Security,

Studium

Cyber Security: Was häufige Passwörter über schlecht geschützte Systeme verraten

Jedes Jahr kursieren Ranglisten mit den «häufigsten Passwörtern». Sie sorgen für Kopfschütteln, Spott und Klicks. Doch was sagen diese Listen wirklich aus? Hannes Spichiger, Experte für Cyber Security und digitale Forensik der Hochschule Luzern, ordnet ein. Aus seinem überraschenden Befund lässt sich einiges lernen.

Informiert bleiben? Jetzt diesen Blog abonnieren!
Cyber Security: Was häufige Passwörter über schlecht geschützte Systeme verraten
Häufige Passwörter wie etwa «Passwort» entstehen nicht zufällig. Die digitale Forensik erklärt, warum sie in Leaks auftauchen (Bildquelle: Pixabay).

Jedes Jahr kursieren Ranglisten mit den «häufigsten Passwörtern». Sie sorgen für Kopfschütteln, Spott und Klicks. Doch was sagen diese Listen wirklich aus? Hannes Spichiger, Experte für Cyber Security und digitale Forensik der Hochschule Luzern, ordnet ein. Aus seinem überraschenden Befund lässt sich einiges lernen.

Passwortlisten mit den häufigsten Einträgen wie «123456» oder «password» machen regelmässig Schlagzeilen. Auffällig ist jedoch, dass in der Schweiz neu ein Gaming-Begriff wie «Dominaria» an der Spitze stehen soll.

Solche Ranglisten mit unsinnigen oder seltsamen Passwörtern verbreiten sich schnell. Auslöser für diesen Blogbeitrag war ein Artikel auf Watson, der sich auf eine Auswertung des Passwort-Managers NordPass stützt. Analysiert wurden gesammelte Passwörter aus bekannten Datenlecks,, ausgewertet nach Ländern.

Das Problem: Diese Listen zeigen nicht wirklich, welche Passwörter Menschen generell nutzen. Sie lassen vielmehr darauf schliessen, welche Passwörter aus schlecht geschützten Diensten abfliessen.

Genau hier setzt die forensische Perspektive an. Unser Experte Hannes Spichiger bringt es so auf den Punkt: Nicht die Kreativität der Schweizer Bevölkerung ist auffällig. Auffällig ist, wo Daten gestohlen werden.

Dr. Hannes Spichiger

Dozent und digialer Forensiker

Spichiger kennt Passwörter aus zwei Perspektiven: aus der digitalen Forensik und aus der Cyber Security. Er arbeitete mehrere Jahre bei der Polizei als Spezialist für digitale Forensik. Spichiger ist bis heute forensisch tätig und unterrichtet am Informatik-Departement der Hochschule Luzern.

    Warum «Dominaria» kein Schweizer Phänomen ist

    Dass das Passwort «Dominaria» plötzlich ganz oben steht, ist kein kulturelles Statement. Es ist ein technisches. Solche Passwörter tauchen auf, weil Plattformen gehackt werden, die ihre Daten schlecht schützen: zum Beispiel kleine Foren, Games oder Nischendienste. Wer dort ein Passwort eingibt, riskiert mehr.

    Wer hingegen Dienste nutzt, die sauber abgesichert sind, taucht in diesen Datensets gar nicht erst auf. Grosse Plattformen mit guter Absicherung erscheinen nicht in Passwort-Ranglisten. Nicht, weil sie keine Nutzerinnen und Nutzer hätten. Sondern weil sie kaum verwertbare Leaks produzieren.

    Kurz erklärt: Zentrale Begriffe

    Digitale Forensik: Sie ist Teil der kriminalistischen Ermittlungsarbeit. Sie untersucht digitale Geräte und Daten, um Straftaten aufzuklären, digitale Beweise zu sichern und Abläufe für Polizei und Gerichte nachvollziehbar zu rekonstruieren.

    Encryption: Verschlüsselung. Daten werden so gespeichert, dass sie ohne passenden Schlüssel nicht gelesen werden können.

    Entropie: Ein Mass für Zufälligkeit in Daten. Hohe Entropie kann ein Hinweis auf Verschlüsselung oder starke Kompression sein.

    Hash: Eine Einweg-Funktion. Ein Passwort wird in einen festen Wert umgerechnet. Aus dem Hash lässt sich das ursprüngliche Passwort nicht direkt zurückrechnen.

