16 Milliarden Passwörter geleakt – so schützt ihr eure Konten

16 Milliarden Passwörter geleakt – so schützt ihr eure Konten

Die bislang größte Sammlung geleakter Zugangsdaten zeigt, wie professionell Cyberkriminelle inzwischen vorgehen – und wie leicht alltägliche Sicherheitsfehler ausgenutzt werden. Wer seine digitalen Identitäten schützen will, muss auf neue Methoden und technische Schutzmechanismen setzen.

Sicherheitsforscher haben den bislang größten Datenleak der Internetgeschichte entdeckt: über 16 Milliarden kompromittierte Zugangsdaten .

Die Informationen stammen aus Infostealer-Malware und enthalten Passwörter zu Diensten wie Google, Apple, Facebook oder Telegram.

Wer seine Zugangsdaten nicht schützt, riskiert Kontoübernahmen, Identitätsdiebstahl und Phishing-Angriffe.

Der Artikel zeigt, wie ihr prüft, ob ihr betroffen seid – und welche Maßnahmen ihr jetzt dringend ergreifen solltet.

Cybersicherheitsforscher haben den bislang größten Datenleak in der Geschichte des Internets dokumentiert. Über 16 Milliarden Zugangsdaten sind in 30 verschiedenen Datenbanken aufgetaucht, die Login-Informationen für nahezu jeden erdenklichen Online-Service enthalten. Die Daten umfassen Zugänge zu Apple, Facebook, Google, GitHub, Telegram und sogar Regierungsplattformen.

Herkunft und Struktur der Daten

Die Forscher von Cybernews überwachen seit Jahresbeginn systematisch das Netz und sind dabei auf Datensätze mit einer Größe von mehreren zehn Millionen bis zu 3,5 Milliarden Einträgen pro Sammlung gestoßen. Bis auf eine Ausnahme waren alle diese Datensätze bisher unbekannt. Der einzige bereits gemeldete Fall betraf eine Datenbank mit 184 Millionen Einträgen, die im Mai 2025 entdeckt wurde.


Die Analyse zeigt, dass die meisten Daten von Infostealer-Malware stammen. Diese Schadsoftware infiltriert Computer und sammelt systematisch Anmeldedaten aus Browsern, Passwort-Managern und anderen Anwendungen. Die typische Struktur der gestohlenen Daten folgt einem klaren Muster: URL der Webseite, Benutzername und Passwort.


Bob Diachenko, Cybersicherheitsforscher bei Cybernews und Entdecker der Datenlecks, stellte klar, dass es sich nicht um zentrale Datenschutzverletzungen bei großen Technologieunternehmen handelte. Die Daten enthalten vielmehr Login-URLs zu den Anmeldeseiten von Apple, Facebook, Google und anderen Diensten. Dennoch eröffnen diese Informationen Cyberkriminellen den Zugang zu praktisch jedem vorstellbaren Online-Service.


Die Datensätze waren nur kurzzeitig über ungesicherte Elasticsearch-Instanzen oder Cloud-Storage-Systeme zugänglich. Lange genug, um von den Sicherheitsforschern entdeckt zu werden, aber zu kurz, um die Verantwortlichen zu identifizieren. Diese Tatsache macht die Situation besonders problematisch, da Betroffene keine Möglichkeit haben, direkt Schutzmaßnahmen zu ergreifen.

Risiken für Unternehmen und Privatpersonen

Die Größenordnung dieses Leaks schafft eine neue Dimension der Bedrohung. Mit 16 Milliarden Datensätzen verfügen Cyberkriminelle über eine beispiellose Menge an Zugangsdaten, die für Kontoübernahmen, Identitätsdiebstahl und gezielte Phishing-Angriffe verwendet werden können. Besonders gefährlich wird die Situation durch die Aktualität der Daten. Es handelt sich nicht um veraltete Informationen aus früheren Sicherheitsvorfällen, sondern um frische, einsatzfähige Daten.


