Das hier ist ein vollständig KI generierter Artikel.

Ein CEO eines national tätigen Facility-Services-Unternehmens mit rund 2’000 Mitarbeitenden glaubte, ein besonders pragmatisches Rezept gegen peinliche E-Mails gefunden zu haben: Er liess sämtliche Mitarbeitenden-Passwörter in einer einzigen Excel-Datei auf seinem Desktop sammeln – und blockierte gleichzeitig den Einsatz von Multi-Faktor-Authentifizierung (MFA). Das Ergebnis: ein Paradebeispiel dafür, wie gut gemeinte Kontrolle in massives Sicherheitsrisiko umschlagen kann.

Alle Schlüssel in einer Datei: Excel als Passwort-Tresor

Der CEO wollte jederzeit in die E-Mail-Konten seiner Mitarbeitenden einsteigen können. Hintergrund war ein Vorfall, bei dem ein Mitarbeitender vertrauliche Informationen versehentlich an die gesamte Firma gemailt hatte. Der Chef verbrachte daraufhin einen Abend damit, sich nacheinander in alle Postfächer einzuloggen und die Nachricht manuell zu löschen.

Um für künftige „Notfälle“ gerüstet zu sein, liess er eine Excel-Tabelle anlegen, in der sämtliche Benutzernamen und Passwörter der Belegschaft aufgeführt waren – zentral gespeichert, leicht zugänglich, ohne zusätzliche Schutzmassnahmen. Damit hielt eine Person buchstäblich alle „Schlüssel zur Burg“ in der Hand.

Aus Sicht elementarer IT-Sicherheit ist dieses Vorgehen ein Totalausfall: In einer sauberen Architektur kennt niemand die Passwörter anderer, nicht einmal die IT-Administration. Passwörter werden gehasht und verwaltet, aber nicht im Klartext gespeichert – schon gar nicht in einer Office-Datei auf einem Desktop.

Warum MFA unerwünscht war – und was das anrichtete

Konsequent zu Ende gedacht, passte auch MFA nicht in das Kontrollverständnis des CEOs. Multi-Faktor-Authentifizierung hätte ihn daran gehindert, sich mit fremden Zugangsdaten einfach in beliebige Postfächer einzuloggen. Also wurde MFA blockiert, obwohl das Unternehmen bereits zuvor einen Ransomware-Vorfall erlebt hatte.

Erst als externe Fachleute nachwiesen, dass sich unerwünschte E-Mails zentral und administrativ aus den Postfächern entfernen lassen – ganz ohne Kenntnis einzelner Passwörter –, verschwand die Excel-Liste nach rund vier Monaten wieder. Die Weigerung, MFA zu aktivieren, blieb jedoch bestehen. In der Folge erlitt das Unternehmen zwei Datenschutzvorfälle mit sensiblen Kundendaten.

Bequemlichkeit vor Sicherheit: Ein Musterproblem im Management

Der geschilderte Fall ist kein Einzelfall. Ein weiteres von demselben Sicherheitsexperten betreutes Unternehmen aus dem medizinischen Umfeld lehnte MFA ab, weil es den externen Beratern den Zugang „ein wenig zu schwer“ gemacht hätte. Während der Beratungszeit blieb es zwar ohne bekannten Vorfall, später tauchten jedoch Hinweise auf, dass Daten dieses Unternehmens im Untergrund kursierten.

Gemeinsam ist beiden Fällen ein Muster: Managemententscheidungen werden primär nach Bequemlichkeit und gefühlter Kontrolle getroffen, nicht nach Sicherheitsarchitektur und Risikoabwägung. Kurzfristige Erleichterung – etwa der schnelle Zugriff auf fremde Postfächer – wird höher gewichtet als der Schutz vor systemischen Schäden durch Kompromittierung von Zugangsdaten.

Was Unternehmen daraus lernen sollten

  • Keine geteilten Passwörter: Niemand – auch nicht CEO oder IT-Leitung – sollte Passwörter anderer Personen kennen. Zugriffe auf fremde Konten müssen über administrative Funktionen mit Protokollierung erfolgen.
  • Keine Klartext-Passwortsammlungen: Passwörter gehören nicht in Excel, Notizen oder Ticketsysteme. Sie werden sicher gehasht gespeichert oder in professionellen Passwortmanagern verwaltet, nie im Klartext.
  • MFA konsequent einsetzen: Multi-Faktor-Authentifizierung ist heute Standard, idealerweise mit modernen Verfahren wie Passkeys. Ausnahmen sollten eng begründet und zeitlich begrenzt sein.
  • Rollen und Prozesse statt Ad-hoc-Zugriffe: Für Notfälle (z.B. Zugriff auf ein Postfach bei Abwesenheit) braucht es definierte Prozesse, Rollen und technische Kontrollen – nicht improvisierte „Masterlisten“.
  • Sicherheitskultur von oben: Führungskräfte prägen die Sicherheitskultur. Wer selbst Regeln umgeht, sendet das Signal, dass Sicherheit zweitrangig ist.

Fazit

Eine Excel-Datei mit allen Passwörtern mag kurzfristig wie ein praktisches Kontrollinstrument wirken, ist aber in Wahrheit ein Single Point of Failure mit maximalem Schadenspotenzial. Gepaart mit der Weigerung, MFA zu nutzen, entsteht eine Angriffsfläche, die selbst grundlegenden Sicherheitsanforderungen nicht standhält. Unternehmen, die aus solchen Fällen lernen, setzen auf klare Rollen, technische Kontrollen und eine Sicherheitskultur, in der Bequemlichkeit nicht über Schutz und Vertraulichkeit gestellt wird.

Quelle: https://www.theregister.com/security/2026/06/11/every-employees-password-was-stored-in-a-single-excel-file/5253784