenleck

  1. Betroffenes Passwort sofort auf allen Diensten ändern, auf denen Sie es verwendet haben
  2. MFA aktivieren auf dem betroffenen Account und auf allen anderen wichtigen Accounts
  3. Passwort-Manager einrichten, um künftig für jeden Dienst ein einzigartiges Passwort zu verwenden
  4. Prüfen, ob Ihr E-Mail-Konto noch unter Ihrer Kontrolle ist - der E-Mail-Zugang ist der Generalschlüssel für Passwort-Resets aller anderen Dienste

Erpressungsmails, die ein echtes (aber altes) Passwort enthalten, signalisieren, dass dieses Passwort aus einer alten Datenpanne stammt. Sofern Sie es schon geändert haben, besteht kein akuter Handlungsbedarf über die Bestätigung des Sachverhalts hinaus.

Häufige Fehler bei Passwörtern - und wie Sie sie vermeiden

Fehler 1: Persönliche Bezüge im Passwort

Geburtstage, Haustiernamen, Lieblingssportvereinsname - all das ist für Angreifer aus sozialen Netzwerken leicht recherchierbar. Ein Hacker, der sein Ziel kennenlernen will, schaut zuerst auf LinkedIn, Facebook und Instagram. Wer “schalke04” oder “Bundesliga2024” als Passwort verwendet, macht es Angreifern besonders leicht: Solche Passwörter stehen in personalisierten Wörterlisten ganz oben.

Das Hasso-Plattner-Institut analysierte Passwörter aus öffentlichen Datenpannen: “123456” ist das am häufigsten gestohlene Passwort überhaupt. Direkt dahinter folgen Tastaturmuster wie “qwerty”, “qwertz” und “asdfgh” - Muster, die in jeder Angriffsliste als erstes durchprobiert werden.

Fehler 2: Passwörter auf Zetteln notieren

Passwörter auf einem Zettel unter der Tastatur, hinter dem Bildschirm oder auf einem Aufkleber neben dem Computer zu notieren, ist eine verbreitete Praxis - besonders in Büroumgebungen. Das Problem: Wer physischen Zugang zum Arbeitsplatz hat, hat damit auch Zugang zu allen gespeicherten Accounts.

Im Heimbereich ist das Risiko geringer, aber nicht null. Im öffentlichen Bereich - Büros, Coworking Spaces, Empfangsbereiche - sollten Passwörter niemals sichtbar notiert sein. Ein Passwort-Manager macht diese Praxis überflüssig, da Passwörter sicher gespeichert und bei Bedarf automatisch ausgefüllt werden.

Fehler 3: Das gleiche Passwort für E-Mail und andere Dienste

Der E-Mail-Account ist der Generalschlüssel für alle anderen Passwörter. Vergessene Passwörter werden per E-Mail zurückgesetzt. Wer also dieselbe E-Mail-Passwort-Kombination auf mehreren Diensten nutzt und das Passwort aus einem Datenleck in fremde Hände gerät, verliert im schlimmsten Fall die Kontrolle über alle verknüpften Accounts - und kann sich selbst nicht mehr durch Passwort-Reset zurücksetzen.

Das Passwort des E-Mail-Kontos sollte immer:

  • einzigartig sein (nirgendwo sonst verwendet)
  • lang sein (15 Zeichen oder mehr)
  • mit MFA abgesichert sein

Fehler 4: Passwörter im Browser speichern

Browser bieten Passwort-Speicherung als Bequemlichkeitsfunktion an. Das ist praktisch - aber Browser sind primär zum Surfen entwickelt, nicht zur sicheren Verwaltung von Zugangsdaten. Bestimmte Angriffsvektoren, die einen Browser-Exploit ausnutzen, können auf gespeicherte Passwörter zugreifen. Zudem synchronisieren viele Browser Passwörter über Cloud-Dienste, die möglicherweise nicht denselben Schutz wie ein dedizierter Passwort-Manager bieten.

Für gelegentliche, unkritische Zugänge mag die Browser-Speicherung tolerierbar sein. Für wichtige Accounts - E-Mail, Banking, Unternehmens-Login - empfiehlt sich ein dedizierter Passwort-Manager.

Passwortsicherheit in verschiedenen Kontexten

Privat: Die wichtigsten Accounts zuerst sichern

Nicht alle Accounts sind gleich wichtig. Eine Priorisierung hilft:

Kritisch (zuerst absichern):

  • E-Mail-Konto (Generalschlüssel für alle anderen)
  • Online-Banking und Zahlungsdienste
  • Wichtigste Social-Media-Accounts (Identität, Privatsphäre)
  • Cloud-Speicher mit sensiblen Daten (Fotos, Dokumente)

Mittel:

  • Einkaufs-Accounts mit gespeicherter Zahlungsmethode
  • Streaming-Dienste
  • Arbeitgeber-VPN und -Portale

Weniger kritisch:

  • Forum-Accounts ohne persönliche Daten
  • Newsletter-Abonnements

Der Aufwand für jeden Account sollte proportional zur Sensibilität der gespeicherten Daten sein. Ein Passwort-Manager erleichtert es erheblich, auch für weniger wichtige Accounts einzigartige Passwörter zu verwenden - ohne mentalen Mehraufwand.

Im Unternehmen: Besondere Herausforderungen

Unternehmensumgebungen haben spezifische Anforderungen. Ein durchschnittlicher Mitarbeiter verwaltet über 90 Online-Accounts - viele davon beruflich. Kompromittierte Unternehmens-Zugangsdaten können weitreichende Folgen haben: Datenpannen, Ransomware-Angriffe, regulatorische Strafen.