    2FA (Zwei-Faktor-Authentifizierung): Anmeldung mit zwei unabhängigen Faktoren, etwa Passwort plus Code auf dem Smartphone. Selbst ein bekanntes Passwort reicht dann nicht aus.

    Passwort-Reuse: Dasselbe Passwort wird für mehrere Dienste verwendet. Das grösste reale Risiko im Alltag.

    Was die Forensik über Passwörter weiss

    In der digitalen Forensik geht es nicht um Erziehung, sondern um Rekonstruktion. Was ist passiert? Welche Daten lagen wo? Wie wurde geschützt, oder eben nicht? Um an notwendige Daten zu gelangen, können Passwörter nötig sein. Und hier ist es interessant, das Verhalten bei der Passwortauswahl zu kennen.

    Dabei zeigt sich seit Jahren ein stabiles Muster:

    • Menschen wählen Passwörter im Kontext des Dienstes. Beispiel: Facebook123, Firmenname plus Zahl, Spielbegriffe. Genau so entstehen auch Begriffe wie «Dominaria» in Passwortlisten. Wer sich bei einem Game, einem Forum oder einem Nischendienst anmeldet, greift oft auf Begriffe zurück, die direkt mit diesem Dienst zu tun haben. Taucht ein solcher Begriff später gehäuft in Leaks auf, sagt das weniger über die Passwortkreativität einer Bevölkerung aus als über die Sicherheit genau dieser Plattform.
    • Zahlen mit 19 tauchen häufig auf. Jahrgänge spielen eine grosse Rolle.
    • Viele Passwörter erfüllen gerade so die Mindestanforderungen.
    • Und vor allem: Passwort-Reuse ist die Regel, nicht die Ausnahme.

    Ein schwaches Passwort auf einer unwichtigen Seite ist selten das eigentliche Problem. Kritisch wird es, wenn dasselbe Passwort mehrfach verwendet wird.

    Passwörter sind kein Forschungstrend mehr, aber ein Praxisproblem

    Hannes Spichiger

    Darüber sprachen wir mit Hannes Spichiger in einem Interview. Er leitet im Bachelor-Studiengang Bachelor in Information & Cyber Security das Modul Computer Forensik. Darin nimmt das Thema Passwörter einen gewichtigen Platz ein, weil es in Ermittlungen immer wieder eine zentrale Rolle spielt.

    Herr Spichiger, warum tauchen immer wieder dieselben unsinnigen Passwörter auf?

    Weil Menschen nicht besonders kreativ sind, wenn sie sich etwas merken müssen. In echten Datensätzen aus Datenlecks tauchen gewisse Passwörter extrem häufig auf. Einfache oder naheliegende Passwörter kommen in gehackten Systemen überproportional oft vor. Wenn ein einzelnes Passwort bis zu 0,5 Prozent aller Einträge ausmacht, heisst das: Von tausend kompromittierten Konten verwenden fünf exakt dasselbe Passwort. Die Menschen ähneln sich bei der Wahl ihrer Passwörter stark.

    Was sagt eine Liste der häufigsten Passwörter über die Cyber-Sicherheit in der Schweiz aus?

    Das Datenset deutet darauf hin, dass gut geschützte Dienste nicht sichtbar werden. Wird ein Dienst kompromittiert, tauchen oft genau jene Passwörter gehäuft auf, die Nutzerinnen und Nutzer im direkten Bezug zu diesem Dienst wählen.

    Dass die Kontextpasswörter gut geschützter Dienste in solchen Listen fehlen, zeigt, dass diese Dienste sorgfältig mit unseren Daten umgehen. Sie werden seltener erfolgreich angegriffen, daher tauchen die Passwörter ihrer Nutzerinnen und Nutzer nicht auf den Listen auf. Wenn ein Passwort häufig auftaucht, heisst im Umkehrschluss meist: Dieser Dienst wurde gehackt und schlecht geschützt.

    Sind die Schutzmassnahmen des Dienstes für die Sicherheit also entscheidender als die Passwörter?

    Nein. Aber Passwörter reichen allein nicht mehr. Gut geschützte Plattformen setzen auf Zwei-Faktor-Authentifizierung (2FA). Da vermehrt auf 2FA gesetzt wird, sind Passwörter als Forschungsthema eher in den Hintergrund gerückt.

    Warum beschäftigen Sie sich in der Forensik trotzdem damit?


    Weil wir in der Praxis ständig mit Passwörtern zu tun haben. Passwörter werden noch immer verwendet, um Daten zu verschlüsseln. Da wir diese Daten für unsere Analyse verwenden wollen, suchen wir nach Möglichkeiten, wie wir diese entschlüsseln können. Dabei kann es eine effektive Strategie sein, Passwörter zu erraten.

    Sehen Sie rückblickend Sicherheitsratschläge, die Sie heute anders gewichten?

    Man hat den Leuten jahrelang gesagt, sie sollen Passwörter nie aufschreiben. Die Folge waren kurze, schwache Passwörter. Natürlich sollten Passwörter weiterhin sorgfältig behandelt werden, doch das reale Risiko liegt heute fast immer im Internet, nicht im Notizzettel zu Hause.

    Ihr Schlusswort als Forensiker?

    Passwortlisten wirken auf den ersten Blick konkret, sind aber trügerisch. Sie zeigen keine nationale Passwortkultur, sondern technische Schwachstellen. Die forensische Perspektive hilft, diese Verzerrung zu verstehen. Am Ende geht es nicht um Spott über «123456». Es geht um Wiederverwendung, Schutzmechanismen und um die Frage, welchen Diensten wir unsere Daten anvertrauen.

    Sieben unverzichtbare Regeln für den Alltag

    1. Dasselbe Passwort nie für mehrere Dienste verwenden.
    2. Wichtige Dienste immer mit 2FA absichern.
    3. Kontextpasswörter vermeiden. Kein Dienstname im Passwort.
    4. Passwort-Manager nutzen und schützen.
    5. Unwichtige Konten regelmässig löschen.
    6. Mindestlängen nicht als Ziel, sondern als Untergrenze sehen.
    7. Ranglisten ignorieren und stattdessen das eigene Verhalten prüfen.

    Text: Gabriela Bonin
    Veröffentlicht: 9. Januar 2026

    Ausbildung in diesem Fachbereich: Hol dir einen Bachelor in Information & Cyber Security: Mit diesem Studium erwirbst du das notwendige Fachwissen, um Unternehmen und Verwaltungen vor Cyber-Kriminalität zu schützen und mit einer sicheren IT-Infrastruktur auszustatten. Der Bachelor bereitet auf 30 bis 50 Berufsbilder in der digitalen Sicherheit vor. Er ist modular aufgebaut.

    Weiterbildung Security & Privacy: Die Hochschule Luzern bietet zahlreiche Weiterbildungen im Bereich Information & Cyber Security and Privacy an.

    Besuche unsere Online-Info-Veranstaltungen.

    Gefällt dir unser Blog? Hier erhältst du Tipps und liest über Trends aus der Welt der Informatik. Wir bieten Einsichten ins Informatik-Departement und Porträts von IT-Vordenkerinnen, Visionären und spannenden Menschen. Jetzt Informatik-Blog abonnieren!

    Aktuelles aus unserem Departement auf LinkedIn. Hier folgen.

    Cyber Security
    Digitale Forensik
    Passwörter

    Kommentare

    0 Kommentare

    weitere Kommentare laden

    Kommentar verfassen

    Danke für Ihren Kommentar, wir prüfen dies gerne.

    Ähnliche Beiträge

    Security

    Ein Job für Robuste: Datenschutz und Datensicherheit

    Datenschutz und Datensicherheit: Beides ist nötig, beides kann nerven. Wer sich dafür einsetzt, erntet wenig Dank – dabei geht es…

    Security

    Cyber-Sicherheit in den Ferien: So schützen Sie Ihre mobilen Geräte

    Die Ferienzeit steht an. Mit im Gepäck: das Smartphone. «eBanking – aber sicher!» gibt Tipps, wie Sie die Daten auf…

    Software Engineering

    Neue Tatort-App sichert Fingerabdrücke für die Polizei

    Zwei Alumni der Hochschule Luzern haben eine neuartige Tatort-App entwickelt: die Spurensicherungs-Foto-App SPUFO. Dank ihr kann die Polizei Fingerabdrücke einfacher…