Zum Welt-Passworttag lohnt sich ein Blick auf die Grundlagen sicherer Authentifizierung. Was ein gutes Passwort heute leisten muss, warum Passwort-Manager hilfreich sind – und weshalb »123456« keine Lösung ist. Wir haben für Sie Stimmen gesammelt, die auch ein mögliches Ende des Passworts vorhersagen.

Jedes Jahr am ersten Donnerstag im Mai ist Welt-Passwort-Tag, der sich heuer zum zwölften Mal jährt. Er soll das Bewusstsein für die Bedeutung starker Passwörter zu schärfen. In vielen Umgebungen bleiben Passwörter das Rückgrat der Zugriffskontrolle, trotz Zwei-Faktor-Authentifizierung, biometrischer Verfahren und Single-Sign-On. Der Welt-Passworttag ist ein guter Anlass, um seine Sicherheitskonzepte zu prüfen und zu schärfen.

Ein gutes Passwort erfüllt drei zentrale Kriterien: Komplexität, Länge und Einzigartigkeit.

1. Länge vor Komplexität
   Ein Passwort sollte mindestens 12 Zeichen lang sein – besser sind 16 oder mehr. Denn selbst bei moderner Rechenleistung dauert ein Brute-Force-Angriff auf ein langes Passwort exponentiell länger. Ein Passwort wie »X7!c@9K8Zq#r2Lm« ist zwar schwer zu merken, aber deutlich schwerer zu knacken als »P@ssw0rd!«.
2. Komplexität: Zeichenmix nutzen
   Ein starkes Passwort kombiniert:
   
   • Groß- und Kleinbuchstaben
   • Zahlen
   • Sonderzeichen (z. B. %, #, @, &, *)

Wichtig: Keine logischen Muster, keine Tastaturfolgen (»qwertz«), keine Namen oder Geburtsdaten. Auch Begriffe aus Wörterbüchern oder Zitate (»ToBeOrNotToBe«) sind anfällig – sogenannte Dictionary-Angriffe setzen genau darauf.

3. Einzigartigkeit für jeden Dienst
   Das gleiche Passwort für mehrere Konten zu verwenden, ist ein häufig gemachter Fehler – mit potenziell fatalen Folgen. Wird eines dieser Konten kompromittiert, sind alle anderen gleich mit in Gefahr. Daher: Für jeden Dienst ein eigenes Passwort verwenden.

Passwort-Manager: Freund statt Feind

Die Realität zeigt: Niemand kann sich mehrere komplexe Passwörter merken. Passwort-Manager schaffen hier Abhilfe. Diese Tools generieren starke Passwörter, speichern sie verschlüsselt und füllen sie automatisch ein. Wichtig: Der Master-Passwort-Schutz muss besonders sicher gewählt und zusätzlich mit Zwei-Faktor-Authentifizierung abgesichert werden.

Experten fordern Abkehr vom Passwort

Möglicherweise verliert das Passwort aber künftig an Bedeutung, denn es gilt als große Schwachstelle: Laut Verizon basieren 81 Prozent aller Sicherheitsverletzungen auf gestohlenen oder schwachen Passwörtern. Auf Schwarzmärkten zirkulieren fast 25 Milliarden Zugangsdaten, teils im Abo-Modell für unter 2.000 US-Dollar. Moderne Brute-Force-Tools auf Basis von GPUs sowie KI-gestützte Angriffe (z. B. durch Deepfakes) machen selbst komplexe Passwörter angreifbar. Zudem senken Malware-as-a-Service (MaaS), Phishing-as-a-Service (PhaaS) und Infostealer-Plattformen die Einstiegshürden für Angreifer drastisch.

Nach Einschätzungen von Security-Experten steht das klassische Passwort deshalb unter Druck – technisch, kulturell und ökonomisch. So plädieren beispielsweise Check Point, ManageEngine und Sophos für einen Paradigmenwechsel: weg vom Wissen-basierten Zugang hin zu passwortlosen, benutzerfreundlicheren Verfahren.

Wir haben an dieser Stelle noch Stimmen zum Welt-Passworttag 2025 zusammengetragen.

Anzeige

Check Point: Kennwörter adé – es wird Zeit für bessere Sicherheit

Check Point Software Technologies sieht Kennwörter als veraltet an und rät zu modernen Methoden, um die eigenen Daten zu schützen.

