Passwörter bleiben die Achillesferse vieler Schweizer Unternehmen. 2024–2025 zeigten Vorfälle wie der Phishing-Angriff auf die Zürich Insurance Group oder die Ransomware-Wellen mit Akira und Black Basta eindrücklich, wie kompromittierte Zugangsdaten zu Datenverlust, Betriebsunterbrüchen und Reputationsschäden führen können.
Warum Passwortsicherheit Chefsache sein muss
Passwörter sind nach wie vor ein primäres Einfallstor für Angreifer. Laut dem Trendreport 2024–2025 traf eine Ransomware-Welle viele Schweizer Firmen, wobei gestohlene oder schwache Passwörter und fehlende Multi-Faktor-Authentifizierung (MFA) wiederholt als Eintrittspunkte identifiziert wurden. Auch das Beispiel der Zürich Insurance Group Anfang 2024 macht deutlich: Phishing genügt, um Mitarbeiterkonten zu kompromittieren und sensible Kundendaten freizulegen. Für CISO, CTO und Security Engineers bedeutet das: Passwortpolitik und authentifizierende Maßnahmen gehören auf Vorstandsebene diskutiert und als Teil des Risikomanagements verankert.
Technische Massnahmen allein reichen nicht. Neben starken, einzigartigen Passwörtern sind automatisierte Passwort-Manager, MFA, die Verwaltung privilegierter Zugänge und kontinuierliche Überwachung zentrale Bausteine. Die Behördenstatistiken und Branchenanalysen zeigen, dass Organisationen, die diese Massnahmen konsequent umsetzen, deutlich resilienter gegenüber Credential-based Attacks sind (NCSC/Statista).
Konkrete Risiken: SSO, zentrale Verwaltung und Backup-Prozesse
Zentrale Identitäts- und Zugriffsplattformen vereinfachen den Betrieb – bergen aber systemische Risiken. Der Ausfall der SSO-Plattform Onelog im Oktober 2024 demonstriert, wie ein kompromittiertes oder fehlerhaft verwaltetes Authentifizierungssystem den Zugang für tausende Nutzer unterbrechen und zur vollständigen Löschung von Nutzerdaten führen kann. Für Unternehmen heisst das: SSO muss mit robusten Backup- und Recovery-Konzepten, strikter Zugriffsverwaltung und regelmässigen Security-Tests gepaart werden.
Darüber hinaus zeigen die registrierten Phishing-Mengen und die steigende Nutzung von KI für täuschend reale E-Mails, dass Awareness-Programme und Penetrationstests nicht optional sind. Das englische SPIE-Reporting sowie Meldungen zu massiven Phishing-Wellen belegen, dass Angreifer gezielt Mitarbeiterpasswörter angreifen, um initialen Zugriff zu erlangen.
Praktische Massnahmen für Unternehmen: Was sofort funktioniert
Aus den Vorfällen 2023–2025 lassen sich klare Handlungsempfehlungen ableiten, die sich technisch umsetzen und organisatorisch verankern lassen:
1. Durchsetzung starker Passwort-Policies und Reduktion von Passwortwiederverwendung. Nutzen Sie Richtlinien, die Mindestlängen, Komplexität und das Verbot von Passwortwiederverwendung über Passwort-Manager durchsetzen. Automatisierte Manager reduzieren menschliche Fehler und erleichtern die Umsetzung in grossen Nutzergruppen.
2. Multi-Faktor-Authentifizierung (MFA) als Pflicht für alle privilegierten und kritischen Zugänge. Viele Ransomware- und Datenexfiltrationsfälle liessen sich durch flächendeckendes MFA verhindern oder zumindest erschweren. Die Einführung sollte durch Monitoring und Notfallpläne ergänzt werden.
3. Verwaltung privilegierter Konten (PAM). Minimieren Sie dauerhafte Administrative Rechte, setzen Sie Just-in-Time-Privilegien und führen Sie Session-Logging ein. Dies reduziert die Angriffsfläche, selbst wenn Zugangsdaten kompromittiert werden.
4. Regelmässige Penetrationstests und Red‑Team-Übungen. Der Fall Zürich Insurance zeigt: Phishing-gestützte Kontoübernahmen bleiben real. Simulierte Angriffe helfen, Prozesslücken zu erkennen und Awareness-Massnahmen zu schärfen (Zerberos-Analyse).
