16 Milliarden Passwörter geleakt – so schützt ihr eure Konten

Cybersicherheitsforscher haben den bislang größten Datenleak in der Geschichte des Internets dokumentiert. Über 16 Milliarden Zugangsdaten sind in 30 verschiedenen Datenbanken aufgetaucht, die Login-Informationen für nahezu jeden erdenklichen Online-Service enthalten. Die Daten umfassen Zugänge zu Apple, Facebook, Google, GitHub, Telegram und sogar Regierungsplattformen.

Die Forscher von Cybernews überwachen seit Jahresbeginn systematisch das Netz und sind dabei auf Datensätze mit einer Größe von mehreren zehn Millionen bis zu 3,5 Milliarden Einträgen pro Sammlung gestoßen. Bis auf eine Ausnahme waren alle diese Datensätze bisher unbekannt. Der einzige bereits gemeldete Fall betraf eine Datenbank mit 184 Millionen Einträgen, die im Mai 2025 entdeckt wurde.

Die Analyse zeigt, dass die meisten Daten von Infostealer-Malware stammen. Diese Schadsoftware infiltriert Computer und sammelt systematisch Anmeldedaten aus Browsern, Passwort-Managern und anderen Anwendungen. Die typische Struktur der gestohlenen Daten folgt einem klaren Muster: URL der Webseite, Benutzername und Passwort.

Bob Diachenko, Cybersicherheitsforscher bei Cybernews und Entdecker der Datenlecks, stellte klar, dass es sich nicht um zentrale Datenschutzverletzungen bei großen Technologieunternehmen handelte. Die Daten enthalten vielmehr Login-URLs zu den Anmeldeseiten von Apple, Facebook, Google und anderen Diensten. Dennoch eröffnen diese Informationen Cyberkriminellen den Zugang zu praktisch jedem vorstellbaren Online-Service.

Die Datensätze waren nur kurzzeitig über ungesicherte Elasticsearch-Instanzen oder Cloud-Storage-Systeme zugänglich. Lange genug, um von den Sicherheitsforschern entdeckt zu werden, aber zu kurz, um die Verantwortlichen zu identifizieren. Diese Tatsache macht die Situation besonders problematisch, da Betroffene keine Möglichkeit haben, direkt Schutzmaßnahmen zu ergreifen.

Die Größenordnung dieses Leaks schafft eine neue Dimension der Bedrohung. Mit 16 Milliarden Datensätzen verfügen Cyberkriminelle über eine beispiellose Menge an Zugangsdaten, die für Kontoübernahmen, Identitätsdiebstahl und gezielte Phishing-Angriffe verwendet werden können. Besonders gefährlich wird die Situation durch die Aktualität der Daten. Es handelt sich nicht um veraltete Informationen aus früheren Sicherheitsvorfällen, sondern um frische, einsatzfähige Daten.

Die Struktur der Leaks folgt einem beunruhigenden Trend. Aras Nazarovas, Forscher bei Cybernews, beobachtet eine Verschiebung in der Cyberkriminalität. Kriminelle wechseln von dezentralen Telegram-Gruppen zu zentralisierten Datenbanken, was die Verbreitung gestohlener Daten effizienter macht.

Viele der heute eingesetzten Werkzeuge für Credential-Diebstahl stammen aus dem stark professionalisierten Crime-as-a-Service-Umfeld. Im Darknet werden komplette Angriffspakete mitsamt Support und Update-Zyklen als Teil einer weltweiten Schattenökonomie angeboten (hier dazu mehr).

Lawrence Pingree von Dispersive erklärt, dass Geheimdienste und Bedrohungsakteure diese Listen im Dark Web sammeln und nutzen. Die Daten werden teilweise mehrfach verpackt und einzeln verkauft. Bereits eine Erfolgsquote von weniger als einem Prozent kann bei dieser Datenmenge zu Millionen kompromittierter Konten führen.

Infostealer-Programme haben sich zu einer der effektivsten Methoden für Cyberkriminelle entwickelt. Anstatt Netzwerke mit Brute-Force-Attacken zu überwinden, warten sie darauf, dass Nutzer Fehler machen. Die Malware verbreitet sich über raubkopierte Software, infizierte PDF-Dateien, Spiele-Mods oder andere schädliche Downloads.

Ein unterschätzter Infektionsweg sind öffentliche WLANs. Wer sich in Cafés, Flughäfen oder Hotels ungesichert einloggt, setzt seine Geräte dem Risiko gezielter Man-in-the-Middle-Angriffe aus – eine gängige Methode zur Einschleusung von Infostealern (mehr dazu hier).

Nach der Installation sammelt die Software systematisch alle verfügbaren Daten: VPN-Zugangsdaten, Authentifizierungscookies, E-Mail-Logins, interne Entwicklungstools, gespeicherte Dokumente, Browserverlauf und automatisch ausgefüllte Formulardaten. Diese umfassende Datenexfiltration macht jeden infizierten Computer zu einer Goldgrube für Cyberkriminelle.

