16 Milliarden Zugangsdaten im Netz entdeckt

Eine gigantische Sammlung von 16 Milliarden Benutzernamen und Passwörtern ist online aufgetaucht – das größte Datenleck der Geschichte. Cybersecurity-Forscher warnen vor einem „Bauplan für Massenausbeutung“, der praktisch jeden Internetnutzer weltweit bedroht.

Die erschreckende Dimension wird deutlich: Die gestohlenen Zugangsdaten übersteigen die doppelte Weltbevölkerung. Betroffen sind Accounts aller großen Online-Plattformen – von Google über Apple bis Facebook. Doch was macht diesen Fund so gefährlich?

Frische Daten, sofortige Gefahr

Anders als bei vergangenen Datenlecks handelt es sich nicht um einen direkten Angriff auf Tech-Giganten. Stattdessen haben Kriminelle über Monate systematisch Daten gesammelt – hauptsächlich durch sogenannte „Infostealer“-Malware.

Die Cybersecurity-Experten von Cybernews entdeckten das Datenleck in 30 separaten Sammlungen. Diese kursierten bereits in Untergrund-Foren und auf unsicheren Cloud-Servern. Das Perfide: Ein Großteil der Informationen ist brandaktuell und damit sofort für Cyberattacken verwendbar.

Die Bedrohung ist real: Die Daten enthalten URLs, Benutzernamen und dazugehörige Passwörter für unzählige Online-Dienste. Auch wenn Google oder Apple nicht direkt gehackt wurden, sind Konten auf diesen Plattformen hochgefährdet.

Schadsoftware als Datensammler

Hinter dem Mega-Leak steckt eine ausgeklügelte Methode: Infostealer-Malware infiziert Computer und Smartphones unbemerkt. Die Schadsoftware durchsucht Browser und Systemdateien nach gespeicherten Anmeldedaten, Cookies und persönlichen Informationen.

Diese werden dann an Server der Angreifer übertragen. Ein Bericht von Cyberint zeigt das Ausmaß: 2025 stieg die Zahl gestohlener Zugangsdaten um 160 Prozent gegenüber dem Vorjahr.

Besonders brisant: Diese Malware wird als Dienstleistung im Darknet verkauft. Selbst unerfahrene Kriminelle können sie problemlos einsetzen. Die gesammelten Daten werden gebündelt und auf illegalen Plattformen gehandelt.

Anzeige: Apropos Infostealer auf Smartphones: Viele Android-Nutzer übersehen einfache Schutzschritte, die genau diese Datendiebe ausbremsen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen – Schritt für Schritt und ohne teure Zusatz-Apps – damit WhatsApp, Online-Banking und PayPal besser geschützt sind. Sichern Sie Ihr Gerät in wenigen Minuten. Kostenlosen Android-Sicherheitsguide laden

Credential-Stuffing: Die unmittelbare Gefahr

Was bedeutet das konkret für Millionen von Nutzern? Kriminelle setzen auf automatisierte „Credential-Stuffing“-Angriffe. Dabei werden die gestohlenen Kombinationen aus Benutzername und Passwort gleichzeitig bei hunderten Websites getestet.

Das Problem: 94 Prozent aller Nutzer verwenden identische oder ähnliche Passwörter für mehrere Accounts. Wurde ein Passwort bei einem kleinen Online-Shop gestohlen, funktioniert es oft auch beim E-Mail-Konto oder der Bank.

Bereits 2024 trafen solche Angriffe Unternehmen wie Roku und The North Face. Hunderttausende Nutzerkonten wurden kompromittiert. Das aktuelle Datenleck liefert Kriminellen nun frische Munition für diese automatisierten Attacken.

Neue Dimension der Bedrohung

Dieser historische Datenklau markiert einen Wendepunkt in der Cybersicherheit. Frühere Mega-Lecks wie bei Yahoo (3 Milliarden Nutzer) oder Facebook (530 Millionen Nutzer) entstanden durch Sicherheitslücken einzelner Unternehmen.

Die neue Bedrohung ist dezentral: Daten werden direkt von Endgeräten der Nutzer gesammelt. Das macht Abwehrmaßnahmen deutlich schwieriger.

Gleichzeitig zeigt sich eine gefährliche „Datenleck-Ermüdung“ bei Verbrauchern. Laut einer Studie von Vercara reagieren Nutzer 2024 weniger besorgt auf Datenpannen als in den Vorjahren. Ein fataler Trugschluss bei dieser Bedrohungslage.

Was Nutzer jetzt tun müssen

Die 16 Milliarden Zugangsdaten zirkulieren bereits in kriminellen Netzwerken. Die Gefahr ist nicht theoretisch, sondern akut real. Experten erwarten eine Welle von Account-Übernahmen und Betrugsversuchen.

Sofortige Schutzmaßnahmen sind unverzichtbar: Einzigartige, komplexe Passwörter für jeden Account – idealerweise mit einem Passwort-Manager verwaltet. Der effektivste Schutz bleibt die Zwei-Faktor-Authentifizierung, die auch bei gestohlenen Passwörtern eine weitere Sicherheitsbarriere bietet.

Anzeige: Für alle mit Android-Smartphone: Diese 5 praxiserprobten Schritte erhöhen Ihre Gerätesicherheit sofort – inklusive wichtiger Update-, App- und Sperr-Einstellungen. Der Gratis-Ratgeber führt leicht verständlich durch alle Punkte und hilft, gestohlene Passwörter durch zusätzliche Schutzbarrieren wertlos zu machen. Jetzt das kostenlose Sicherheitspaket anfordern

Langfristig setzt die Branche auf passwortlose Authentifizierung wie Passkeys. Bis diese Technologien flächendeckend verfügbar sind, bleibt nur eins: maximale Wachsamkeit im digitalen Alltag.