16-Milliarden-Datenleck: Passwort-Manager unter Beschuss

Die Cybersicherheitsbranche steht vor einem beispiellosen Szenario: 16 Milliarden gestohlene Login-Daten kursieren im Netz – zeitgleich weisen die wichtigsten Schutzwerkzeuge selbst gefährliche Sicherheitslücken auf.

Mitte 2025 entdeckten Forscher eine gigantische Sammlung kompromittierter Zugangsdaten, die Nutzer von Google, Apple und Facebook gleichermaßen betrifft. Das Besondere: Die Daten stammen nicht von einem einzelnen Hack, sondern wurden über Jahre durch sogenannte Infostealer-Malware gesammelt.

Gleichzeitig erschüttert eine kritische Schwachstelle das Vertrauen in Passwort-Manager – ausgerechnet jene Tools, die uns vor solchen Massenlecks schützen sollen.

Beispiellose Datensammlung aufgedeckt

Die Dimensionen des Leaks sind atemberaubend: 16 Milliarden Zugangsdaten, verteilt auf 30 verschiedene Datensätze. Laut dem Cybersicherheitsportal Cybernews handelt es sich um eine Compilation, die durch Schadsoftware zusammengetragen wurde. Diese „Infostealer“ sammeln heimlich gespeicherte Login-Daten von infizierten Computern.

Die kompromittierten Zugangsdaten umfassen praktisch alle digitalen Lebensbereiche: soziale Medien, E-Mail-Konten, Finanzdienstleister und Behörden-Portale. Mit einer Anzahl, die etwa dem Doppelten der Weltbevölkerung entspricht, bietet das Leak Cyberkriminellen eine „Blaupause für Massenausnutzung“.

Was die Situation besonders brisant macht: Die Aktualität der Daten. Für Credential-Stuffing-Angriffe, bei denen automatisiert gestohlene Zugangsdaten an verschiedenen Diensten getestet werden, ist das ein Goldschatz.

Anzeige: Passend zur aktuellen Welle von Datendiebstählen: Viele Android-Nutzer übersehen die 5 wichtigsten Schutzmaßnahmen. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und PayPal ohne teure Zusatz-Apps absichern – inklusive Checklisten und Update-Tipps. Jetzt das kostenlose Android?Sicherheitspaket anfordern

Passwort-Manager mit gefährlicher Lücke

Als wäre das Massenleak nicht genug, erschüttert eine weitere Enthüllung die Cybersicherheit: Im August 2025 wurde eine kritische Schwachstelle in mindestens elf beliebten Passwort-Manager-Erweiterungen bekannt.

Der Forscher Marek Tóth demonstrierte auf der DEF CON 33, wie die sogenannte „DOM-basierte Extension-Clickjacking“-Lücke funktioniert. Eine bösartige Website kann den Passwort-Manager dazu bringen, Zugangsdaten in ein unsichtbares Formular einzutragen – und diese dann direkt an die Angreifer weiterzuleiten.

Betroffen sind nicht nur Passwörter: Auch Zwei-Faktor-Codes und Kreditkartendaten können auf diese Weise gestohlen werden. Während Anbieter wie Bitwarden bereits Patches veröffentlicht haben, zeigt die Schwachstelle deutlich: Selbst unsere wichtigsten Sicherheitstools sind angreifbar.

Dominoeffekt ????? Drittanbieter

Das Jahr 2025 bringt weitere beunruhigende Trends ans Licht. Die Auskunftei TransUnion musste im Juli und August 4,4 Millionen Menschen über einen Datendiebstahl informieren. Betroffen waren Sozialversicherungsnummern – der Grund: eine Schwachstelle bei einem Drittanbieter.

Dieser Vorfall war Teil einer größeren Angriffswelle auf Unternehmen, die eine Salesforce-gehostete CRM-Plattform nutzen. Auch Schwergewichte wie Google, Air France-KLM und Workday gerieten ins Visier.

Ein ähnliches Muster zeigt sich bei Allianz Life Insurance: Ein Breach bei einem externen CRM-Anbieter kompromittierte die Daten von 1,4 Millionen Kunden. Die Botschaft ist klar: In der vernetzten digitalen Welt kann eine einzige Schwachstelle bei einem Zulieferer weitreichende Folgen haben.

Das Ende der Passwort-Sorglosigkeit?

Die Kombination aus Milliardendiebstahl und verwundbaren Schutztools markiert einen Wendepunkt. Experten betonen: Ein temporär angreifbarer Passwort-Manager ist immer noch unendlich besser als schwache, wiederverwendete Passwörter.

Doch der Druck auf die Branche wächst. Passwort-Manager-Unternehmen müssen ihre Browser-Erweiterungen dringend auf ähnliche Clickjacking-Schwachstellen überprüfen. Nutzer sollten ihre Software aktualisieren und Zwei-Faktor-Authentifizierung aktivieren.

Anzeige: Übrigens: Zwei-Faktor-Codes landen oft auf dem Smartphone – sichern Sie es konsequent ab. Das Gratis-Paket erklärt die 5 praxistauglichsten Maßnahmen gegen Datenklau, Malware und Phishing, leicht verständlich für den Alltag. Hier das Android?Sicherheitspaket kostenlos herunterladen

Ausblick: Die passwortlose Zukunft rückt näher

Google und andere Technologieriesen drängen verstärkt auf sogenannte Passkeys – kryptographische Schlüsselpaare, die traditionelle Passwörter ersetzen und resistent gegen Phishing und Datenlecks sind.

Der Übergang wird jedoch Zeit brauchen. Kurzfristig stehen Passwort-Manager-Anbieter unter enormem Druck, ihre Sicherheitsarchitektur zu überarbeiten. Langfristig könnten die jüngsten Ereignisse den entscheidenden Anstoß für eine passwortlose Zukunft geben – auch wenn dieser Wandel ein komplexer Prozess bleibt.