Sicherheitsrisiken bei der Nutzung von KI-generierten Passwörtern

Die digitale Welt erfordert zunehmend robuste Sicherheitsmassnahmen, insbesondere im Bereich der Zugangsdaten. Eine wachsende Anzahl von Nutzern wendet sich an Künstliche Intelligenzen (KI) wie ChatGPT, um vermeintlich sichere Passwörter zu generieren. Doch aktuelle Analysen und Studien zeigen, dass diese Praxis erhebliche Sicherheitsrisiken birgt. Dieser Artikel beleuchtet die Mechanismen hinter diesen Schwachstellen und bietet Handlungsempfehlungen für Unternehmen und Anwender.

Die trügerische Sicherheit KI-generierter Passwörter

Auf den ersten Blick erscheinen Passwörter, die von KI-Chatbots generiert werden, oftmals komplex und sicher. Sie enthalten Sonderzeichen, Zahlen und Gross- und Kleinbuchstaben, wie es für starke Passwörter empfohlen wird. Doch dieser Eindruck täuscht. Sicherheitsforscher warnen eindringlich vor der Nutzung solcher Passwörter, da sie sich in der Praxis als überraschend leicht knackbar erweisen.

Die Funktionsweise von Sprachmodellen und ihre Grenzen

Das Kernproblem liegt in der Architektur und Funktionsweise grosser Sprachmodelle (LLMs), auf denen Chatbots wie ChatGPT, Gemini oder Claude basieren. Diese Systeme sind darauf optimiert, plausible und vorhersehbare Ergebnisse zu generieren, indem sie Muster in riesigen Mengen von Trainingsdaten erkennen und fortsetzen. Echter Zufall, der für kryptografisch sichere Passwörter unerlässlich ist, kann von diesen Modellen nicht erzeugt werden. Sie generieren Zeichenfolgen basierend auf statistischen Wahrscheinlichkeiten und den gelernten Mustern, nicht auf echter Unvorhersehbarkeit.

Messbare Schwachstellen: Die Entropie von KI-Passwörtern

Die Sicherheit eines Passworts wird oft mittels seiner Entropie gemessen, einem Wert, der die Zufälligkeit und Unvorhersehbarkeit angibt. Während ein kryptografisch sicheres Passwort eine Entropie von etwa 98 Bit aufweist, erreichen KI-generierte Passwörter in Tests oft nur rund 27 Bit. Diese signifikant geringere Entropie bedeutet, dass solche Passwörter durch sogenannte Brute-Force-Angriffe – das systematische Ausprobieren aller möglichen Zeichenkombinationen – innerhalb von Stunden oder Tagen geknackt werden können, anstatt der theoretisch benötigten Jahrzehnte oder gar Jahrhunderte für wirklich zufällige Passwörter.

Empirische Belege für die Unsicherheit

Tests, die von Sicherheitsforschern mit verschiedenen KI-Modellen wie Anthropics Claude Opus 4.6, OpenAIs GPT-5.2 und Googles Gemini 3 Flash durchgeführt wurden, untermauern diese Erkenntnisse. Es zeigten sich bei allen Modellen feste Strukturen und wiederkehrende Muster. Beispielsweise begannen viele generierte Passwörter identisch oder wiesen nur geringe Variationen in der Zeichenauswahl auf. Bei einem Modell starteten nahezu alle Passwörter mit demselben Buchstaben, was die Angriffsfläche für Cyberkriminelle erheblich verkleinert.

Die scheinbare Komplexität, die durch die Verwendung von Sonderzeichen und Zahlen entsteht, ist oft irreführend, da diese Elemente an vorhersehbaren Stellen platziert werden. Selbst die Erhöhung des Parameters für die "Kreativität" des Modells, die sogenannte Temperatur, behebt dieses strukturelle Problem der Vorhersehbarkeit nicht ausreichend.

Auswirkungen auf die Softwareentwicklung und Cyberangriffe

Die Problematik beschränkt sich nicht auf die reine Passwortgenerierung. Die identifizierten Muster und Schwachstellen haben bereits Einzug in den Open-Source-Code auf Plattformen wie GitHub gefunden. Entwickler, die sich bei der Erstellung von Code auf KI-Assistenten verlassen, könnten unbemerkt diese Schwachstellen in ihre Anwendungen integrieren. Das sogenannte Vibe-Coding, bei dem KI grosse Teile des Codes schreibt, kann somit zu einem gefährlichen Einfallstor für Cyberangriffe werden, insbesondere für Credential-Stuffing-Angriffe, bei denen gestohlene Zugangsdaten massenhaft eingesetzt werden.

Cyberkriminelle können diese Eigenheiten der KI-Modelle gezielt ausnutzen. Durch die Analyse der "Lieblingspasswörter" der KIs können sie spezialisierte Wörterbücher erstellen, die die Effektivität von Brute-Force-Angriffen weiter steigern.

