16 Milliarden gestohlene Zugangsdaten online entdeckt

Cybersecurity-Forscher schlagen Alarm: Die bislang größte Sammlung kompromittierter Anmeldedaten kreist im Netz. Von Apple bis Google, von Facebook bis zu Behörden-Portalen – das Datenleck bedroht Milliarden Nutzer weltweit.

Die schiere Dimension sprengt alle bisherigen Vorstellungen: 16 Milliarden Kombinationen aus Benutzernamen und Passwörtern wurden in ungeschützten Datenbanken aufgespürt. Diese digitale Bombe tickt bereits und könnte jeden Internetnutzer treffen.

Entdeckt wurde der Datenschatz von Cybernews-Forschern gemeinsam mit Sicherheitsexperte Bob Diachenko. Das Besondere: Es handelt sich nicht um einen einzelnen Hackerangriff, sondern um eine gigantische Sammlung aus zahlreichen früheren Datenlecks und Malware-Angriffen. Die Daten lagerten verteilt in etwa 30 verschiedenen, ungeschützten Datenbanken.

Der Bauplan für Millionenfachen Missbrauch

Was Cyberkriminelle hier in die Hände bekommen haben, gleicht einem Generalschlüssel für das Internet. Die gestohlenen Zugangsdaten stammen größtenteils von sogenannter „Infostealer“-Malware – Programme, die heimlich Passwörter von infizierten Computern abgreifen.

Betroffen sind längst nicht nur obskure Websites. Die Datensätze enthalten Login-Informationen für Dienste der größten Tech-Konzerne. Dabei wurden Apple, Google oder Facebook selbst nicht gehackt – vielmehr wurden die Zugänge ihrer Nutzer über infizierte Geräte gestohlen.

Die einzelnen Datenbank-Sammlungen variieren zwischen mehreren zehn Millionen und über 3,5 Milliarden Einträgen. Ein Großteil der Informationen ist aktuell, was die Gefahr erfolgreicher Angriffe drastisch erhöht.

Welche Risiken drohen den Betroffenen?

„Das ist kein gewöhnliches Datenleck – es ist der Bauplan für Massenexploitation“, warnen die Cybernews-Forscher. Mit diesen Daten können Kriminelle komplette Online-Identitäten übernehmen: von Social-Media-Profilen über E-Mail-Konten bis hin zu Finanzdienstleistungen.

Besonders perfide: Die gestohlenen Informationen ermöglichen maßgeschneiderte Phishing-Angriffe. Betrüger können mit den persönlichen Details täuschend echte Nachrichten verfassen und so weitere sensible Daten wie Kreditkarteninformationen oder Sozialversicherungsnummern erbeuten.

Anzeige: Passend zu den aktuellen Kontoübernahmen – viele Angriffe starten heute direkt am Smartphone. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android“ zeigt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und PayPal ohne teure Zusatz‑Apps absichern und typische Datenklau‑Lücken schließen. Ideal für Alltagsnutzer, die ihre Geräte in Minuten deutlich sicherer machen wollen. Jetzt kostenloses Android‑Sicherheitspaket herunterladen

Das Timing könnte kaum schlechter sein. 2024 war bereits geprägt von Cyberattacken: Die Wirtschaftsauskunftei TransUnion meldete einen Vorfall mit 4,4 Millionen Betroffenen, bei Allianz Life waren 1,4 Millionen Kunden betroffen. Ransomware-Angriffe legten europäische Flughäfen lahm und stoppten die Produktion bei Jaguar Land Rover.

Die neue Dimension der Bedrohung

Was diesen Fall besonders gefährlich macht: Die Demokratisierung des Cybercrime. Durch die einfache Verfügbarkeit dieser Daten können auch weniger technisch versierte Kriminelle weitreichende Angriffe starten.

Forbes-Experten sprechen von einer „stillen Detonation“ – ohne das übliche Getöse eines Ransomware-Angriffs entstand eine Bedrohung, die möglicherweise noch verheerender ist. Während bei anderen Attacken Unternehmen schnell reagieren können, bleibt diese Gefahr oft unbemerkt.

Die Cybersecurity-Industrie steht vor einem Paradigmenwechsel: Statt auf einzelne Datenlecks zu reagieren, müssen Unternehmen und Privatpersonen kontinuierlich gegen credential-basierte Angriffe vorrüsten.

Was Nutzer jetzt tun müssen

Die Empfehlungen der Sicherheitsexperten sind eindeutig: Sofort alle wichtigen Passwörter ändern, insbesondere wenn sie mehrfach verwendet wurden. Die Aktivierung der Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz, selbst wenn das Passwort kompromittiert ist.

Langfristig dürfte dieser Vorfall die Entwicklung sicherer Authentifizierungsmethoden beschleunigen. Passkeys und andere phishing-resistente Technologien könnten schneller zum Standard werden.

Das Rennen zwischen Cyberkriminellen und Sicherheitsexperten hat eine neue Eskalationsstufe erreicht. Diese 16 Milliarden gestohlenen Zugangsdaten zeigen: Cybersecurity ist längst keine technische Randerscheinung mehr – sie ist zur Frage der nationalen und persönlichen Sicherheit geworden.