Die Struktur der Leaks folgt einem beunruhigenden Trend. Aras Nazarovas, Forscher bei Cybernews, beobachtet eine Verschiebung in der Cyberkriminalität. Kriminelle wechseln von dezentralen Telegram-Gruppen zu zentralisierten Datenbanken, was die Verbreitung gestohlener Daten effizienter macht.


Viele der heute eingesetzten Werkzeuge für Credential-Diebstahl stammen aus dem stark professionalisierten Crime-as-a-Service-Umfeld. Im Darknet werden komplette Angriffspakete mitsamt Support und Update-Zyklen als Teil einer weltweiten Schattenökonomie angeboten (hier dazu mehr).


Lawrence Pingree von Dispersive erklärt, dass Geheimdienste und Bedrohungsakteure diese Listen im Dark Web sammeln und nutzen. Die Daten werden teilweise mehrfach verpackt und einzeln verkauft. Bereits eine Erfolgsquote von weniger als einem Prozent kann bei dieser Datenmenge zu Millionen kompromittierter Konten führen.

Funktionsweise von Infostealer-Malware

Infostealer-Programme haben sich zu einer der effektivsten Methoden für Cyberkriminelle entwickelt. Anstatt Netzwerke mit Brute-Force-Attacken zu überwinden, warten sie darauf, dass Nutzer Fehler machen. Die Malware verbreitet sich über raubkopierte Software, infizierte PDF-Dateien, Spiele-Mods oder andere schädliche Downloads.


Ein unterschätzter Infektionsweg sind öffentliche WLANs. Wer sich in Cafés, Flughäfen oder Hotels ungesichert einloggt, setzt seine Geräte dem Risiko gezielter Man-in-the-Middle-Angriffe aus – eine gängige Methode zur Einschleusung von Infostealern (mehr dazu hier).


Nach der Installation sammelt die Software systematisch alle verfügbaren Daten: VPN-Zugangsdaten, Authentifizierungscookies, E-Mail-Logins, interne Entwicklungstools, gespeicherte Dokumente, Browserverlauf und automatisch ausgefüllte Formulardaten. Diese umfassende Datenexfiltration macht jeden infizierten Computer zu einer Goldgrube für Cyberkriminelle.


Das israelische Cybersicherheitsunternehmen Hudson Rock dokumentiert die Verbreitung dieser Bedrohung. Die Einfachheit der Angriffe und die hohe Erfolgsquote haben Infostealer zu einem bevorzugten Werkzeug in der Cyberkriminalität gemacht.

Workshops zu IT-Sicherheit:

Auswirkungen auf die Credential-Sicherheit

Die Dimension dieses Leaks verdeutlicht die Grenzen herkömmlicher Passwort-Sicherheit. Evan Dornbush, ehemaliger NSA-Cybersicherheitsexperte und CEO von Desired Effect, bringt das Problem auf den Punkt: Die Länge oder Komplexität eines Passworts spielt keine Rolle, wenn Angreifer die Datenbank kompromittieren, in der es gespeichert ist.


Darren Guccione, CEO von Keeper Security, warnt vor der Leichtigkeit, mit der sensible Daten unbeabsichtigt online preisgegeben werden. Die aktuellen Funde könnten nur die Spitze eines Eisbergs sein. Unzählige weitere Zugangsdaten liegen möglicherweise in falsch konfigurierten Cloudumgebungen und warten auf ihre Entdeckung.


Die Wiederverwendung von Passwörtern verstärkt das Risiko erheblich. Wenn Angreifer ein Passwort aus einer kompromittierten Datenbank stehlen und der Nutzer dasselbe Passwort für mehrere Dienste verwendet, können sie auf alle diese Konten zugreifen. Diese Kettenreaktion macht einzelne Sicherheitsvorfälle zu systemischen Bedrohungen.