Das israelische Cybersicherheitsunternehmen Hudson Rock dokumentiert die Verbreitung dieser Bedrohung. Die Einfachheit der Angriffe und die hohe Erfolgsquote haben Infostealer zu einem bevorzugten Werkzeug in der Cyberkriminalität gemacht.

Die Dimension dieses Leaks verdeutlicht die Grenzen herkömmlicher Passwort-Sicherheit. Evan Dornbush, ehemaliger NSA-Cybersicherheitsexperte und CEO von Desired Effect, bringt das Problem auf den Punkt: Die Länge oder Komplexität eines Passworts spielt keine Rolle, wenn Angreifer die Datenbank kompromittieren, in der es gespeichert ist.

Darren Guccione, CEO von Keeper Security, warnt vor der Leichtigkeit, mit der sensible Daten unbeabsichtigt online preisgegeben werden. Die aktuellen Funde könnten nur die Spitze eines Eisbergs sein. Unzählige weitere Zugangsdaten liegen möglicherweise in falsch konfigurierten Cloudumgebungen und warten auf ihre Entdeckung.

Die Wiederverwendung von Passwörtern verstärkt das Risiko erheblich. Wenn Angreifer ein Passwort aus einer kompromittierten Datenbank stehlen und der Nutzer dasselbe Passwort für mehrere Dienste verwendet, können sie auf alle diese Konten zugreifen. Diese Kettenreaktion macht einzelne Sicherheitsvorfälle zu systemischen Bedrohungen.

Die Reaktion auf diese Bedrohungslage erfordert eine Kombination aus technischen und organisatorischen Maßnahmen. Passwort-Manager bilden die Grundlage einer soliden Credential-Strategie. Sie generieren für jeden Dienst einzigartige, komplexe Passwörter und speichern diese verschlüsselt. Nutzer müssen sich nur noch ein Master-Passwort merken.

Darüber hinaus sollten Anwender regelmäßig ihre Passwörter aktualisieren, insbesondere für kritische Dienste wie E-Mail-Konten, Online-Banking und Cloudspeicher. Dark-Web-Monitoring-Tools können dabei helfen, kompromittierte Zugangsdaten frühzeitig zu erkennen und entsprechende Maßnahmen einzuleiten.

Die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene. Selbst wenn Angreifer Zugang zu Benutzernamen und Passwort erhalten, benötigen sie einen zweiten Authentifizierungsfaktor, um sich anzumelden. Nazarovas weist jedoch darauf hin, dass einige der geleakten Datensätze auch Session-Cookies enthalten, die 2FA-Mechanismen umgehen können.

Eine grundlegende Lösung bietet der Wechsel zu Passkeys. Diese moderne Authentifizierungstechnologie ersetzt Passwörter durch kryptografische Schlüssel, die auf dem Gerät des Nutzers gespeichert werden. Rew Islam von Dashlane und Co-Vorsitzender der FIDO Alliance erklärt, dass Passkeys eine wesentliche Verbesserung der Sicherheit darstellen.

Facebook, Apple und Google haben bereits Passkey-Unterstützung implementiert. Die Technologie nutzt biometrische Daten wie Fingerabdrücke oder Gesichtserkennung, die den meisten Nutzern bereits vertraut sind. Islam prognostiziert, dass Passkeys innerhalb der nächsten drei Jahre von der Mehrheit der Internetnutzer weltweit verwendet werden.

Der Übergang zu Passkeys erfordert eine breitere Adoption durch Unternehmen. Banken, Social-Media-Plattformen und kleine Unternehmen müssen diese Technologie implementieren, um das Vertrauen der Nutzer zu gewinnen. Die aktuelle Datenlage zeigt die Dringlichkeit dieser Entwicklung.

Die Umsetzung effektiver Credential-Sicherheit beginnt mit einer Bestandsaufnahme. Nutzer sollten sämtliche Online-Konten systematisch erfassen und prüfen, ob und wo Passwörter mehrfach verwendet werden. Der Einsatz von Diensten wie Have I Been Pwned erlaubt es, eigene E-Mail-Adressen auf bekannte Datenlecks hin zu überprüfen. IT-Fachkräfte können sich dort auch automatisch benachrichtigen lassen, sobald neue Leaks die eigenen Adressen betreffen. Im Anschluss sollte für jeden Dienst ein starkes, individuelles Passwort vergeben werden.

Ein Passwort-Manager kann dabei unterstützen, eindeutige Kennwörter zu generieren und sicher zu verwalten. Wichtig sind dabei Kriterien wie Ende-zu-Ende-Verschlüsselung, plattformübergreifende Synchronisation und eine einfache Bedienoberfläche. Die meisten aktuellen Lösungen erkennen zudem automatisch unsichere oder doppelt verwendete Passwörter.

Die Zwei-Faktor-Authentifizierung sollte für alle wichtigen Dienste aktiviert werden. Dabei bieten Authenticator-Apps einen höheren Schutz als SMS-basierte Verfahren, da sie weniger anfällig für SIM-Swapping sind. Regelmäßige Sicherheitsüberprüfungen helfen zudem dabei, den Überblick zu behalten. Nutzer sollten ihre Konten auf verdächtige Aktivitäten überwachen und bei Auffälligkeiten sofort den Kundensupport kontaktieren.

