Zum Welt-Passwort-Tag rückt 2026 nicht mehr die Frage nach dem möglichst komplizierten Kennwort in den Mittelpunkt. Für Rechenzentren, IT-Betrieb und Security-Teams geht es um Identitäten, privilegierte Konten, Passkeys, phishing-resistente MFA und belastbare Wiederherstellungsprozesse. Wir haben für Sie Stimmen und Themen gesammelt.

Der Welt-Passwort-Tag fällt 2026 auf den 7. Mai. Früher war dieser Aktionstag vor allem ein Anlass, wieder einmal an längere Kennwörter, Sonderzeichen und Passwort-Manager zu erinnern. Das ist nicht falsch, greift aber inzwischen zu kurz. In modernen IT-Umgebungen entscheidet nicht mehr allein die Stärke eines einzelnen Passworts über die Sicherheit, sondern das Zusammenspiel aus Identitätsmanagement, Mehr-Faktor-Authentifizierung, Gerätevertrauen, Monitoring und Wiederherstellbarkeit. Für Rechenzentren ist das kein Nebenschauplatz, sondern ein Kernthema des Betriebs.

Der Grund ist einfach: Zugangsdaten bleiben ein attraktives Einfallstor. Microsoft berichtet im »Digital Defense Report 2025«, dass 97 Prozent der beobachteten Identitätsangriffe Password-Spray-Angriffe waren. Zudem seien identitätsbasierte Angriffe in der ersten Jahreshälfte 2025 um 32 Prozent gestiegen. Das zeigt, wie stark Angreifer weiterhin auf schwache, wiederverwendete oder automatisiert ausprobierte Zugangsdaten setzen.

Gleichzeitig verschiebt sich der Fokus. Es geht nicht mehr nur um »schlechte Passwörter«, sondern um kompromittierte Identitäten. Phishing-Kampagnen, Infostealer, gestohlene Session-Tokens, OAuth-Missbrauch sowie Angriffe auf Administrator- und Service-Konten umgehen klassische Passwortregeln zunehmend elegant. Ein langes Kennwort hilft wenig, wenn der Zusatzfaktor in Echtzeit abgefangen wird oder ein Angreifer über ein bereits autorisiertes Gerät bzw. Token einsteigt.

Passkeys machen Passwortsicherheit zur Architekturfrage

Experten verweisen deshalb darauf, dass MFA besser ist als nur Benutzername und Passwort, klassische Verfahren per SMS oder E-Mail aber schwächere Varianten bleiben. Passkeys gelten als robuster, weil sie auf kryptografischen Schlüsseln basieren und gegen Phishing deutlich widerstandsfähiger sind. Für Unternehmen wird damit die Passwortfrage zur Architekturfrage.

Passkeys und FIDO2-Verfahren ersetzen das gemeinsame Geheimnis durch Public-Key-Kryptografie. Der private Schlüssel verlässt das Gerät oder den gesicherten Passwort-Manager nicht. Der Dienst prüft nur den passenden öffentlichen Schlüssel. Die FIDO Alliance beschreibt Passkeys als kryptografische Zugangsdaten, mit denen sich Nutzer über Geräte-PIN, Biometrie oder Muster anmelden können, ohne ein Passwort einzugeben.

Das BSI bewertet Passkeys ebenfalls als sehr sichere Authentisierung, weil sie Passwörter vollständig ersetzen und dadurch typische Risiken wie Phishing, Wiederverwendung und Weitergabe reduzieren. Für regulierte Unternehmen und Betreiber kritischer IT-Umgebungen passt das gut zur Entwicklung hin zu Zero-Trust-Modellen, stärkerer Identitätsprüfung und feingranularer Zugriffskontrolle.

Das Passwort ist (noch) nicht tot

Trotzdem verschwinden Passwörter nicht über Nacht. Legacy-Anwendungen, Management-Schnittstellen, lokale Break-Glass-Konten, Notfallzugänge, Service-Accounts und ältere Appliances werden sie noch länger benötigen. Gerade im Rechenzentrum ist deshalb eine pragmatische Doppelstrategie gefragt: Passwörter müssen dort, wo sie bleiben, lang, einzigartig, verwaltet und überwacht sein. Gleichzeitig sollten privilegierte Zugänge, externe Admin-Zugriffe, Cloud-Konsolen, Backup-Systeme, Verzeichnisdienste und Remote-Management konsequent auf phishing-resistente MFA oder Passkeys gehoben werden.

Auch die Passwortregeln selbst verändern sich. NIST stellt in der aktuellen SP 800-63B stärker auf Länge, Sperrlisten gegen bekannte kompromittierte Passwörter und nutzerfreundliche Regeln ab. Für alleinstehende Passwörter nennt NIST 15 Zeichen Mindestlänge. Verifier sollen zudem mindestens 64 Zeichen erlauben und keine starren Komplexitätsregeln wie verpflichtende Sonderzeichenmischungen erzwingen.