Jedes Jahr am ersten Donnerstag im Mai rufen Cyber-Sicherheitsfachleute die Öffentlichkeit dazu auf, ihre Passwortsicherheit zu verbessern. Doch im Jahr 2025 könnte diese Tradition ausgedient haben, meinen die Sicherheitsforscher von Check Point, weil die übermäßige Abhängigkeit von Passwörtern zu genau dem Risiko führt, das man vermeiden will.

Laut dem Verizon Data Breach Investigations Report (2024) sind 81 Prozent aller Sicherheitsverletzungen immer noch auf schwache oder gestohlene Passwörter zurückzuführen. Da die Hacker ihre Taktik stetig anpassen und künstliche Intelligenz Teil ihrer Ausrüstung geworden ist, können selbst die stärksten Passwörter innerhalb von Minuten statt Monaten geknackt werden.

Laut Nordpass wird das schwache Passwort »123456« immer noch verwendet und kann von Hackern innerhalb einer Sekunde geknackt werden. Außerdem verwenden viele Menschen das gleiche Passwort auf mehreren oder sogar allen Webseiten.

Brute-Force-Angriffe wurden von langsamen CPUs auf Hochgeschwindigkeits-GPUs verlagert, von denen einige in der Lage sind, mehr als eine Million Passwortkombinationen pro Sekunde zu versuchen.

Schätzungen zufolge kursieren derzeit über 24,6 Milliarden Kombinationen aus Benutzernamen und Passwörtern auf Schwarzmärkten im Internet – wobei das wahre Ausmaß aufgrund des wiederholten Weiterverkaufs gestohlener Daten nur schwer zu verifizieren ist. In großen Mengen sind diese Zugangsdaten sogar noch billiger, wie der Betrug bei Booking.com gezeigt hat, wo Tausende von Zugangsdaten für nur 2000 US-Dollar verkauft worden waren und jeden Monat neue Zugangsdaten angeboten wurden. Zu den wertvollsten Zugangsdaten gehören Bank-, E-Mail-, Cloud-, Krypto-, Unternehmens-VPN- und Social-Media-Konten, die häufig für Phishing, Identitätsdiebstahl, Malware-Kampagnen und die Kompromittierung von Unternehmens-E-Mails verwendet werden.

Hinter diesen Diebstählen stehen einige der raffiniertesten Bedrohungsgruppen der Welt, darunter Kimsuky (Nordkorea), MuddyWater (Iran) und APT28/29 (Russland) – häufig unter Verwendung von Malware wie Lumma und Malware-as-a-Service-Plattformen (MaaS), die auf MFA-Token und Krypto-Geldbörsen zielen und sich über Telegram-Bots verbreiten lassen, die wiederum den Datendiebstahl skalierbar und profitabel machen. Allein im Jahr 2024 wurden 3,9 Milliarden Zugangsdaten auf 4,3 Millionen Geräten durch Malware-Infektionen kompromittiert.

Sogar die Multi-Faktor-Authentifizierung (MFA), die von entscheidender Bedeutung ist, wird als alleiniger Mechanismus durch Tools wie EvilProxy, die MFA-Token abfangen können, in Frage gestellt. Diese wachsende Cyber-Kriminalität ist nicht nur eine technische Bedrohung, sondern auch ein geopolitisches und wirtschaftliches Ökosystem, da diese Bedrohungen wegen MaaS und Phishing-as-a-Service-Plattformen (PhaaS) auch von Laien-Hackern benutzt werden können. Zusammen mit Infostealer-as-a-Service und Phishing-Kits zum Mieten sind diese Angriffe nicht mehr auf staatliche Akteure beschränkt, sondern sie sind für jeden mit einer Bitcoin-Brieftasche verfügbar.

Authentifizierung ohne Passwort

Sicherheit ohne Passwort wurde nicht nur möglich, sondern ist auch praktisch. Google, Microsoft und Shopify als Beispiel führten Passkeys ein. Das sind verschlüsselte kryptografische Schlüssel in Verbindung mit biometrischer oder gerätebasierter Authentifizierung.

Microsoft möchte, dass seine mehr als eine Milliarde Nutzer keine Passwörter mehr verwenden, um sich bei ihren Microsoft-Konten anzumelden, und das Analysten-Haus Gartner prognostiziert, dass 60 Prozent der Unternehmen bis 2025 Passwörter für die meisten Anwendungen abschaffen werden.

