Kommentar von Thomas Sonne, Channel Sales Director, Outpost24

Ein Krankenhaus setzt strenge Passwortregeln um: mindestens zwölf Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen; auf den ersten Blick eine solide Sicherheitsrichtlinie. Doch Angreifer testen mittlerweile keine zufälligen Kombinationen mehr, sondern Varianten wie "Universitätsklinikum2026!" oder "Rehaklinik#123". Und nur wenige Minuten später haben die Cyberangreifer bereits Zugriff auf mehrere Accounts.
Das Beispiel zeigt ein häufig unterschätztes Problem: Viele Nutzer wählen Passwörter, die sich an vertrauten Begriffen orientieren; etwa am Firmennamen, an Produkten oder internen Projekten. Genau hier setzen moderne Angreifer an. Statt klassische Wörterbuchangriffe zu starten, erstellen sie gezielte Wortlisten, sogenannte Targeted Wordlists, die speziell auf eine Organisation zugeschnitten sind.

Der Ansatz ist überraschend simpel und genau deshalb so effektiv.

Wie Angreifer gezielte Wortlisten erstellen

Der Aufbau dieser Listen erfordert weder KI noch großen technischen Aufwand. Oft genügt ein automatisiertes Tool, das öffentlich verfügbare Inhalte eines Unternehmens durchsucht.
Aus diesen Begriffen entstehen anschließend zahlreiche Passwortvarianten:
-Kombinationen mit Zahlen oder Jahreszahlen;
-Varianten mit Groß- und Kleinschreibung;
-Ergänzungen mit typischen Sonderzeichen.

Diese Wörter werden anschließend automatisiert mit Passwort-Cracking-Tools getestet. Das Ergebnis: Passwörter können selbst dann kompromittiert werden, wenn sie auf den ersten Blick komplex wirken.

Warum Wordlist-Angriffe zunehmen

Statt auf massive Brute-Force-Attacken zu setzen, arbeiten Cyberkriminelle zunehmend präziser und unauffälliger. Targeted Wordlists ermöglichen ihnen sogenannte "Low-and-Slow"-Angriffe:
-weniger Login-Versuche;
-geringere Auffälligkeit in Logfiles;
-höhere Erfolgsquote pro Versuch.

Für Sicherheitsteams bedeutet dies, dass klassische Mechanismen oft zu spät greifen, weil der Angriff nicht wie ein massiver Passwort-Brute-Force aussieht.

Was Unternehmen jetzt tun sollten

Ein wichtiger Schritt ist es, kontextbezogene Begriffe - etwa Unternehmensnamen, Abteilungen oder Produktbezeichnungen - aktiv in Passwort-Blocklisten aufzunehmen. Ebenso wichtig sind längere Passphrasen, da zusätzliche Zeichen die Anzahl möglicher Kombinationen exponentiell erhöhen. Noch entscheidender ist jedoch ein zusätzlicher Schutzfaktor: Multi-Faktor-Authentifizierung (MFA). Selbst wenn Angreifer ein Passwort erraten sollten, verhindert ein zweiter Faktor einen direkten Zugriff auf Systeme. Langfristig wird sich außerdem zeigen, dass reine Passwortstrategien zunehmend an ihre Grenzen stoßen. Technologien wie Passkeys oder Zero-Trust-Ansätze könnten hier mittelfristig die Grundlage digitaler Identität verändern.

Wordlist-Angriffe sind nicht komplex. Angreifer nutzen hier lediglich eine Kombination aus Automatisierungen und menschlicher Vorhersehbarkeit. Solange Nutzer Passwörter aus vertrauten Begriffen ableiten, bleibt die Angriffsfläche bestehen; unabhängig davon, wie komplex die Passwortregeln erscheinen. Für Unternehmen bedeutet das: Passwortsicherheit sollte reale Nutzergewohnheiten und aktuelle Angriffstechniken berücksichtigen.


Über Specops Software GmbH
Specops ist ein Unternehmen von Outpost24, einem weltweit führenden Anbieter von Cybersicherheitslösungen, das sich auf Identitäts- und Zugriffsmanagement (IAM) spezialisiert hat.

Das Unternehmen bietet Lösungen für Passwortsicherheit und Authentifizierung, die Unternehmen vor identitätsbasierten Angriffen schützen. Im Jahr 2025 hat Outpost24 Infinipoint übernommen, einen Spezialisten für Zero-Trust-Sicherheit, und damit seine Kompetenzen in den Bereichen Geräteidentität, Posture Validation und sicherer Mitarbeiterzugriff erweitert.

Das umfassende Portfolio schützt Geschäftsdaten, indem es schwache Passwörter blockiert und eine sichere Benutzer- und Geräteauthentifizierung durchsetzt. Die Lösungen sind nativ in Active Directory und Entra ID integriert und sorgen dafür, dass sensible Daten unter Ihrer Kontrolle bleiben, egal ob vor Ort oder in der Cloud.
Durch die Kombination von robustem Identitätsmanagement mit Zero-Trust-Zugriffskontrolle sichert Specops Mitarbeiter auf Windows-, macOS-, Linux- und mobilen Plattformen.

Mehr Informationen unter: https://specopssoft.com/de.