Nicht-menschliche Identitäten werden zur neuen Baustelle

Hinzu kommt eine neue Herausforderung: Identitäten gehören längst nicht mehr nur Menschen. KI-Agenten, APIs, Service-Accounts und Service-to-Service-Verbindungen benötigen ebenfalls Credentials, Berechtigungen und klare Lebenszyklen. Für IT-Betrieb und Rechenzentrum wird damit nicht nur die Anmeldung einzelner Nutzer sicherheitskritisch, sondern die vollständige Kontrolle über menschliche und nicht-menschliche Identitäten. Dazu gehören zentrale Verwaltung, Least-Privilege-Prinzipien, Monitoring, schnelle Sperr- und Rücksetzmechanismen sowie Backup- und Recovery-Prozesse für Identitätsdaten.

Der Welt-Passwort-Tag ist damit eher ein Welt-Identitäts-Tag. Die zentrale Frage lautet nicht mehr, ob das Passwort stark genug ist, sondern ob ein kompromittierter Login allein noch Schaden anrichten kann. Wer Admin-Konten, Backup-Konsolen, Storage-Management, Hypervisoren und Cloud-Zugänge weiterhin nur mit Kennwort schützt, fährt bildlich gesprochen mit offenem Serverraum und gut beschriftetem Schlüsselbund. Das spart vielleicht Sekunden beim Login, kostet im Ernstfall aber Tage bei der Wiederherstellung.

Anzeige

Absolute Security: Zentralisierte IT-Teams benötigen Echtzeiteinblick in das Netzwerk

Thomas Lo Coco, Absolute Security»Gute Passwörter sind lang, bestehen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen«, erklärt Thomas Lo Coco, Sales Manager Central Europe bei Absolute Security. »So weit, so gut. Aber wie sieht es aus, wenn ein Mitarbeiter das Unternehmen verlässt und die Passwörter - etwa die BitLocker-Keys oder die BIOS-Zugangsdaten – auch gleich mitgehen lässt, wenn Cyberkriminelle diese umgehen oder durch einen erfolgreichen Brute-Force-Angriff die richtige Kombination ermitteln? Auch wenn Passwörter eine notwendige erste Verteidigungslinie darstellen, sind dies nur einige Beispiele dafür, wie eine eindimensionale Sicherheitsstrategie leicht scheitern kann – eine einzige Schutzebene reicht nicht aus, um den Risiken in der heutigen feindlichen digitalen Umgebung zu begegnen.

Deshalb brauchen Unternehmen eine robuste Strategie zur Cyber-Resilienz, die die Endpunktsicherheit stärkt und es ihnen ermöglicht, zeitnah zu reagieren. Herkömmliche Sicherheitsmaßnahmen, die auf geschützten Büroverbindungen basieren, reichen nicht mehr aus. Endpoint-Sicherheitssoftware funktioniert in 20 Prozent der Fälle nicht effektiv, so dass Geräte an 76 Tagen im Jahr nicht vollständig geschützt sind und die Sicherheitsrichtlinien nicht einhalten. Angesichts der zahlreichen Geräte, die von Remote-Mitarbeitern genutzt werden, ist die Gewährleistung der Cyber-Resilienz entscheidend, um Schäden und Ausfallzeiten zu minimieren. Störungen können den Betrieb empfindlich treffen, die Produktivität beeinträchtigen und zu erheblichen finanziellen Verlusten führen.

Eine umfassende Verteidigungsstrategie muss Maßnahmen für eine sofortige Reaktion definieren, präventiv Schwachstellen schließen und Protokolle zur schnellen Wiederherstellung der Funktionalität umfassen. Eine aktualisierte Software, die Überwachung aller Geräte und eine gewährleistete Netzwerktransparenz sind zentrale Maßnahmen, um Risiken zu mindern. Der Schutz des Netzwerks allein reicht nicht aus, wenn Endgeräte aufgrund veralteter Sicherheitsmaßnahmen anfällig bleiben oder Passwörter wirkungslos geworden sind. Zentralisierte IT-Teams benötigen einen Echtzeiteinblick in das Netzwerk und müssen bei verdächtigen Aktivitäten entschlossen handeln. Wird ein ungewöhnliches Verhalten festgestellt, sollten sie kompromittierte Geräte sperren oder herunterfahren, um den Vorfall einzudämmen, bevor er sich ausbreitet. Darüber hinaus bietet die Isolation von Geräten, die von unbekannten Standorten aus genutzt werden, eine zusätzliche Schutzebene und ermöglicht ein schnelles und effizientes Vorfallmanagement.