Hardware-Token, Multi-Faktor-Anmeldung und biometrische Identifizierung übernehmen dann und setzen sich schon in verschiedenen Bereichen durch, wie Finanzen, Gesundheit und Verwaltung. Manche Staaten, wie Singapur und Indien, beschleunigen durch staatlich geförderte digitale Identitätssysteme den passwortlosen Zugang zu Bank-, Versicherungs- und Gesundheitsdienstleistungen. Dahinter steht der Wunsch, die Sicherheit zu erhöhen, die Benutzerfreundlichkeit zu verbessern und digitale Interaktionen zu rationalisieren.

In Singapur beispielsweise verbindet das auf Singpass basierende National Digital Identity-System (NDI) über 700 Regierungsbehörden und Privatunternehmen. Gesichtserkennung, digitale ID-Karten und QR-Codes bestätigen die Identität der Nutzer schnell und sind sicherer als herkömmliche Passwörter. Indiens Aadhaar, das weltweit größte biometrische System, unterstützt die sichere digitale Identitätsüberprüfung durch OTPs und Biometrie, während Australiens Roadmap zur digitalen Identität die Investition in föderierte, passwortlose Frameworks vorsieht.

Check Points Sicherheitsforscher stellten bereits fest, dass schlechte Passworthandhabe, wie die Wiederverwendung von Passwörtern, das Aufschreiben von Passwörtern oder die Verwendung personenbezogener Informationen, nach wie vor eine große Schwachstelle in der Sicherheit von Unternehmen und Privatpersonen darstellt.

Schlimmer noch: Phishing-Angriffe – viele davon KI-gestützt – stehlen trotz Zwei-Faktor-Authentifizierung (2FA) weiterhin in großem Umfang Zugangsdaten. Die Zunahme von KI-gestützten Phishing- und Deepfake-Angriffen macht Passwort-Systeme noch anfälliger.

Die rasante Weiterentwicklung Künstlicher Intelligenz allen voran macht Passwort-Authentifizierung obsolet:

• Deep-Learning-Modelle werden mit Milliarden von geknackten Passwörtern trainiert und können gängige Muster schneller als je zuvor vorhersagen.
• Sprach- und Video-Imitationsangriffe mit Deepfakes können sogar Multi-Faktor-Authentifizierung umgehen, wenn diese auf schwachen Identitätsschichten basiert.
• Cloud-GPUs verbreiten die Möglichkeit, Passwörter in großem Maßstab zu knacken, und ermöglichen es Ransomware-Gruppen sowie Skript-Laien gleichermaßen, Systeme schnell zu knacken.

Aus diesem Grund rät Check Point sowohl Unternehmen als auch Privatleuten dazu, auf andere, moderne Methoden setzen, wenn sie ihre Benutzerkonten den Umständen der Zeit gemäß schützen wollen:

• Die Wiederverwendung von Passwörtern aufgeben und existierende sowie neue Passwörter lang, komplex und möglichst einzigartig wählen.
• Kennwörter abschaffen, wenn technisch möglich, und biometrische Merkmale, Token oder Passkeys einführen.
• Sicherheitslösungen gegen Phishing einbauen, Mitarbeiter gegen Phishing schulen und die eigene Aufmerksamkeit bezüglich der Merkmale von Phishing-Angriffen schärfen.
• Privileged Access Management (PAM) und Zero-Trust-Architekturen einsetzen, um den Zugriff auf Netzwerkteile und Daten streng zu kontrollieren und zu beschränken.
• Netzwerke segmentieren, bis hin zu Mikro-Segmentierung, um seitliche Bewegungen eines Hackers, beispielsweise mittels geknacktem Benutzerkonto, zu verhindern.
• Mitarbeiter in den neuen Modellen schulen, um sie mit den Vorteilen passwortfreier Systeme vertraut zu machen.

Somit sollte der Welt-Passwort-Tag nicht nur ein jährlich grüßendes Murmeltier sein, um bessere Passwörter zu fordern. In diesem Jahr sollte er als eine Aufforderung verstanden werden, um sich eine Zukunft ohne Kennwörter vorzustellen. Die Werkzeuge sind längst vorhanden und die neuartigen Bedrohungen machen das sogar notwendig. Was fehlt, ist die Bereitschaft der Leute die Passwörter zum alten Eisen zu legen.