Besondere Risikopunkte im Unternehmenskontext:

  • Shared Accounts: Mehrere Personen teilen ein Passwort - niemand ist verantwortlich, Änderungen sind unkontrolliert
  • Default-Passwörter: Neue Systeme kommen mit Standardzugangsdaten (admin/admin, root/root), die nie geändert werden
  • Ausscheidende Mitarbeiter: Passwörter, die ausgeschiedene Mitarbeiter kennen und die nicht sofort geändert werden

Diese spezifischen Herausforderungen und Lösungsansätze sind ausführlich in unserem Artikel zu sicheren Passwort-Richtlinien für Unternehmen behandelt.

Für Unternehmen: Passwort-Richtlinien und Security Awareness

Unternehmensumgebungen stehen vor besonderen Herausforderungen. Mitarbeiter verwalten im Schnitt über 90 Online-Accounts. Ein einziges kompromittiertes privates E-Mail-Passwort kann über Credential Stuffing zum Einstieg ins Firmen-SSO werden.

Moderne Passwort-Richtlinien für Unternehmen - wie vom NIST SP 800-63B (2017, aktualisiert 2024) und vom BSI in seinen IT-Grundschutz-Kompendien empfohlen - setzen auf Länge statt erzwungener Komplexität und verzichten auf routinemäßige Änderungsintervalle. Das Thema wird in unserem Artikel zu sicheren Passwort-Richtlinien für Unternehmen ausführlich behandelt.

Praktische Umsetzung: Mitarbeiter, die verstehen warum Passwort-Hygiene wichtig ist, schützen sich besser als solche, die nur Regeln befolgen. Security Awareness Training - mit Live-Hacking-Demonstrationen, die zeigen, wie schnell schwache Passwörter geknackt werden - erhöht die Motivation zur Verhaltensänderung nachhaltig.

Security Awareness Training anfragen

FAQ: Passwortsicherheit

Wie lang muss ein sicheres Passwort sein?

Mindestens 12 Zeichen, empfohlen sind 15 oder mehr. Die Länge ist wichtiger als erzwungene Komplexität durch Sonderzeichen. Ein 16-Zeichen-Passwort ohne Sonderzeichen ist sicherer als ein 8-Zeichen-Passwort mit vielen Sonderzeichen.

Wie oft sollte ich mein Passwort ändern?

Laut BSI und NIST: nur bei konkretem Kompromittierungshinweis - nicht routinemäßig alle 90 Tage. Erzwungene regelmäßige Änderungen führen zu vorhersehbaren Mustern (Version1, Version2) und senken die Sicherheit in der Praxis.

Was ist der Unterschied zwischen Passwort und Passphrase?

Eine Passphrase besteht aus mehreren Wörtern, ein Passwort typischerweise aus einer Zeichenkombination. Passphrasen aus zufälligen, thematisch unverbundenen Wörtern sind leichter zu merken und - bei ausreichender Länge - mindestens genauso sicher wie kryptische Kurzpasswörter.

Was ist ein Passwort-Manager und brauche ich einen?

Ein Passwort-Manager ist ein verschlüsselter digitaler Tresor, der Passwörter sicher speichert und automatisch ausfüllt. Sie müssen sich nur ein einziges starkes Master-Passwort merken. Ohne Passwort-Manager ist konsequente Passwort-Hygiene (einzigartiges Passwort für jeden Dienst) in der Praxis kaum realisierbar. Details zu den besten Passwort-Managern finden Sie in unserem Passwort-Manager-Vergleich.

Was sind Passkeys und sind sie sicherer als Passwörter?

Passkeys sind eine FIDO2-basierte Authentifizierungsmethode, bei der niemals ein Geheimnis übertragen wird. Sie sind technisch phishing-sicher - auf einer Phishing-Domain ist ein Login mit dem echten Passkey technisch unmöglich. Google hat seit dem internen FIDO2-Rollout 2017 keinen einzigen Account-Takeover durch Phishing verzeichnet. Passkeys sind die sicherste aktuell verfügbare Authentifizierungsmethode.

Was tun, wenn ich eine Erpressungsmail mit einem meiner echten Passwörter erhalte?

Nicht zahlen. Solche Mails stammen aus alten Datenpannen und enthalten in der Regel keinerlei Beweise für tatsächliche Webcam-Aufnahmen oder ähnliche Drohungen. Prüfen Sie über haveibeenpwned.com, ob Ihre E-Mail-Adresse in einer bekannten Datenpanne enthalten ist, und ändern Sie das genannte Passwort sofort auf allen Diensten, auf denen Sie es verwendet haben.

Wie erkenne ich, ob mein Passwort in einem Datenleck war?

Prüfen Sie Ihre E-Mail-Adresse kostenlos auf haveibeenpwned.com oder beim HPI Identity Leak Checker des Hasso-Plattner-Instituts unter dem Hasso-Plattner-Institut Potsdam. Der HPI Identity Leak Checker sendet Ergebnisse erst nach Bestätigung der E-Mail-Adresse, was den Datenschutz erhöht.

Passwortsicherheit ist kein einmaliges Projekt, sondern eine kontinuierliche Praxis. Der einfachste erste Schritt: Richten Sie heute einen Passwort-Manager ein - und aktivieren Sie MFA auf Ihren wichtigsten Accounts. Den passenden Manager für Ihre Situation finden Sie in unserem Passwort-Manager-Vergleich.

Für Unternehmen, die wissen wollen, wie widerstandsfähig ihre Mitarbeiter gegen Passwort-Angriffe und Phishing wirklich sind: Security Awareness Training anfragen

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung