Im Sommer hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Cybersicherheitsmonitor 2025 veröffentlicht. In dieser Dunkelfeldstudie hat das BSI untersucht, ob und wie sich die Menschen vor Cyberkriminalität schützen. Zum Beispiel mit regelmäßigen Updates ihrer Software, starken Passwörtern und letztendlich auch mit der Zwei-Faktor-Authentifizierung bzw. Zwei-Faktor-Authentisierung, kurz 2FA.
Die Ergebnisse der Studie fallen besorgniserregend aus: Im Vergleich zu Untersuchungen im Jahr 2023 schützen sich die Menschen weniger vor möglichen Gefahren aus dem World Wide Web. So gaben 27 Prozent der Befragten an (2023, 36 Prozent), automatische Updates ihrer Software durchführen zu lassen, 24 Prozent nehmen manuelle Aktualisierungen (2023: 30 Prozent) vor. Weniger als die Hälfte (44 Prozent) verwenden ein aktuelles Virenprogramm (2023: 57 Prozent). Ähnlich sieht es mit 44 Prozent (2023: 57 Prozent) bei sicheren Passwörtern aus. Und wenig überraschend schützen nur 34 Prozent der Befragten ihre Accounts (2023: 42 Prozent) mit 2FA.
Passwörter für Logins? Nicht mehr sicher genug!
Grund genug für uns noch mal auf die Notwendigkeit der Zwei-Faktor-Authentifizierung hinzuweisen: Ein Passwort alleine reicht in der Regel nicht aus, um einen Account zuverlässig zu schützen.
So nutzen viele Menschen ein und dieselben Zugangsdaten für viele Logins. Wird auch nur einer der Accounts gehackt oder landet das Passwort per Leak in den dunklen Ecken des Internets, erhalten Kriminelle automatisch Zugriff zu allen Logins. Mit den erhaltenen Daten versuchen die Angreifer dann, sich automatisiert in die anderen Accounts einzuloggen.
Selbst ohne einen Account zu hacken, angeln sich Cyberkriminelle immer wieder Zugangsdaten. Phishing über E-Mails und Fake-Webseiten gehören beinahe schon zum Inventar des Internets. Und leider werden die Methoden immer ausgefeilter, so dass sich hier niemand in Sicherheit wähnen kann.
Und schlussendlich vergeht kaum ein Monat ohne einen Leak von Passwörtern. Erst im November 2025 wurde ein Datensatz mit fast zwei Milliarden E-Mail Adressen und 1,3 Milliarden Passwörtern ins Netz gestellt. Selbst wenn Sie als User alles richtig machen und ein starkes Passwort auswählen, müssen Sie damit rechnen, dass früher oder später ihre Zugangsdaten in den falschen Händen landen. Hier reicht bereits ein Blick auf die Website „Have I Been Pwned“, um zu prüfen, ob die eigenen E-Mail Adressen und Zugänge bereits davon betroffen sind.
Sicherheit für sich selbst und andere
Manche denken jetzt vielleicht, dass die Inhalte ihrer eigenen Accounts kaum der Rede wert sind, um diese zu stehlen. Was wollen Cyberkriminelle schon mit privaten Gesprächen, Geburtstagseinladungen, den letzten Lieferscheinen von Amazon oder ähnlich „banalen“ Dingen schon anfangen? Ziemlich viel. Schon ein gehackter E-Mail Account gewährt leicht Zugriff auf Bankdaten, Informationen zu Social Media Plattformen, Zugänge zu weiteren Accounts, eigenen Vorlieben und Präferenzen für Produkte. Ganz zu schweigen von möglichen Betriebsgeheimnissen im beruflichen Umfeld. Schon jene Informationen bieten Cyberkriminellen genügend Angriffsmöglichkeiten für weitere Attacken oder Material für den Verkauf von Daten.
Hinzu kommt, dass schon ein einziger gehackter E-Mail Account eine umfangreiche Kontaktliste bereitstellt. Die Telefonnummern von Freunden und Geschäftspartnern? Lassen sich einsehen. Bankverbindungen ihrer Konten und ihrer Familie ebenso. Ein geknackter E-Mail Account gefährdet also nicht nur Sie selbst sondern auch alle in ihrem Umfeld.
Ziehen Sie mit 2FA eine Brandmauer
Insofern schützen Sie mit 2FA nicht nur sich selbst sondern auch andere, die mit Ihnen zu tun haben. Selbst wenn jemand Ihr Passwort in die Hände bekommt, verhindern Sie mit einer zweiten Abfrage den Zugang zu ihren Accounts. Damit ersparen Sie sich viel Ärger, eventuell Verluste von Daten und möglicherweise auch Zeit und Geld für die Wiederherstellung ihres Zugangs.
Zudem funktionieren die verschiedenen Methoden für die Zwei-Faktor-Authentifizierung mittlerweile schnell und zuverlässig. Zum Beispiel das Generieren von Codes per Authenticator-App, Passkeys, Hardware-Sicherheitsschlüssel, Push Benachrichtigungen und auch per SMS versendete Tokens. Klar kann der zweite Schritt für den Zugang zu einem Account zuweilen lästig sein. Dafür können Sie sich selbst bei einem Leak ihres Passworts (trotzdem Ändern nicht vergessen!) einigermaßen entspannt zurücklehnen. In diesem Sinne wünschen wir Ihnen ein frohes und sicheres Weihnachtsfest.
