Darum gehts
- Cybersecurity-Forscher entdecken riesiges Passwort-Leak mit 16 Milliarden Login-Daten
- Daten stammen vermutlich von Infostealer-Software, die Passwörter von Geräten klaut
- 90 Prozent aller geleakten Passwörter sind schwach oder werden mehrfach verwendet
Was ist passiert?
Cybersecurity-Forscher haben eines der grössten Passwort-Leaks der Geschichte entdeckt: 16 Milliarden Login-Daten sind im Internet aufgetaucht, schreibt das Wirtschaftsmagazin «Forbes». Die Datenmenge ist so gigantisch, dass sie fast unvorstellbar ist. Als Vergleich: Das sind mehr Passwörter, als es Menschen gibt. Die Sicherheitsforscher von cybernews.com sprechen darum von einem «Bauplan für Massenangriffe».
Welche Dienste sind betroffen?
Praktisch alle grossen Onlinedienste: Apple, Google, Facebook, Instagram, Telegram, Microsoft, GitHub, VPN-Anbieter, aber auch Banken und Regierungsportale tauchen in den Datensätzen laut den Forschern auf. Die Daten enthalten jeweils die Website-Adresse, den Nutzernamen und das Passwort.
Sind es nicht einfach alte Leaks?
Die meisten Daten sind laut den Experten brandneu. Es handelt sich also nicht um recycelte, alte Datenpannen, sondern um «frische Informationen», wie die Experten warnen. Nur ein kleiner Datensatz mit 184 Millionen Einträgen war bereits seit Mai bekannt. Es gibt aber auch kritische Stimmen, die davon ausgehen, dass die Daten weitgehend aus älteren Quellen zusammengefügt wurden. Das Milliarden-Leak entdeckten die Forscher von Cybernews im Rahmen einer Untersuchung, die seit Anfang 2025 läuft. Insgesamt fanden sie dabei 30 verschiedene Datensätze, die alle paar Wochen mit Logins erweitert wurden und teilweise nur vorübergehend online waren. Laut dem Forschungsteam könnte es in der Sammlung Überschneidungen geben. Aufgrund des Umfangs sei es jedoch schwierig, die genaue Anzahl der betroffenen Nutzerinnen und Nutzer zu bestimmen.
Woher stammen die Logins?
Die Daten wurden vermutlich durch Infostealer erbeutet – Schadsoftware, die unbemerkt Passwörter aus Browsern, E-Mail-Programmen und Apps klaut. Diese Programme durchsuchen infizierte Computer und Smartphones nach gespeicherten Login-Daten und senden sie an Cyberkriminelle weiter. Die Software sammelt nicht nur Passwörter, sondern auch Cookies, Tokens und andere Metadaten: also alles, was für eine komplette Kontoübernahme nötig ist.
Wie gross ist die Gefahr für mich?
Gross, wenn du typische Passwortfehler machst. Eine Studie zu Passwörtern von Anfang 2025 zeigt: Über 90 Prozent aller geleakten Passwörter werden mehrfach verwendet oder sind extrem schwach: 123456, 1234 und password gehören leider nach wie vor zu den Favoriten. Mit den geleakten Daten starten Cyberkriminelle dann Credential-Stuffing-Angriffe. Das funktioniert so: Sie nehmen dein geleaktes Netflix-Passwort und probieren es bei Gmail. Und bei Facebook. Und bei der Bank. Irgendwo klappt es meist. Schon bei einer Erfolgsquote von unter einem Prozent knacken sie Millionen Konten. Die Folgen: Kontoübernahmen, Identitätsdiebstahl, Phishing-Angriffe und Ransomware-Attacken.
Was muss ich nun tun?
Am besten alle Passwörter ändern: besonders bei wichtigen Diensten wie E-Mail, Banking und sozialen Medien. Zwei-Faktor-Authentifizierung aktivieren: überall, wo es möglich ist. Passwort-Manager verwenden: für einzigartige, starke Passwörter bei jedem Dienst.
Warum höre ich zum ersten Mal davon?
Tatsächlich sind Mega-Leaks fast schon Alltag geworden. 2024 gab es bereits die «Mother of All Breaches» mit 26 Milliarden Datensätzen, im gleichen Jahr auch das «RockYou2024»-Leak mit zehn Milliarden Passwörtern. Erst kürzlich wurde in China ein Datenleck mit vier Milliarden Nutzerdaten entdeckt. WeChat, Alipay und Bankdaten waren betroffen. Die schiere Häufigkeit solcher Vorfälle führt dazu, dass sie kaum noch Schlagzeilen machen, obwohl sie so viele Leute betreffen.
Gibt es Hoffnung?
Ja, die Technologie entwickelt sich weiter. Grosse Tech-Konzerne wie Apple, Google und Microsoft setzen bereits auf sogenannte Passkeys – eine passwortlose Zukunft, wo der Fingerabdruck oder Gesichts-Scan den Login ersetzt. Diese Methoden sind praktisch unknackbar, da sie keine übertragbaren Daten verwenden. Wie man diese Passkeys nutzt, haben wir hier für euch erklärt.