Technische Schutzmaßnahmen

Die Reaktion auf diese Bedrohungslage erfordert eine Kombination aus technischen und organisatorischen Maßnahmen. Passwort-Manager bilden die Grundlage einer soliden Credential-Strategie. Sie generieren für jeden Dienst einzigartige, komplexe Passwörter und speichern diese verschlüsselt. Nutzer müssen sich nur noch ein Master-Passwort merken.


Darüber hinaus sollten Anwender regelmäßig ihre Passwörter aktualisieren, insbesondere für kritische Dienste wie E-Mail-Konten, Online-Banking und Cloudspeicher. Dark-Web-Monitoring-Tools können dabei helfen, kompromittierte Zugangsdaten frühzeitig zu erkennen und entsprechende Maßnahmen einzuleiten.


Die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene. Selbst wenn Angreifer Zugang zu Benutzernamen und Passwort erhalten, benötigen sie einen zweiten Authentifizierungsfaktor, um sich anzumelden. Nazarovas weist jedoch darauf hin, dass einige der geleakten Datensätze auch Session-Cookies enthalten, die 2FA-Mechanismen umgehen können.

Migration zu Passkeys

Eine grundlegende Lösung bietet der Wechsel zu Passkeys. Diese moderne Authentifizierungstechnologie ersetzt Passwörter durch kryptografische Schlüssel, die auf dem Gerät des Nutzers gespeichert werden. Rew Islam von Dashlane und Co-Vorsitzender der FIDO Alliance erklärt, dass Passkeys eine wesentliche Verbesserung der Sicherheit darstellen.


Facebook, Apple und Google haben bereits Passkey-Unterstützung implementiert. Die Technologie nutzt biometrische Daten wie Fingerabdrücke oder Gesichtserkennung, die den meisten Nutzern bereits vertraut sind. Islam prognostiziert, dass Passkeys innerhalb der nächsten drei Jahre von der Mehrheit der Internetnutzer weltweit verwendet werden.


Der Übergang zu Passkeys erfordert eine breitere Adoption durch Unternehmen. Banken, Social-Media-Plattformen und kleine Unternehmen müssen diese Technologie implementieren, um das Vertrauen der Nutzer zu gewinnen. Die aktuelle Datenlage zeigt die Dringlichkeit dieser Entwicklung.

Praktische Umsetzung der Sicherheitsmaßnahmen

Die Umsetzung effektiver Credential-Sicherheit beginnt mit einer Bestandsaufnahme. Nutzer sollten sämtliche Online-Konten systematisch erfassen und prüfen, ob und wo Passwörter mehrfach verwendet werden. Der Einsatz von Diensten wie Have I Been Pwned erlaubt es, eigene E-Mail-Adressen auf bekannte Datenlecks hin zu überprüfen. IT-Fachkräfte können sich dort auch automatisch benachrichtigen lassen, sobald neue Leaks die eigenen Adressen betreffen. Im Anschluss sollte für jeden Dienst ein starkes, individuelles Passwort vergeben werden.


Ein Passwort-Manager kann dabei unterstützen, eindeutige Kennwörter zu generieren und sicher zu verwalten. Wichtig sind dabei Kriterien wie Ende-zu-Ende-Verschlüsselung, plattformübergreifende Synchronisation und eine einfache Bedienoberfläche. Die meisten aktuellen Lösungen erkennen zudem automatisch unsichere oder doppelt verwendete Passwörter.


Die Zwei-Faktor-Authentifizierung sollte für alle wichtigen Dienste aktiviert werden. Dabei bieten Authenticator-Apps einen höheren Schutz als SMS-basierte Verfahren, da sie weniger anfällig für SIM-Swapping sind. Regelmäßige Sicherheitsüberprüfungen helfen zudem dabei, den Überblick zu behalten. Nutzer sollten ihre Konten auf verdächtige Aktivitäten überwachen und bei Auffälligkeiten sofort den Kundensupport kontaktieren.