5. Backup- und Recovery-Strategien für Authentifizierungsdaten. Der Onelog-Ausfall zeigt die Notwendigkeit, Authentifizierungsdaten und Nutzerkonten resilient zu halten. Regelmässige Backups, getrennte Wiederherstellungs-Pläne und die Möglichkeit, alternative Authentifizierungswege zu aktivieren, sind essenziell.
Organisatorische Umsetzung: Schulung, Governance und Messbarkeit
Technik muss begleitet werden von klarer Governance. Legen Sie Verantwortlichkeiten für Passwortsicherheit fest, messen Sie Compliance mit automatisierten Scans und berichten Sie regelmässig an die Geschäftsleitung. Awareness‑Programme sollten Phishing-Resilienz trainieren und die Nutzung von Passwort-Managern fördern. Die kombinierten Massnahmen reduzieren das Risiko von Account-Komprimittierungen und damit verbundener Folgeschäden, wie sie 2024 in mehreren Fällen dokumentiert wurden (SPIE-Analyse).
Technologie-Trend: Zero Trust und automatisierte Tools
Zero‑Trust-Architekturen, die standardmässig keine Vertrauensannahmen für Netzwerke oder Identitäten mehr treffen, reduzieren die Auswirkungen kompromittierter Passwörter. Die Kombination aus Identity‑Federation, Conditional Access, MFA und PAM ergibt eine Verteidigung in die Tiefe. Automatisierte Passwort-Manager und — wo sinnvoll — vordefinierte Secrets‑Management-Lösungen minimieren manuelle Eingriffe und senken das Risiko menschlicher Fehler.
Zudem zeigt die Praxis: Investitionen in technische Kontrollen zahlen sich aus. Studien und Umfragen, darunter der Cisco Cybersecurity Readiness Index, weisen darauf hin, dass rund 45 Prozent der Schweizer Unternehmen in den letzten zwölf Monaten von Cybervorfällen betroffen waren — viele ausgelöst durch unsichere Zugangsdaten und fehlendes MFA (Cisco-Referenz / angestellte.ch).
Fazit
Passwortsicherheit ist kein reines IT-Thema – sie ist ein zentraler Geschäftsrisiko-Faktor. Die Vorfälle 2023–2025 in der Schweiz (Zürich Insurance, SSO-Ausfall Onelog, Ransomware-Wellen) belegen, dass kompromittierte Zugangsdaten zu massiven betrieblichen und regulatorischen Folgen führen können. Für CISO, CTO und Security Engineers gilt es, technische Massnahmen (MFA, PAM, Passwort-Manager, Zero Trust) mit organisatorischer Verankerung (Governance, Reporting, Schulung) zu verknüpfen. Nur so lassen sich Credential-basierte Angriffe nachhaltig eindämmen.
Passwort- und Identity-Hardening – Ihr nächster Schritt
Wenn Ihre Organisation noch keine konsolidierte Identity-Strategie hat, starten Sie mit einer Bestandsaufnahme privilegierter Konten, der Einführung eines Passwort-Managers und der flächendeckenden Pflicht von MFA. Ergänzen Sie dies durch regelmässige Phishing‑Tests und einen aufgestellten Incident‑Response‑Plan. Externe Expertise kann helfen, Lücken rasch zu schliessen und Governance‑Prozesse aufzusetzen (CMM360-Analyse).
Kontaktieren Sie Ihr Sicherheitsteam oder einen erfahrenen Dienstleister, um eine pragmatische Roadmap zu erstellen — bevor Konten kompromittiert werden und der Schaden grösser ist als die Investition in Prävention. Weitere Einsichten und Statistiken finden Sie in den verlinkten Quellen zur Schweizer Bedrohungslage (SPIE, Zerberos, Netzwoche).
Key Take-away – Sofort handeln
Stärken Sie Ihre Identity- und Passwortstrategie: verpflichtende MFA, Einsatz von Passwort-Managern und PAM, Zero‑Trust-Prinzipien, regelmässige Penetrationstests sowie konsequente Mitarbeiterschulungen. Nur so reduzieren Sie das Risiko kompromittierter Konten und die damit verbundenen Folgen für Ihr Unternehmen.
