Schwache Passwörter in Spanien: ein teures Compliance-Risiko

15. May 2026 Veröffentlicht | Aus dem Spanischen übersetzt

Der neueste Bericht von NordPass und NordStellar, basierend auf der Analyse von 2,5 Terabyte an durchgesickerten Zugangsdaten, zeigt, dass die beliebtesten Passwörter in Spanien eine Katastrophe für die Cybersicherheit sind. Schlüssel wie 123456, admin oder 12345678 werden in weniger als einer Sekunde geknackt und sind identisch mit denen in Mexiko oder China. Im Jahr 2024 verwendeten über 27.000 Spanier 123456 und setzten damit ihre eigenen Daten sowie die ihrer Unternehmen einem offensichtlichen regulatorischen Risiko gemäß der DSGVO aus.

Karte von Spanien mit zerbrochenen Schlössern und durchgesickerten Daten, Konzept der Cybersicherheit und regulatorischen Compliance

Technische Analyse: Wiederverwendungsmuster und Expositionszeit 🔐

Bequemlichkeit ist keine rechtliche Ausrede. Der Bericht zeigt, dass 97 % der 100 weltweit am häufigsten gehackten Passwörter weniger als 12 Zeichen haben und Kombinationen wie Nacho2006 oder Talocha1 ein falsches Sicherheitsgefühl vermitteln. Aus der Perspektive der digitalen Compliance ist die Wiederverwendung dieser Schlüssel in mehreren Diensten (Banking, E-Mail, Personalwesen) ein direkter Verstoß gegen das Prinzip der Integrität und Vertraulichkeit gemäß Artikel 32 der DSGVO. Eine 3D-Infografik könnte visualisieren, wie ein Brute-Force-Angriff 123456 in 0,3 Sekunden entschlüsselt, während ein robustes 16-stelliges Passwort diese Zeit auf Jahrhunderte erhöht – eine kritische Information für Sicherheitsaudits.

3D-Lösungen und regulatorische Risikoszenarien ⚖️

Die Lösung ist nicht nur technischer, sondern auch governance-bezogener Natur. Die Implementierung biometrischer Verifizierung (Fingerabdruck oder Gesichtserkennung) und der Zwei-Faktor-Authentifizierung (2FA) schützt nicht nur Daten, sondern demonstriert auch die gebotene Sorgfalt bei einer Inspektion durch die AEPD. Simulieren wir ein Szenario: Ein Mitarbeiter verwendet admin im Unternehmens-CRM. Ein Cyberangriff führt zur Offenlegung von Kundendaten. Die Strafe für die Nichteinhaltung der DSGVO kann bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Die Investition in Cybersicherheit ist keine Ausgabe mehr, sondern wird zu einem obligatorischen Compliance-Posten.

Wie kann ein spanisches Unternehmen die Einhaltung der Datenschutzvorschriften nachweisen, wenn mehr als 80 % der von NordPass analysierten Sicherheitsverletzungen auf schwache Passwörter wie 123456 oder password zurückzuführen sind, und mit welchen spezifischen DSGVO-Strafen müsste es rechnen, wenn es keine robusten Richtlinien für das Passwortmanagement implementiert?

(PS: Das SCRA ist wie die automatische Speicherung: Wenn es versagt, wird dir bewusst, dass es existierte)