Durch einen proaktiven Ansatz zur Cyber-Resilienz können Unternehmen Ausfallzeiten reduzieren und eine schnelle Wiederherstellung nach Sicherheitsvorfällen gewährleisten, wodurch sensible Daten geschützt sind und der Betrieb aufrechterhalten bleibt. Ein sicherer und reibungsloser Betriebsablauf hängt – neben einer funktionierenden Passworthygiene - von einer starken Endpunktsicherheit, Echtzeitüberwachung und der Konzentration auf einen aktuellen Status der Systeme ab. Die sichersten Passwörter schützen nicht, wenn Sie in die falschen Hände geraten oder Insider sie missbrauchen. Diese Tatsache sollte man sich im Sinne einer gut funktionierenden Cyber-Resilienz bewusst machen. Denn es ist egal, wie hoch die Mauer ist, sobald jemand den Schlüssel zur Hintertür hat.«

Bitdefender: Zum Welt-Passwort-Ersetztag – Passkeys sind das Ziel

Martin Zugec, Bitdefender»Jedes Jahr am Weltpassworttag geben Anbieter für IT-Sicherheit dieselben Ratschläge: Längere Passwörter!«, sagt Martin Zugec, Technical Solutions Director bei Bitdefender. »Sonderzeichen hinzufügen! Niemals wiederverwenden! Und jedes Jahr bleibt »123456« das Kennwort, welches die Hacker weltweit am häufigsten ausnutzen. Irgendwann bleibt aber nur die ehrliche Einsicht, dass es nicht darum geht, all diese Ratschläge besser zu befolgen. Das Problem ist vielmehr, dass Passwörter das falsche Tool für die ihnen zugeschriebene Aufgabe sind. Und dass sollten wir auch klar sagen.

Passwörter sind nicht gescheitert, weil Nutzer sorglos sind. Sie sind gescheitert, weil sie einen grundsätzlich falschen Ansatz verfolgen: Dutzende neuer Passwörter für alle möglichen Tools definieren, die komplex genug für Brute-Force-Angriffe sind, sich an diese erinnern und sie ständig wechseln – das sind Aufgaben, welche die kognitiven Fähigkeiten eines Menschen überfordern. Und die sie immer schon überfordert haben. Jahrzehntelange Rufe nach mehr Komplexität, nach Großbuchstaben, Zahlen und Sonderzeichen endeten in »Password1!« auf einem Post-it am Bildschirm.

Daher sollte der Welt-Passwort-Tag umbenannt werden. In Welt-Passwort-Ersetztag. Das ist keine Rebranding-Übung. Es ist eine ehrliche Standortbestimmung, wo sich die Industrie aktuell befindet. Natürlich ist für die bestehenden Nutzerkonten ein herkömmlicher Passwort-Manager immer noch ein essenzieller und wichtiger Schritt: Er verhindert, dass Nutzer Zugangsdaten wieder verwenden. Er generiert starke und einmalige Passwörter. Er reduziert die kognitiven Anforderungen an den Nutzer, an denen Passwörter in der Praxis scheitern.

Der zukünftige Weg ist aber bereits vorgezeichnet und die Ersatztechnologien sind bereits vorhanden: Passkeys, Hardwaresicherheitsschlüssel, FIDO2-basierte Verfahren zur Authentifikation. Apple Google und Microsoft verwenden diese bereits im großen Maßstab. Passwort-Manager sichern die Reise dorthin ab. Passkeys sind die Zukunft.«

Commvault: Ihre Papiere bitte! – Wie KI-Agenten das Identitäts- und Passwortmanagement herausfordern

Mark Molyneux, CommvaultLaut Mark Molyneux, Field CTO bei Commvault, baut sich aktuell ein Tsunami von Identitäten auf, der Verzeichnisdienste und Authentifizierungsstrukturen überfluten wird: »So erklärten die Unternehmensberater von McKinsey Anfang des Jahres, ihre 40.000 Mitarbeiter starke Consulting-Truppe sei innerhalb von nur zwei Jahren um 25.000 KI-Agenten gewachsen. Laut einer Salesforce-Umfrage beschäftigen Unternehmen im Schnitt zwölf Agenten. Eine Zahl, die bis 2027 um weitere 67 Prozent anwachsen wird.  Eine Zahl, hinter der sich vor allem eine Menge von KI-Identitäten mit vielen Zugängen und sehr hoher Autonomie verbergen. Die durch Eigenmächtigkeiten in Business-Abteilungen sich breit machenden Schatten-KI-Agenten sind dabei besonders gefährlich, da ihre Urheber mit ihnen ungeprüfte Tools in zentrale Arbeitsabläufe integrieren und Sicherheitslücken schaffen, für deren Absicherung herkömmliche Kontrollmechanismen nicht ausgelegt sind.

