Alte Passwörter werden zur Cyber-Bedrohung 2025

Gestohlene Passwörter aus jahrelangen Datenpannen werden zur neuen Waffe für Internetkriminelle. Die Angriffe auf deutsche und internationale Online-Dienste explodieren förmlich.

Cybersicherheitsexperten schlagen diese Woche Alarm: Die weitverbreitete Gewohnheit, dieselben Passwörter für mehrere Accounts zu verwenden, schafft einen gefährlich fruchtbaren Boden für Kriminelle. Mit Milliarden von Zugangsdaten aus alten Datenlecks führen Angreifer automatisierte Kampagnen durch und übernehmen Konten in allen Bereichen – von Banking bis Social Media.

Das Ausmaß des Problems wird durch aktuelle Analysen erschreckend deutlich. 2025 wurde ein Anstieg der Passwort-Diebstähle um 160 Prozent registriert. Über 80 Prozent aller Datenlecks involvieren gestohlene oder schwache Passwörter. Diese alarmierenden Zahlen unterstreichen eine kritische Schwachstelle im digitalen Leben von Millionen: Ein einziges kompromittiertes Passwort aus einem vergessenen Account kann einen verheerenden Dominoeffekt auslösen.

Wie alte Daten zur neuen Waffe werden

Die Hauptmethode heißt „Credential Stuffing“. Angreifer beschaffen sich massive Listen von Benutzername-Passwort-Kombinationen aus vergangenen Datenpannen – oft gehandelt auf Dark Web-Marktplätzen. Mit automatisierten Bots „stopfen“ sie diese Zugangsdaten in die Login-Portale tausender anderer Websites.

Weil ein hoher Prozentsatz der Nutzer dasselbe Passwort für mehrere Dienste recycelt, haben diese Brute-Force-Versuche eine erschreckend hohe Erfolgsquote. Eine umfassende Studie von über 19 Milliarden enthüllten Passwörtern ergab: Erstaunliche 94 Prozent werden für zwei oder mehr Accounts wiederverwendet. Nur sechs Prozent sind einzigartig.

Diese weitverbreitete Praxis bedeutet: Eine Datenpanne bei einem Dienst – selbst eine kleine von vor zehn Jahren – liefert die Schlüssel zu potenziell sensibleren Accounts wie E-Mail, Finanzdienstleistungen oder Firmennetzwerken.

Das Jahr der beispiellosen Datenlecks

Die Bedrohung wurde 2025 durch gigantische Zugangsdatenbanken befeuert. Im Juni entdeckten Cybersicherheitsforscher ein monumentales Leck mit 16 Milliarden Benutzername-Passwort-Kombinationen – eine Zusammenstellung aus tausenden früherer Pannen. Diese „Mutter aller Datenpannen“ liefert Cyberkriminellen ein frisches und riesiges Arsenal.

Die Verfügbarkeit solcher Daten führte zu handfesten Konsequenzen. Große Unternehmen wie AT&T erlebten Lecks von über 73 Millionen Kundendatensätzen und nähren damit den Kreislauf weiter.

Als Reaktion auf diese massiven Datendumps begannen nationale Cybersicherheitsbehörden, öffentliche Warnungen herauszugeben. Das indische Computer Emergency Response Team (CERT-In) drängte kürzlich alle Bürger, ihre Passwörter sofort zu aktualisieren und Zwei-Faktor-Authentifizierung zu aktivieren.

KI verstärkt die Bedrohung

Zusätzliche Brisanz entsteht durch den zunehmenden Einsatz Künstlicher Intelligenz. KI-gestützte Tools können Brute-Force-Angriffe in bisher ungekanntem Umfang und Tempo automatisieren – Milliarden von Passwort-Kombinationen werden in Minuten getestet.

Darüber hinaus nutzen Kriminelle KI für hochüberzeugende, personalisierte Phishing-E-Mails. Die Systeme analysieren sogar Social Media-Profile, um wahrscheinliche Passwort-Muster vorherzusagen.

Diese technologische Entwicklung macht selbst ehemals als mäßig stark geltende Passwörter verletzlicher. Die Kombination aus riesigen, leicht verfügbaren Datenpannen-Sammlungen und raffinierten KI-gesteuerten Knack-Tools hat die Bedrohungslandschaft grundlegend verändert.
Anzeige: Apropos KI-gestützte Angriffe – viele Android-Nutzer übersehen genau jetzt die 5 wichtigsten Schutzmaßnahmen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und PayPal auf dem Smartphone besser absichern – ohne teure Zusatz‑Apps. Jetzt das kostenlose Android‑Sicherheitspaket sichern

Digitale Hygiene versagt systematisch

Die aktuelle Krise wurzelt in einem lang anhaltenden und gut dokumentierten Versagen grundlegender Cybersicherheitshygiene. Seit Jahren raten Sicherheitsexperten von der Wiederverwendung von Passwörtern ab – dennoch bleibt die Praxis weit verbreitet.

Die schiere Anzahl der Online-Konten, die eine durchschnittliche Person verwaltet – oft über 100 – hat zu „Passwort-Müdigkeit“ geführt. Bequemlichkeit triumphiert über Sicherheit. Viele Nutzer fühlen sich überfordert und verwenden standardmäßig eine Handvoll einprägsamer und daher schwacher Passwörter für alle Accounts.

Zukunft: Der dringende Wandel jenseits von Passwörtern

Angesichts eskalierender Bedrohungen beschleunigt die Cybersicherheitsbranche den Vorstoß in eine Zukunft nach den Passwörtern. Die wichtigste Sofortverteidigung für Privatpersonen und Unternehmen ist die weit verbreitete Einführung von Zwei-Faktor-Authentifizierung (2FA). Diese kann die große Mehrheit automatisierter Credential-Stuffing-Angriffe blockieren – selbst wenn das Passwort bekannt ist.
Anzeige: Für alle, die ihre Konten zusätzlich zum neuen 2FA-Schutz am Handy absichern wollen: Der Gratis‑Leitfaden „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ erklärt in einfachen Schritten, wie Sie Datenklau und Schadsoftware vorbeugen. Mit Checklisten für geprüfte Apps, automatische Prüfungen und Updates. Kostenlosen Sicherheits‑Guide per E‑Mail anfordern

Langfristig liegt die Lösung im Übergang zu sichereren Authentifizierungsmethoden wie Passkeys, die kryptografische Prinzipien zur Identitätsverifizierung ohne gemeinsame Geheimnisse nutzen. Große Technologieunternehmen wie Google, Apple und Microsoft integrieren bereits Passkey-Unterstützung in ihre Plattformen.

Bis diese stärkeren Methoden alltäglich werden, ist die Nutzung von Passwort-Managern essentiell. Diese generieren und speichern starke, einzigartige Passwörter für jeden Account. Solange diese Innovationen nicht überall verfügbar sind, werden die Geister alter Datenpannen das Internet heimsuchen – proaktives Passwort-Management und 2FA sind nicht nur Empfehlung, sondern Notwendigkeit.