Manage Engine: Die Verhaltensökonomie von Passwort-Management in Unternehmen

Niresh Swamy, Enterprise Evangelist bei ManageEngine, betrachtet das Thema Passwort-Management in Zusammenhang mit der Verhaltensökonomie und wie wie Menschen in wirtschaftlichen Situationen tatsächlich handeln:

»Wir leben in einer Zeit, in der digitale Sicherheit zunehmend gleichbedeutend mit Privatsphäre ist. Passwörter sind dabei eine allgegenwärtige, aber oft frustrierende Notwendigkeit. Obwohl Experten zu komplexen, zufällig generierten Passwörtern raten, neigen die meisten Nutzer in der Praxis doch dazu, leicht zu merkende Passwörter zu verwenden, mit allen ihren Sicherheitsrisiken.

Anstatt also Passwortwahl als rein technisches Thema zu betrachten, lohnt es sich, auch die Perspektive der Verhaltensökonomie miteinzubeziehen und zu verstehen, warum im Alltag oft Bequemlichkeit vor optimalen Schutz gestellt wird. Hier spielen verschiedene Aspekte mit hinein, unter anderem die Macht der Gewohnheit, aber auch kulturelle und soziale Normen, die – unglücklicherweise – vorhersehbar sind und deshalb auch vorhersehbare Passwortmuster begünstigen.

Die beste Lösung für dieses Problem besteht in der Nutzung von Technologien wie Multi-Faktor-Authentifizierung unterstützt durch Kryptografie und Biometrie. Sie bieten umfassenden Schutz, ohne für den Nutzer einen zusätzlichen Aufwand oder zusätzliche Komplexität mit sich zu bringen. Denn am Ende ist es immer noch der Nutzer im Alltag, der darüber entscheidet, ob eine Sicherheitsstrategie Erfolg hat oder nicht. Die beste, sicherste Technologie nützt nichts, wenn sie nicht genutzt wird, weil der Aufwand zu groß ist.«

Rubrik: Nicht totzukriegen: Das Passwort und seine Schlüsselrolle in der Cybersicherheit

Richard Cassidy, EMEA CISO bei Rubrik, zeigt auf, warum Passwörter trotz aller Innovationen nicht ausgedient haben. Aus seiner Sicht sind Passwörter auch in einer digital vernetzten Welt nach wie vor ein zentrales Element jeder Cyber-Resilienz-Strategie:

»Im letzten Jahrzehnt hat sich die Welt der Cyberangriffe und -abwehr extrem verändert. Cybersicherheit ist nun ein Begriff, mit dem nicht mehr nur Unternehmen, sondern auch Privatpersonen durch die Nachrichten vertraut sind, und fester Bestandteil des heutigen Lebens und der vernetzten Welt. Durch stetiges Datenwachstum, Digitalisierung und vernetzte Systeme sind sich Unternehmen und Privatpersonen darüber im Klaren, dass Angriffe immer häufiger auftreten, weltweit stattfinden und jederzeit geschehen können. Und doch: Die Bösartigkeit sowie die steigende Raffinesse und Professionalisierung von Cyberattacken schockiert immer wieder.

Heute können Unternehmen kaum mehr ignorieren, wie tief Cloud-, Software-as-a-Service (SaaS)- und hybride Umgebungen in den täglichen Geschäftsbetrieb eingebettet sind. Selbst Unternehmen mit strengen Kontrollen können einer skalierbaren Infrastruktur, den neuesten Tools und der ständig steigenden Nachfrage nach Flexibilität und Produktivität nicht mehr widerstehen. Ob compliant oder als Schatten-IT, hybride Plattformen sind heute fester Bestandteil des Geschäfts.

Doch während sich unsere digitalen Umgebungen weiterentwickelt haben, ist eine Konstante hartnäckig geblieben: das Passwort. Obwohl es sich um einen jahrzehntealten Security-Mechanismus handelt – oft die erste Verteidigungslinie – dient es nach wie vor als Tor zu kritischen Systemen und sensiblen Daten. Und obwohl es wie ein simpler Baustein erscheinen mag, war seine Rolle für die Cyber-Resilienz noch nie so wichtig wie heute.