Wer Benachrichtigungen von Maildiensten auf dem Smartphone erlaubt, erhält Warnungen zu Login- und Manipulationsversuchen direkt, nachdem diese erfolgt sind, und kann sofort handeln.

Die folgenden Maßnahmen fassen zentrale Handlungsschritte zusammen, die sich kurzfristig umsetzen lassen:

• Einsatz eines Passwort-Managers zur sicheren Verwaltung individueller Kennwörter
• Aktivierung von Zwei-Faktor-Authentifizierung (möglichst App-basiert) für kritische Dienste
• Prüfung eigener E-Mail-Adressen auf bekannte Leaks (z. B. via Have I Been Pwned)
• Vermeidung ungesicherter WLANs oder Nutzung eines VPN bei sensiblen Anwendungen
• Regelmäßige Updates für Betriebssysteme, Anwendungen und Browser-Erweiterungen
• Konsequente Vermeidung mehrfach genutzter Passwörter – auch für weniger kritische Konten

Ergänzend dazu lassen sich folgende weiterführende Maßnahmen umsetzen:

• 
  
• Kritische Überprüfung von Sicherheitsfragen und Ersetzen durch schwer zu erratende, gespeicherte Antworten
• Nutzung physischer Sicherheitsschlüssel (z. B. YubiKey) für besonders schützenswerte Konten
• Identifikation und Löschung veralteter oder nicht mehr benötigter Online-Konten
• Regelmäßige Kontrolle von OAuth- und Drittanbieter-Berechtigungen mit Widerruf nicht genutzter Zugriffe
• Sicheres Aufbewahren von 2FA-Backup-Codes für den Notfall (z. B. als Ausdruck an einem geschützten Ort)
• Verwendung separater E-Mail-Adressen für besonders sicherheitsrelevante Dienste
• Trennung privater und beruflicher Passwörter sowie Identitäten zur Reduktion systemischer Risiken

Die Entdeckung von 16 Milliarden kompromittierten Zugangsdaten kann als Zäsur in der Cybersicherheit und digitale Identitätsverwaltung verstanden werden. Die Dimension und Aktualität der Daten zeigt, dass herkömmliche Sicherheitsansätze vollkommen überholt sind und sich die Branche und der digitale Raum als Ganzes auf fundamentale Veränderungen einstellen muss.

Massive Leaks wie dieser seien oft nur der Auftakt zu einer Kaskade weiterführender Angriffe, warnt George McGregor vom Sicherheitsunternehmen Approov. Die zugrunde liegenden Forschungsergebnisse bestätigen laut ihm, was viele Praktiker längst wissen: Benutzeridentitäten sind im Netz allgegenwärtig verfügbar und damit ein bevorzugtes Angriffsziel.

Darren Guccione, Keeper-Security-Chef, sieht in Zero-Trust-Architekturen mit granularen Zugangskontrollen einen zentralen Hebel zur Risikominimierung. Systeme, die jeden Zugriff authentifizieren, autorisieren und protokollieren – unabhängig vom Ort oder Gerät –, könnten der zunehmenden Komplexität digitaler Infrastrukturen angemessen begegnen.

Auch Javvad Malik vom Awareness-Anbieter KnowBe4 betont die Notwendigkeit geteilter Verantwortung zwischen Organisationen und Individuen: Unternehmen müssten hierfür Strukturen schaffen, die Risiken proaktiv adressieren, während gleichzeitig Endnutzer in der Lage sein sollten, typische Angriffsversuche wie Credential Phishing zu erkennen.

Paul Walsh von MetaCert hingegen hält dieses Prinzip der geteilten Verantwortung für illusorisch. Es sei unrealistisch zu erwarten, dass Nutzer Sicherheitslücken erkennen, die selbst Fachleuten mitunter verborgen bleiben. Schulungsmaßnahmen allein, so Walsh, hätten sich in den vergangenen Jahren als nicht ausreichend erwiesen, um das Sicherheitsniveau nachhaltig zu erhöhen.

Die Lösung liegt in der Kombination technologischer Fortschritte mit robuster Infrastruktur. Passkeys, Zero-Trust-Modelle und automatisierte Bedrohungserkennungssysteme müssen zusammenwirken, um den Herausforderungen der nächsten Jahre gewachsen zu sein.

Für IT-Professionals bedeutet dies, dass sie sich aktiv auf eine post-passwortbasierte Zukunft vorbereiten sollten. Die Einführung passwortloser Authentifizierungsverfahren, die Migration bestehender Zugangslogiken und die Schulung von Anwendern werden zu zentralen Handlungsfeldern. Parallel dazu bleibt es entscheidend, neue Angriffsmuster frühzeitig zu erkennen und Sicherheitsstrategien kontinuierlich anzupassen.

Bild: Freepik.com