Wer Benachrichtigungen von Maildiensten auf dem Smartphone erlaubt, erhält Warnungen zu Login- und Manipulationsversuchen direkt, nachdem diese erfolgt sind, und kann sofort handeln.


Die folgenden Maßnahmen fassen zentrale Handlungsschritte zusammen, die sich kurzfristig umsetzen lassen:


  • Einsatz eines Passwort-Managers zur sicheren Verwaltung individueller Kennwörter
  • Aktivierung von Zwei-Faktor-Authentifizierung (möglichst App-basiert) für kritische Dienste
  • Prüfung eigener E-Mail-Adressen auf bekannte Leaks (z. B. via Have I Been Pwned)
  • Vermeidung ungesicherter WLANs oder Nutzung eines VPN bei sensiblen Anwendungen
  • Regelmäßige Updates für Betriebssysteme, Anwendungen und Browser-Erweiterungen
  • Konsequente Vermeidung mehrfach genutzter Passwörter – auch für weniger kritische Konten

Ergänzend dazu lassen sich folgende weiterführende Maßnahmen umsetzen:


  • Kritische Überprüfung von Sicherheitsfragen und Ersetzen durch schwer zu erratende, gespeicherte Antworten
  • Nutzung physischer Sicherheitsschlüssel (z. B. YubiKey) für besonders schützenswerte Konten
  • Identifikation und Löschung veralteter oder nicht mehr benötigter Online-Konten
  • Regelmäßige Kontrolle von OAuth- und Drittanbieter-Berechtigungen mit Widerruf nicht genutzter Zugriffe
  • Sicheres Aufbewahren von 2FA-Backup-Codes für den Notfall (z. B. als Ausdruck an einem geschützten Ort)
  • Verwendung separater E-Mail-Adressen für besonders sicherheitsrelevante Dienste
  • Trennung privater und beruflicher Passwörter sowie Identitäten zur Reduktion systemischer Risiken

Organisatorische Sicherheitsstrategien

Die Entdeckung von 16 Milliarden kompromittierten Zugangsdaten kann als Zäsur in der Cybersicherheit und digitale Identitätsverwaltung verstanden werden. Die Dimension und Aktualität der Daten zeigt, dass herkömmliche Sicherheitsansätze vollkommen überholt sind und sich die Branche und der digitale Raum als Ganzes auf fundamentale Veränderungen einstellen muss.


Massive Leaks wie dieser seien oft nur der Auftakt zu einer Kaskade weiterführender Angriffe, warnt George McGregor vom Sicherheitsunternehmen Approov. Die zugrunde liegenden Forschungsergebnisse bestätigen laut ihm, was viele Praktiker längst wissen: Benutzeridentitäten sind im Netz allgegenwärtig verfügbar und damit ein bevorzugtes Angriffsziel.


Darren Guccione, Keeper-Security-Chef, sieht in Zero-Trust-Architekturen mit granularen Zugangskontrollen einen zentralen Hebel zur Risikominimierung. Systeme, die jeden Zugriff authentifizieren, autorisieren und protokollieren – unabhängig vom Ort oder Gerät –, könnten der zunehmenden Komplexität digitaler Infrastrukturen angemessen begegnen.


Auch Javvad Malik vom Awareness-Anbieter KnowBe4 betont die Notwendigkeit geteilter Verantwortung zwischen Organisationen und Individuen: Unternehmen müssten hierfür Strukturen schaffen, die Risiken proaktiv adressieren, während gleichzeitig Endnutzer in der Lage sein sollten, typische Angriffsversuche wie Credential Phishing zu erkennen.


