Specops Software hat seinen alljährlichen „Breached Password Report“ veröffentlicht. Für diesen wurden über sechs Milliarden gestohlene Passwörter analysiert, die von Januar bis Dezember 2025 vom Threat Intelligence Team von Outpost24, der Muttergesellschaft von Specops, gesammelt wurden. Der Report zeigt, dass der Diebstahl von Zugangsdaten kein Einzelfall oder kurzlebiges Ereignis mehr ist. Stattdessen werden gestohlene Passwörter in großem Umfang gesammelt, zu großen Datensätzen zusammengefasst und wiederholt wiederverwendet. Dadurch sind Unternehmensumgebungen noch lange nach der ersten Kompromittierung einem anhaltenden Risiko ausgesetzt.
Die Auswertung der Datensätze von Angreifern zeigt, dass selbst Passwörter, die den Standardanforderungen entsprechen, regelmäßig von Infostealer-Malware erfasst und für die weitere Verwendung gespeichert werden. Einmal gesammelt, zirkulieren die Zugangsdaten auf „Schwarzmärkten“ und werden in Datensätzen mit Benutzernamen, Login und Passwort zusammengefasst. Dadurch können Angreifer im Laufe der Zeit weitere Zugriffsversuche unternehmen, anstatt sich auf einzelne Gelegenheitsangriffe zu verlassen.
Zu den wichtigsten Ergebnissen gehören:
- Achtstellige Passwörter wurden am häufigsten gestohlen, mit 1,1 Milliarden kompromittierten Passwörtern, was etwa 18 % aller analysierten, durch Malware gestohlenen Passwörter entspricht.
- Die drei häufigsten Längen gestohlener Passwörter waren: 8 Zeichen, 10 Zeichen und 9 Zeichen.
- Die fünf am häufigsten gestohlenen Passwörter im Jahr 2025 waren die alten „Favoriten“ und Evergreens 123456, 123456789, 12345678, admin und password.
- Passwörter, die den Komplexitätsregeln entsprechen, darunter Password1, wurden wiederholt unter den kompromittierten Zugangsdaten gefunden.
- 500 der am häufigsten wiederhergestellten Passwörter standen in Zusammenhang mit Infrastruktur und gemeinsam genutzten Zugängen.
Die Analyse der Angreifer-Datensätze zeigt, dass vorhersehbare Basisbegriffe wie „admin”, „guest”, „cisco” und „hello” in Kombination mit einfachen numerischen Mustern weiterhin die meisten gestohlenen Anmeldedaten ausmachen. Regionale und sprachspezifische Varianten folgen denselben schwachen Mustern, sodass sie für Angreifer leicht vorhersehbar und wiederverwendbar sind.
Auch ein Problem der Unternehmens-Richtlinien
Diese Ergebnisse deuten darauf hin, dass es sich hierbei nicht nur um ein Problem des Benutzerverhaltens handelt, sondern um ein Problem der Richtlinien. Schwache Konstruktionen werden nach wie vor in Unternehmensumgebungen zugelassen und wiederverwendet, wodurch das Risiko grundlegender Angriffe auf Anmeldedaten steigt. Selbst technisch konforme Passwörter wurden häufig durch Malware kompromittiert und tauchen in aggregierten Datensätzen wieder auf, was die Notwendigkeit einer kontinuierlichen Erkennung und adaptiver Kontrollen anstelle einer punktuellen Durchsetzung unterstreicht.
Der Report identifiziert LummaC2 als die aktivste Malware-Familie des Jahres, die für den Diebstahl von Anmeldedaten verantwortlich ist. Mit über 60 Millionen gestohlenen Anmeldedaten hat sie langjährige Infostealer wie RedLine überholt. Die Ergebnisse zeigen, dass der Diebstahl von Anmeldedaten weiterhin eher durch Umfang, Verbreitung und Wiederverwendung als durch neue Ausnutzungstechniken zunimmt.
Der Report kombiniert Angreiferdaten mit praktischen Anleitungen zur Identifizierung kompromittierter Anmeldedaten, zur Stärkung der Zugriffskontrollen und zur Verringerung der Anfälligkeit von Unternehmen für passwortbasierte Angriffe im Jahr 2026.
Zum Downlad des Reports (nach Registrierung)