In den vergangenen Monaten haben Sicherheitsforscher erneut darauf hingewiesen, dass eine enorme Menge an kompromittierten Zugangsdaten im Internet kursiert. Die Rede ist von mehreren Milliarden Passwörtern, die aus unterschiedlichen Datenlecks, Phishing-Kampagnen und Schadsoftware-Infektionen stammen.
Betroffen sind dabei nicht einzelne Plattformen, sondern Nutzerinnen und Nutzer verschiedenster Dienste – darunter grosse Anbieter wie Apple, Google, Microsoft, Meta oder Zahlungsdienste. Die Daten liegen gebündelt in sogenannten Credential-Sammlungen vor und werden in Untergrundforen sowie im Darknet gehandelt.
Entscheidend ist dabei weniger die absolute Zahl, sondern die Tatsache, dass viele dieser Zugangsdaten noch immer aktiv genutzt werden.
Was genau steckt hinter diesen Passwortsammlungen?
Bei den aktuell diskutierten Datensätzen handelt es sich nicht um einen einzelnen neuen Hackerangriff. Vielmehr wurden über Jahre hinweg kompromittierte Zugangsdaten aus verschiedensten Quellen zusammengeführt.
Diese stammen unter anderem aus:
- früheren Datenpannen bei Online-Diensten
- Phishing-Angriffen
- mit Schadsoftware infizierten Endgeräten
- unsicheren oder wiederverwendeten Passwörtern
Ein Teil dieser Daten liegt im Klartext vor, andere als Hashes, die mit heutigen Rechenmethoden häufig entschlüsselt werden können.
Warum diese Daten besonders problematisch sind
Das eigentliche Risiko entsteht nicht allein durch das Vorhandensein alter Passwörter, sondern durch ein weit verbreitetes Nutzungsverhalten:
Viele Menschen verwenden identische oder sehr ähnliche Passwörter für mehrere Dienste.
Angreifer nutzen diese Tatsache gezielt aus. Automatisierte Programme testen bekannte Zugangsdaten systematisch bei E-Mail-Konten, Cloud-Diensten, Shops oder sozialen Netzwerken.
Gelingt der Zugriff auf ein E-Mail-Konto, lassen sich häufig weitere Zugänge zurücksetzen – mit potenziell erheblichen Folgen für Privatpersonen und Unternehmen.
Warum E-Mail-Konten besonders kritisch sind
E-Mail ist der zentrale Dreh- und Angelpunkt vieler digitaler Identitäten. Über E-Mail-Adressen werden Passwörter zurückgesetzt, Verträge abgeschlossen und geschäftliche Kommunikation geführt.
Ein kompromittiertes E-Mail-Konto kann daher:
- Identitätsmissbrauch ermöglichen
- vertrauliche Informationen offenlegen
- weiterführende Angriffe vorbereiten
Gerade für Unternehmen ist dies ein erhebliches Risiko.
Grundlagen zu E-Mail-Sicherheit und Schutzmechanismen finden Sie hier: E-Mail-Sicherheit & Zustellbarkeit
Was Sie jetzt konkret tun sollten
Unabhängig davon, ob Sie direkt von einem bestimmten Leak betroffen sind, empfiehlt sich eine systematische Überprüfung der eigenen Sicherheitspraktiken.
Dazu gehören insbesondere:
Passwörter ändern
Beginnen Sie bei zentralen Konten wie E-Mail, Cloud-Diensten, Zahlungsanbietern
und Administrationszugängen.
Jeder Dienst sollte ein eigenes, starkes Passwort erhalten.
Zwei-Faktor-Authentifizierung aktivieren
Wo immer möglich, sollte eine zusätzliche Anmeldung per App oder Hardware-Schlüssel genutzt werden.
So bleibt ein Konto selbst bei bekanntem Passwort geschützt.
Passwort-Manager einsetzen
Moderne Passwort-Manager ermöglichen die sichere Verwaltung
komplexer, einzigartiger Passwörter – ohne zusätzlichen Aufwand im Alltag.
Betroffenheit prüfen
Dienste wie Have I Been Pwned
können Hinweise liefern, ob eine E-Mail-Adresse in bekannten Datenlecks enthalten ist.
Langfristig auf passwortlose Verfahren vorbereiten
Technologien wie Passkeys und FIDO2 reduzieren die Abhängigkeit von klassischen Passwörtern
und gelten als deutlich robuster gegen Phishing.
Fazit
Die Diskussion um Milliarden kompromittierter Passwörter zeigt vor allem eines: Passwörter bleiben ein Schwachpunkt, wenn sie isoliert betrachtet werden.
Ein verantwortungsvoller Umgang mit digitalen Zugängen, ergänzt durch Mehrfaktor-Authentifizierung und saubere Infrastruktur, reduziert Risiken erheblich – sowohl für Privatpersonen als auch für Unternehmen.
Wer Sicherheit als fortlaufenden Prozess versteht, ist auch bei neuen Bedrohungen besser vorbereitet.