Handlungsempfehlungen für Unternehmen und Anwender

Angesichts dieser Risiken ist es für Unternehmen und Endnutzer entscheidend, proaktive Massnahmen zu ergreifen:

Verwendung von Passwort-Managern

Experten raten dringend zur Nutzung von Passwort-Managern. Diese Tools setzen auf kryptografisch sichere Pseudozufallszahlengeneratoren (CSPRNG), die echten Zufall emulieren und somit wesentlich robustere Passwörter erstellen können als KI-Modelle. Passwort-Manager bieten zudem den Vorteil, komplexe Passwörter sicher zu speichern und zu verwalten, was die Benutzerfreundlichkeit erhöht und die Notwendigkeit des Merkens entfallen lässt.

Sensibilisierung und Schulung

Mitarbeiter sollten für die Risiken der KI-generierten Passwörter sensibilisiert und geschult werden. Ein Bewusstsein für die Funktionsweise von LLMs und deren inhärente Schwachstellen bei der Zufallsgenerierung ist essenziell.

Vorsicht bei KI-Anwendungen

Einige KI-Anbieter haben bereits reagiert und integrieren Warnhinweise, dass von der KI erstellte Passwörter nicht für echte Konten verwendet werden sollten. Achten Sie auf solche Hinweise und befolgen Sie diese. Generell sollte bei der Interaktion mit KI-Tools stets eine kritische Haltung bewahrt werden, insbesondere wenn es um sicherheitsrelevante Informationen geht.

Regelmässige Sicherheitsaudits

Unternehmen sollten regelmässige Sicherheitsaudits ihrer Systeme und Anwendungen durchführen, um potenzielle Schwachstellen, die durch den Einsatz von KI im Entwicklungsprozess entstanden sein könnten, zu identifizieren und zu beheben.

Datenschutz und Compliance

Die Nutzung von KI-Tools birgt auch weitreichende Datenschutz- und Compliance-Risiken. Unternehmen müssen sicherstellen, dass die Verwendung von KI den geltenden Datenschutzbestimmungen, wie der DSGVO, entspricht. Dies beinhaltet die sorgfältige Prüfung, welche Daten in KI-Systeme eingegeben werden dürfen und wie diese dort verarbeitet und gespeichert werden.

Die Entwicklung von KI-Technologien schreitet rasant voran und bietet immense Potenziale. Gleichzeitig entstehen jedoch auch neue Herausforderungen im Bereich der Cybersicherheit. Die Erkenntnis, dass KI-Systeme keine inhärent sicheren Passwörter generieren können, ist ein wichtiger Schritt, um die digitale Sicherheit in Unternehmen und für individuelle Nutzer zu gewährleisten. Eine informierte und umsichtige Herangehensweise ist dabei unerlässlich.

Bibliographie

- Brien, Jörn. "Mit ChatGPT erstellte Passwörter sind nicht sicher." heise online, 19 Feb. 2026, www.heise.de/news/Mit-ChatGPT-erstellte-Passwoerter-sind-nicht-sicher-11185918.html.

- Brien, Jörn. "Passwörter per ChatGPT erstellen: Warum du das lieber lassen solltest." t3n, 19 Feb. 2026, t3n.de/news/passwoerter-chatgpt-erstellen-unsicher-1730517/.

- Diprotec. "Die verborgene Gefahr: Warum mit ChatGPT erstellte Passwörter unsicher sind." Diprotec Magazin, 2 Mar. 2026, www.diprotec.de/magazin/die-verborgene-gefahr-warum-mit-chatgpt-erstellte-passwoerter-unsicher-sind.

- Eshed, Oder. "ChatGPT-Sicherheitsrisiken: Sicherheit und Schwachstellen erklärt | LayerX." LayerX Security, layerxsecurity.com/de/generative-ai/chatgpt-security/.

- Kaspersky. "Ist ChatGPT für den Anwender sicher? Grundlegende Informationen." Kaspersky Resource Center, www.kaspersky.de/resource-center/preemptive-safety/is-chatgpt-safe.

- Norton. "Ist ChatGPT sicher? Risiken und Informationen, die Sie niemals weitergeben sollten." Norton Blog, de.norton.com/blog/ai/is-chatgpt-safe.

- Pryjda, Witold. "Sicherheitsrisiko: KI-Passwörter sind extrem leicht zu knacken." WinFuture.de, 19 Feb. 2026, winfuture.de/news,156979.html.

- SentinelOne. "ChatGPT-Sicherheitsrisiken: Alles, was Sie wissen müssen." SentinelOne Cybersecurity 101, www.sentinelone.com/de/cybersecurity-101/data-and-ai/chatgpt-security-risks/.

- SoSafe. "Die Sicherheitsrisiken von ChatGPT – und wie Sie sie vermeiden." SoSafe Blog, 16 June 2023, sosafe-awareness.com/de/blog/die-sicherheitsrisiken-von-chatgpt-und-wie-sie-sie-vermeiden/.

- Unternehmen Cybersicherheit. "Gefährlicher Trend: Hacker missbrauchen ChatGPT für kriminelle Zwecke." Unternehmen Cybersicherheit, 10 Dec. 2023, unternehmen-cybersicherheit.de/gefaehrlicher-trend-hacker-missbrauchen-chatgpt-fuer-kriminelle-zwecke/.