16 Milliarden Login-Daten im Netz: Das größte Datenleck der Geschichte

Cybersecurity-Experten sprechen von einem beispiellosen Angriff auf die digitale Sicherheit. Die gestohlenen Zugangsdaten stammen aus jahrelangen Malware-Kampagnen und ermöglichen Kriminellen den Zugang zu praktisch jedem Online-Dienst.

Was Sicherheitsexperten als einen der schwerwiegendsten Cyberangriffe der Geschichte bezeichnen, hat die digitale Welt erschüttert: 16 Milliarden gestohlene Login-Daten sind aufgetaucht, verteilt auf 30 verschiedene Datenbanken. Die bereits im Frühjahr entdeckte Sammlung enthält nicht nur Benutzernamen und Passwörter, sondern auch Session-Cookies und Zugriffstoken.

Besonders brisant: Die Daten stammen nicht aus einem einzelnen Hack, sondern aus unzähligen „Infostealer“-Malware-Kampagnen, die über Jahre hinweg Zugangsdaten direkt aus Browsern und Anwendungen gestohlen haben. Diese Art der systematischen Datensammlung eröffnet Cyberkriminellen praktisch unbegrenzten Zugang zu sozialen Netzwerken, Finanzdienstleistern und Regierungsportalen.

Die schiere Dimension des Lecks offenbart eine beunruhigende Entwicklung: Cyberkriminelle haben ihre Strategie grundlegend geändert. Statt einzelner Unternehmensangriffe setzen sie nun auf die systematische Aggregation gestohlener Daten aus unzähligen Malware-Infektionen.

Diese „Infostealer“-Programme infizieren Computer und laden automatisch alle gespeicherten Zugangsdaten aus Browsern hoch. Die Beute wird dann zu gigantischen Datenbanken zusammengefasst – ein industrieller Ansatz des Cybercrime.

Anzeige: Übrigens: Wer sein Smartphone gegen Datendiebe härten will, sollte jetzt handeln. Viele Android-Nutzer übersehen genau diese 5 Schutzmaßnahmen – besonders kritisch, wenn Passwörter, Cookies und Tokens im Umlauf sind. Ein kostenloses Sicherheitspaket zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und PayPal absichern – ohne teure Zusatz-Apps. Jetzt kostenloses Android-Sicherheitspaket sichern

Während einige Sicherheitsfirmen vermuten, dass Teile der Daten aus älteren Leaks von 2021 bis 2023 stammen, warnen die ursprünglichen Entdecker vor aktuellen Einträgen. Unabhängig vom Alter sei der Wert für Kriminelle immens, betonen Experten einhellig.

2025: Jahr der Mega-Cyberangriffe

Das Passwort-Leck reiht sich in eine beispiellose Serie von Cyberangriffen ein, die 2025 prägen. Die Kreditauskunftei TransUnion meldete im Juli einen Angriff auf 4,4 Millionen Amerikaner, bei dem auch Sozialversicherungsnummern gestohlen wurden.

Die Automobilindustrie traf es besonders hart: Jaguar Land Rover musste nach einem Cyberangriff wochenlang die Produktion stoppen. Im Einzelhandel bestätigte das Luxuskaufhaus Harrods einen Datendiebstahl bei 430.000 Kunden, während Marks & Spencer durch einen sechswöchigen Online-Ausfall etwa 300 Millionen Euro verlor.

Diese Angriffswelle zeigt: Kein Sektor ist sicher, keine Unternehmensgröße bietet Schutz.

Die Passwort-Epidemie: Ein gefährlicher Teufelskreis

Der Mega-Leak enthüllt ein erschreckendes Nutzerverhalten: 94 Prozent aller analysierten Zugangsdaten werden für mehrere Accounts verwendet. Cybersecurity-Experten sprechen von einer „weitverbreiteten Epidemie“ des Passwort-Recyclings.

Das Problem dabei? Ein einziger erfolgreicher Angriff öffnet Kriminellen die Tür zum gesamten digitalen Leben ihrer Opfer. Durch sogenanntes „Credential Stuffing“ testen Angreifer automatisiert gestohlene Benutzername-Passwort-Kombinationen auf unzähligen anderen Websites.

„Password-Komplexität ist irrelevant, wenn die Datenbank kompromittiert wird“, warnt Evan Dornbush, Ex-NSA-Experte und CEO von Desired Effect. Einzige Lösung: Für jeden Account ein einzigartiges Passwort – keine Empfehlung mehr, sondern Überlebensstrategie.

Der Abschied vom traditionellen Passwort?

Die 16-Milliarden-Sammlung markiert möglicherweise den Wendepunkt weg von herkömmlichen Passwörtern. Sicherheitsexperten drängen verstärkt auf die Einführung von Passkeys, die auf kryptographischen Verfahren basieren und gegen Phishing-Angriffe immun sind.

Doch bis dahin gilt für Verbraucher und Unternehmen: sofortige Schadensbegrenzung. Alle Passwörter ändern – vor allem die mehrfach verwendeten. Zwei-Faktor-Authentifizierung überall aktivieren, wo möglich. Einen seriösen Passwort-Manager einsetzen.

Nach Mega-Leaks steigen erfahrungsgemäß Phishing-Versuche dramatisch an. Wer verdächtige Aktivitäten in Finanzberichten entdeckt, sollte sich umgehend an die Behörden wenden.

Anzeige: Passend zur akuten Phishing-Welle: Diese 5 Maßnahmen machen Ihr Android-Smartphone spürbar sicherer – Tipp 3 schließt eine oft unterschätzte Lücke. Der kostenlose Leitfaden liefert klare Schritt-für-Schritt-Anleitungen, Checklisten und geprüfte Einstellungen für WhatsApp, Shopping, PayPal und Online-Banking. Perfekt für alle, die ohne Zusatzkosten ihre mobile Sicherheit erhöhen wollen. Gratis-Ratgeber anfordern

Die Ära der passiven Cybersicherheit ist endgültig vorbei. Nur proaktive Verteidigung bietet noch Schutz in einer Welt, in der 16 Milliarden gestohlene Identitäten zum Normalfall werden könnten.