94 Prozent der deutschen Unternehmen 2024 von Cyberangriff betroffen

Die aktuellen Ergebnisse des Rubrik 2025 Zero Labs Reports unterstreichen diese Realität: 94 Prozent der deutschen IT- und Sicherheitsverantwortlichen gaben an, im vergangenen Jahr von einem oder mehreren Cyberangriffen betroffen gewesen zu sein. 20 Prozent der deutschen Befragten berichteten, über 100-mal angegriffen worden zu sein. Dies ist im weltweiten Vergleich mit Abstand der höchste Wert. Und wenn 34 Prozent der Deutschen die Datensicherheit in der Hybrid-Cloud über verschiedene Plattformen hinweg als eine der größten Herausforderung bezeichnen, wird die Dringlichkeit hierzulande deutlich.

Hinzu kommt, dass schätzungsweise mehr als ein Drittel der sensiblen Dateien als hochriskant eingestuft werden, denn in der Regel enthalten sie personenbezogene Daten. Dann es ist offensichtlich, dass grundlegende Sicherheitspraktiken wie das Identitäts- und Zugriffsmanagement erneut in den Fokus rücken müssen. Das Passwort und die damit verknüpfte Identität mögen zwar veraltet scheinen, aber in modernen Unternehmen sind sie nach wie vor ein grundlegender Pfeiler der Unternehmenssicherheit – und daher heute zweifellos wichtiger als je zuvor. Während Unternehmen das transformative Potenzial von KI nutzen, um die Produktivität zu steigern, Abläufe zu rationalisieren und einen größeren Nutzen aus Daten zu ziehen, müssen sie sich auch mit einer parallelen Realität auseinandersetzen: Die Bedrohungsakteure entwickeln sich ebenso schnell weiter.

KI-Systeme als Einfallstor

Es lässt sich derzeit ein besorgniserregender Trend beobachten, bei dem kompromittierte KI-Systeme von Angreifern als Aufklärungswerkzeuge genutzt werden. Diese GenAI-Plattformen wurden ursprünglich entwickelt, um Nutzern bei der Durchsuchung großer Daten-Repositories sowie Chatverläufen und Geschäftsinformationen zu helfen. Doch wenn die mit diesen Systemen verbundenen Identitäten kompromittiert werden, kann diese Funktion gegen ein Unternehmen eingesetzt werden. Was die Geschäftsergebnisse beschleunigt, wird dann zu einem hocheffizienten Assistenten für Sicherheitsverletzungen.

Kompromittierte Anmeldedaten, insbesondere Passwörter, gehören nach wie vor zu den häufigsten Einfallspunkten für Ransomware und andere fortschrittliche Angriffe. So ist es nicht verwunderlich, dass rund ein Drittel der Befragten deutschen CIOs sichere Zugangskontrollen und Datenverschlüsselung als einen der zentralen Teile ihres Cyber-Resilience-Plans nennen. In einer KI-gesteuerten Welt steht jetzt noch mehr auf dem Spiel. Wenn sich Angreifer über eine gestohlene Identität Zugang zu einem KI-System verschaffen, können sie nicht nur auf Dateien zugreifen, sondern erhalten Kontext, Muster und Erkenntnisse quasi in Echtzeit.

In diesem Umfeld ist der Identitätsschutz nicht nur eine bewährte IT-Praxis, sondern eine zentrale Geschäftsanforderung. In dem Maße, in dem KI im gesamten Unternehmen Einzug hält, muss der Schutz der Passwörter und Identitäten, die den Zugriff auf diese Tools regeln, mit der gleichen Dringlichkeit wie der Schutz sensibler Daten behandelt werden.

Sicherheit stärken. Geschäftskontinuität gewährleisten.