Paul Walsh von MetaCert hingegen hält dieses Prinzip der geteilten Verantwortung für illusorisch. Es sei unrealistisch zu erwarten, dass Nutzer Sicherheitslücken erkennen, die selbst Fachleuten mitunter verborgen bleiben. Schulungsmaßnahmen allein, so Walsh, hätten sich in den vergangenen Jahren als nicht ausreichend erwiesen, um das Sicherheitsniveau nachhaltig zu erhöhen.


Die Lösung liegt in der Kombination technologischer Fortschritte mit robuster Infrastruktur. Passkeys, Zero-Trust-Modelle und automatisierte Bedrohungserkennungssysteme müssen zusammenwirken, um den Herausforderungen der nächsten Jahre gewachsen zu sein.


Für IT-Professionals bedeutet dies, dass sie sich aktiv auf eine post-passwortbasierte Zukunft vorbereiten sollten. Die Einführung passwortloser Authentifizierungsverfahren, die Migration bestehender Zugangslogiken und die Schulung von Anwendern werden zu zentralen Handlungsfeldern. Parallel dazu bleibt es entscheidend, neue Angriffsmuster frühzeitig zu erkennen und Sicherheitsstrategien kontinuierlich anzupassen.


Bild: Freepik.com

Frequently Asked Questions (FAQ):

Was genau ist geleakt worden?

Nicht die internen Datenbanken von Apple, Google oder anderen Diensten selbst, sondern Zugangsdaten aus infizierten Endgeräten: also Benutzername, Passwort und oft auch Session-Cookies.

Wie kann ich herausfinden, ob meine Daten betroffen sind?

Auf haveibeenpwned.com kannst du prüfen, ob deine E-Mail-Adresse in bekannten Leaks enthalten ist. Dort lassen sich auch automatische Benachrichtigungen aktivieren.

Was soll ich tun, wenn ich betroffen bin?

Ändere das betroffene Passwort sofort – und bei Wiederverwendung auch bei anderen Diensten. Aktiviere Zwei-Faktor-Authentifizierung (App-basiert, nicht SMS) und setze idealerweise auf einen Passwort-Manager.

Wie kann ich mich dauerhaft besser schützen?

Nutze für jede Anmeldung ein einzigartiges, starkes Passwort , meide ungesicherte Netzwerke, halte Software aktuell und lösche alte oder inaktive Konten. Für besonders sensible Dienste lohnt sich auch ein physischer Sicherheitsschlüssel (z. B. YubiKey).

Sind Passwörter überhaupt noch sicher?

Passwörter allein sind zunehmend angreifbar. Die Zukunft gehört Passkeys , die mit biometrischen oder gerätespezifischen Informationen arbeiten. Große Anbieter wie Apple und Google unterstützen diese Technologie bereits.

Bleibt mit unserem kostenlosen Newsletter auf dem Laufenden und erhaltet

10 Prozent Rabatt auf eure erste Bestellung in der Golem Karrierewelt:

Themenrelevante Artikel:

Alles für deine IT-Karriere

Alles für deine IT-Karriere

Entdecke unser vielfältiges Angebot für deine persönliche und fachliche Weiterentwicklung in der IT. Fachtrainings, E-Learningkurse oder Coachings zu den wichtigsten IT-Themen und Trends in der Golem Karrierewelt.

Jetzt entdecken!
IT-Weiterbildungen für Unternehmen

IT-Weiterbildungen für Unternehmen

Seit Jahren unterstützen wir erfolgreich kleine, mittlere und große Unternehmen bei der Konzeption und Umsetzung von Weiterbildungen für IT-Professionelle. Jetzt über die Angebote für Unternehmen informieren.

Weitere Informationen
IT-Karrieretipps und Services

IT-Karrieretipps und Services

Ob Jobsuche, Sprachen lernen, IT-Fernstudium oder Gehaltsvergleich: Bei uns findest du alles für deine IT-Karriere. Erkunde unseren Karriere-Ratgeber oder nutze das Karriere-Lexikon zu allen relevanten Themen und Begriffen.

Zum IT-Karriere-Ratgeber