Die Verantwortlichen für Sicherheit, Resilienz und Identitäten müssen die neuen Massen an Identitäten von KI-Agenten daher unbedingt mitbedenken. Die digitalen Applikations- oder Nutzeridentitäten sowie die dazugehörigen Credentials müssen geschützt und entsprechend überwacht werden. Denn KI-Agenten können Passwörter kompromittieren und in der Folge die jeweiligen Rechte eskalieren. Als Ergebnis entstehen viele neue Einträge in den großen Identitäts-Management-Systemen, die es zu dokumentieren, zu überwachen, zu sichern und bei verdächtigen Änderungen oder Korruption auch wieder auf den korrekten Status zurückzusetzen gilt.

Lebenszyklen steuern

Natürlich gelten auch bei agentischer Künstlicher Intelligenz die Grundsätze eines konsequenten und sicheren Passwort- und Zugriffsmanagements. IT-Verantwortliche müssen Daten zu Identitäten der KI-Agenten stark verschlüsseln, starke Multi-Faktor-Authentifikationen einbauen und Identitäten zentral verwalten, so wie im Zugriffsmanagement jedes menschlichen Mitarbeiters. Aber damit endet der Identitätsschutz bei KI-Agenten nicht.

Die Verantwortlichen für Sicherheit, IT-Betrieb und Governance müssen die Aktivitäten der autonomen Agenten genau verfolgen. Notwendig ist eine Rückversicherung, um Agenten zurückzusetzen oder ihre Kompetenzen einzuschränken, falls diese ihre ihnen zugewiesenen Grenzen überschreiten. Wer KI nutzt, muss sicherstellen, dass die Qualität von Integrität, Backup und Recovery der Identitäten und Passwörter den Möglichkeiten der KI entspricht. 

Wenn es Organisationen gelingt, diese Balance zwischen Kontrollen und Automatismen zu schaffen, können sie agentenbasierte KI zu einem entscheidenden Sicherheitsfaktor machen. Andernfalls riskieren sie es, ihre Schwachstellen zu vergrößern. Die Kontrolle des Lebenszyklus einer agentischen Identität beginnt dabei grundlegend mit einer Kontrolle von Passwörtern für digitale Identitäten.«

ISC2: Warum Identitätssicherheit über Passwörter hinausgehen muss

»Der Weltpassworttag am 7. Mai erinnert uns daran, dass Passwörter allein nicht mehr ausreichen, um uns zu schützen« meint Jon France, Chief Information Security Officer bei ISC2. »Täglich hören wir Berichte über Cyberkriminelle, die Social-Engineering- und KI-gestützte Angriffe nutzen, um sich mit gestohlenen Identitäten Zugang zu Diensten, Informationen und Unternehmensnetzwerken zu verschaffen. Die jüngsten, viel beachteten Cyberangriffe auf die Software-Lieferkette unterstreichen die dringende Notwendigkeit einer stärkeren Identitätssicherheit.

Die viel beachteten Fälle sind nur die Spitze des Eisbergs, wie die aktuelle ISC2-Workforce-Studie zeigt. Über 30 Prozent der 515 befragten deutschen Cybersicherheitsexperten gaben an, Sicherheitsvorfälle aufgrund von Datenschutzverletzungen oder unbefugtem Zugriff erlebt zu haben. Es überrascht nicht, dass fast ein Viertel (22 Prozent) der Befragten bestätigte, dass Identitäts- und Zugriffsmanagement zu den Top 10 der Fähigkeiten gehört, die ihren Sicherheitsteams fehlen.

Der Weltpassworttag ist zwar eine gute Erinnerung, doch Identitätssicherheit bleibt über den heutigen Tag hinaus von grundlegender Bedeutung für die Cybersicherheit – und zwar nicht nur für Menschen, sondern auch für nicht-menschliche Identitäten wie KI-Agenten, APIs und Service-to-Service-Konnektoren. Obwohl Maßnahmen wie Multi-Faktor-Authentifizierung, Passkeys und andere passwortlose Methoden weithin als unverzichtbar anerkannt sind, liegt ihr wahrer Wert darin, wie effektiv sie über den gesamten Lebenszyklus hinweg implementiert, verstanden, autorisiert und verwaltet werden. Cybersicherheit ist eine von Menschen getragene Disziplin; Angreifer nutzen Lücken in Verhalten, Fähigkeiten und Bewusstsein ebenso oft aus wie Lücken in der Technologie. Eine starke Cybersicherheitshygiene hängt von sachkundigen Fachkräften ab, die aktuelle Angriffsmethoden verstehen, Risiken kritisch hinterfragen und Abwehrmaßnahmen bewusst und nicht nur standardmäßig anwenden. Der Aufbau eines widerstandsfähigen Identitätsschutzes beginnt daher mit der Investition in Menschen, die so ausgestattet und geschult sind, dass sie Sicherheitsentscheidungen treffen können, die dem Druck der realen Welt standhalten.