Schwachstellen in den Passwörtern der Mitarbeiter sind ein großes Risiko für die Cybersicherheit. Für Unternehmen können Insider-Bedrohungen, die oft durch kompromittierte Anmeldeinformationen verursacht werden, eine große Lücke in der Verteidigungsstrategie für die Cyber-Resilienz reißen und Kriminellen Tür und Tor öffnen. So lassen sich die Abwehrkräfte stärken:

• Mitarbeiter ausbilden und schulen: Menschliches Versagen ist eine große Schwachstelle. Daher ist die regelmäßige Mitarbeiterschulung in Bezug auf optimale Kennwortpraktiken, Phishing-Versuche und die Bedeutung von Datensicherheits-Protokollen essenziell.
• Passwort-Manager: Die Verwendung seriöser Passwort-Manager ist Pflicht und nicht Kür. Diese generieren und speichern komplexe, eindeutige Passwörter für verschiedene Konten, so dass sich Mitarbeiter diese nicht merken müssen.
• Regelmäßige Aktualisierung von Software und Systemen: Software, Betriebssysteme und Sicherheitstools sollten immer mit den neuesten Patches auf dem letzten Stand gehalten werden. Aktualisierungen beheben häufig bekannte Schwachstellen, die von Cyberkriminellen ausgenutzt werden können.
• Implementierung und Beibehaltung strenger Zugangskontrollen im gesamten IT-Ökosystem: Die Beschränkung des Zugangs zu sensiblen Daten und Systemen stellt sicher, dass Mitarbeiter nur die zur Erfüllung ihrer Aufgaben erforderlichen Berechtigungen haben.
• Implementierung von Backup- und Wiederherstellungsplänen und -lösungen: Ein Notfallplan stellt sicher, dass Daten im Falle eines Angriffs geschützt sind, regelmäßige Backups erstellt wurden und so die Geschäftsfähigkeit rasch wiederhergestellt werden kann.

Kurzum: Durch einen ganzheitlichen Ansatz für die Cyber-Resilienz können Unternehmen das Risiko verringern, Opfer von Bedrohungen zu werden, Vermögenswerte zu verlieren und ihren Ruf zu schädigen.«

Sophos: Weltpassworttag: Wird es der letzte sein?

Für Chester Wisniewski, Director, Global Field CISO bei Sophos, braucht es eigentlich keinen Aufhänger, um am Weltpassworttag auf die Bedeutung eines gut gewählten Passworts aufmerksam zu machen, es könnte jedoch obsolet werden:

»Wissensbasierte Multi-Faktor-Authentifizierung (MFA) wie 6-stellige Codes per SMS oder in Apps oder Push-Benachrichtigungen greifen angesichts der Raffinesse der heutigen Cyberkriminellen zu kurz. Der nächste Schritt heißt phishing-resistente MFA wie FIDO2 und Passkeys. Diese Technologien sind insgesamt simpler zu handhaben und es ist schwieriger, sie versehentlich an Angreifer weiterzugeben. Für die meisten Einzelpersonen ist die Verwendung von Passkeys der einfachste Ansatz, da die Technologie in der Mehrheit der mobilen Geräte und Desktop-Browsern, Passwortmanagern und Betriebssystemen integriert ist.

Für Hochsicherheitsumgebungen wird die Verwendung von Smartcards oder Hardware-Tokens empfohlen, die mit einer PIN oder einem biometrischen Merkmal entsperrt werden müssen. Für die meisten von uns sind Passkeys, die mit den biometrischen Daten unserer Geräte entsperrt werden, die naheliegende und einfache Art der Authentifizierung. Die Authentifizierung an PC oder mobilen Geräten mit eigenem Fingerabdruck oder `Gesichtsabdruck´ wird den Nutzer in Sekundenschnelle sicher bei seinen sozialen Medien, Finanzinstituten oder E-Mail-Konten anmelden, ohne dass er sich mit Passwörtern herumschlagen muss.

Für diejenigen, die den Wechsel zu Tokens und Passkeys aber noch nicht vollzogen haben, hier drei nützliche, schnell umzusetzende Tipps für ein sichereres Passwort:

1. Jede Seite mit einem eigenen Log-In benötigt ein eigenes Passwort. Das kann mit kleinen Veränderungen wie Zahlen, Sonderzeichen, etc. gelingen.
2. Ein Passwort am besten `anreichern´, sprich: man wählt ein Grundwort und addiert Zahlen, Sonderzeichen und Großbuchstaben dazu. Noch besser wäre eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ohne Wortbedeutung. Das kann man sich natürlich unmöglich alles merken, daher:
3. Einen bewährten Passwortmanager nutzen, der wie ein Hausmeister alle Schlüssel parat hat. Hier muss sich der Nutzer nur ein Generalpasswort ausdenken und merken.