Die Verantwortung letztendlich auf ein schlechtes Passwort zu schieben ist schlichtweg falsch. Jedes IT-Sicherheitskonzept das seinen Namen auch verdient hat muss dafür gewappnet sein, dass mal ein Passwort gehackt wird. Das kann einfach auf zu viele Weisen passieren, sei es Phishing (und ich rede hier nicht vom "nigerianischen Prinzen", sondern gezielten Angriffen), ein bestochener Mitarbeity, oder auch ganz Stumpf das leicht zu erratene Passwort oder Passwort im (verlorenen/gestohlenen) Notizbuch. Sich auf 100%ige Sicherheit der Passwörter zu verlassen ist einfach grob fahrlässig und da hilft es auch nicht oder nur kaum wenn Mindestlängen, Sonderzeichen und regelmäßiger Passwortwechsel erzwungen werden, da dies oft das Niederschreiben der Passwörter nur noch fördert.
Entsprechend muss auch der Schaden, der bei Verlust des Passwortes angerichtet werden kann minimiert werden und die Möglichkeiten dafür sind vielfältig. Das einfachste, was sowieso immer implementiert sein sollte ist die Rechte so minimal wie möglich zu halten. Die allermeisten Leute im Unternehmen brauchen keinen uneingeschränkten Schreibzugriff auf die Produktionsdatenbanken und sollten diesen entsprechend auch nicht bekommen. Und "Chef sein" rechtfertigt schon mal gar nicht erhöhte Rechte im IT-System, sondern nur wenn man diese Rechte auch aktiv zum Arbeiten braucht. Ansonsten gibt es natürlich Mechanismen wie Zweifaktor-Authentifizierung, man könnte gewisse Zugriffe komplett aus dem Netzwerk sperren und nur lokal und physisch Anwesenden erlauben und, und, und.
Und zu guter Letzt: wenn ein System so kritisch für den Firmenbetrieb ist, dass ein Ausfall zur Insolvenz führt, dann hat man entsprechende Sicherungen zu haben. Und zwar außerhalb des Firmennetz und lokal getrennt, damit selbst wenn der Firmenserver buchstäblich abbrennt die Daten noch sicher sind.
Ich denke, basierend auf dem was ich auch in deutschen Unternehmen sehe, das zu Grunde liegende Problem ist viele ältere Unternehmen sind sich nicht bewusst (lies: die Führungsebene ist sich nicht bewusst), wie abhängig sie mittlerweile von ihrer IT-Infrastruktur sind. Das sind Unternehmen, die es oft schon Jahrzehnte vor dem Internet gab und daher die elektronische Datenverarbeitung als nettes Extra und nicht als integralen Bestandteil der Arbeitsweise sehen. Grade vorbeugende Maßnahmen (lies: Ausgaben) um die IT-Sicherheit zu gewährleisten stoßen da oft auf taube Ohren, weil wie groß könnte der Schaden wohl sein. Wie man an diesem Artikel sieht: so groß kann der Schaden sein - bis hin zur Insolvenz und Geschäftsaufgabe.
TLDR: Wenn dein gesamtes Sicherheitssystem durch das Erraten eines einzelnen Kennwortes kollabiert, dann ist nicht die Frage ob, sondern wann dies geschieht.