16 Milliarden Zugangsdaten: Größtes Datenleck der Geschichte

16 Milliarden gestohlene Passwörter – eine Zahl, die selbst Cybersicherheitsexperten sprachlos macht. Das ist fast das Doppelte der Weltbevölkerung und markiert den bislang größten Fall von Datendiebstahl in der Geschichte des Internets. Betroffen sind Nutzer von Google, Apple, Facebook und unzähligen anderen Plattformen.

Die erschreckende Dimension wurde erstmals im Juni 2025 von Sicherheitsforschern entdeckt. Anders als bei klassischen Hackerangriffen handelt es sich hier um eine gigantische Sammlung von Zugangsdaten, die über Jahre hinweg von Millionen individueller Geräte gestohlen wurden.

Die gestohlenen Daten umfassen 30 verschiedene Datensätze mit Anmeldeinformationen für praktisch alle großen Online-Dienste. Von sozialen Netzwerken über E-Mail-Anbieter bis hin zu Unternehmens- und Regierungsportalen – die Sammlung ist erschreckend umfassend.

Bob Diachenko und sein Forscherteam von Cybernews entdeckten die Daten auf ungesicherten Online-Servern. Das Besonders Gefährliche: Die Informationen waren sauber formatiert und strukturiert – ein Paradies für Cyberkriminelle.

Der größte Einzeldatensatz enthält 3,5 Milliarden Zugangsdaten. Trotz einiger Überschneidungen zwischen den Sets ist die schiere Menge an frischen, aktuell genutzten Passwörtern beispiellos.

Malware als stille Gefahr

Die Daten stammen nicht aus spektakulären Hackerangriffen auf Tech-Giganten. Stattdessen wurden sie von sogenannter Infostealer-Malware gesammelt – Schadsoftware, die sich heimlich auf Privatgeräten einnistet und gespeicherte Passwörter aus Browsern klaut.

Diese Malware verbreitet sich meist über Phishing-E-Mails oder dubiose Downloads. Einmal installiert, sammelt sie systematisch Benutzernamen, Passwörter und sogar Session-Cookies, die sie an Kriminelle weiterleitet.

Das macht die Attacke so perfide: Selbst wenn Unternehmen wie Google oder Apple ihre Systeme perfekt schützen, können ihre Nutzer trotzdem zum Opfer werden – durch ihre eigenen infizierten Geräte.

Anzeige: Apropos infizierte Privatgeräte: Viele Android-Nutzer übersehen genau die Einstellungen, die Datendiebe ausnutzen. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen – Schritt für Schritt und ohne teure Zusatz-Apps. So sichern Sie WhatsApp, Online-Banking und Shopping ab und schließen unterschätzte Lücken in wenigen Minuten. Jetzt das kostenlose Android‑Sicherheitspaket anfordern

Spielwiese für Kriminelle

Sicherheitsexperten sprechen von einer „Anleitung für Massenexploitation“. Mit diesem gewaltigen Pool gültiger Zugangsdaten können Cyberkriminelle automatisierte Angriffe in nie dagewesener Größenordnung starten.

Die häufigste Attacke: Credential Stuffing. Dabei testen Programme gestohlene Passwörter automatisch auf hunderten verschiedenen Webseiten. Da viele Nutzer identische Passwörter mehrfach verwenden, öffnet ein einziges gestohlenes Passwort oft Türen zu dutzenden Accounts.

Die Folgen reichen von Identitätsdiebstahl über Finanzbetrug bis hin zu gezielten Phishing-Kampagnen. Besonders brisant: Die Daten enthalten oft auch die ursprüngliche Website-URL – ein Wegweiser für Angreifer.

Wendepunkt in der Cyberkriminalität

Dieser Vorfall markiert einen strategischen Wandel in der Cyberkriminalität. Statt aufwendiger Angriffe auf gut gesicherte Unternehmensserver konzentrieren sich Kriminelle zunehmend auf schlecht geschützte Privatgeräte.

Das Problem wird durch Malware-as-a-Service und KI-gestützte Phishing-Tools verschärft. Selbst technische Laien können heute professionelle Cyberangriffe starten. Die Folge: Check Point Research meldet einen Anstieg gestohlener Zugangsdaten um 160 Prozent allein in diesem Jahr.

Das Ende des einfachen Passworts

Die Botschaft der Sicherheitsexperten ist eindeutig: Die Ära simpler Passwörter ist vorbei. Nutzer müssen davon ausgehen, dass ihre Zugangsdaten permanent gefährdet sind.

Sofortmaßnahmen sind entscheidend: Passwörter für kritische Accounts sofort ändern, besonders wenn sie mehrfach verwendet werden. Zwei-Faktor-Authentifizierung aktivieren, wo immer möglich. Ein Passwort-Manager für einzigartige, starke Passwörter nutzen.

Die Branche dürfte nun verstärkt auf passwortlose Authentifizierung setzen – etwa mit Passkeys, die gegen Phishing und Datendiebstahl resistenter sind. Bis dahin liegt die Verantwortung beim Nutzer: Wer seine digitale Identität schützen will, muss jetzt handeln.