Cyber-Kriminalität: Passwort-Diebstahl explodiert um 160 Prozent

Ein gewaltiger Anstieg bei passwortbasierten Cyberangriffen prägt die Bedrohungslage 2025. Sicherheitsforscher melden einen dramatischen Zuwachs von 160 Prozent bei Attacken mit gestohlenen Zugangsdaten. Der Grund: Ein florierender Schwarzmarkt, auf dem Milliarden von Passwörtern gehandelt und für automatisierte Angriffe genutzt werden.

Der neue Verizon-Sicherheitsbericht 2025 zeigt das ganze Ausmaß der Krise: Bereits 88 Prozent aller Datenlecks bei Webanwendungen basieren inzwischen auf gestohlenen Benutzerdaten. Diese Entwicklung zwingt Unternehmen und Verbraucher zu einem grundlegenden Umdenken beim Passwort-Schutz.

Die Angriffsmethode funktioniert erschreckend einfach: Cyberkriminelle nutzen automatisierte Tools, um gestohlene Benutzername-Passwort-Kombinationen systematisch bei anderen Diensten auszuprobieren. Der Erfolg basiert auf einer menschlichen Schwäche: dem Wiederverwenden derselben Zugangsdaten bei verschiedenen Angeboten.

Attacken dieser Art profitieren von gigantischen Datenlecks. Ein Depot namens „Mother of All Breaches“ soll 16 Milliarden Zugangsdaten enthalten – ein riesiges Arsenal für Kriminelle. Zusätzlich verstärken Schadprogramme wie RedLine und Lumma das Problem, indem sie gespeicherte Passwörter direkt von infizierten Computern stehlen.

NIST revolutioniert Passwort-Richtlinien: Länge schlägt Komplexität

Als Reaktion auf die Krise hat das US-Technologie-Institut NIST seine Sicherheitsrichtlinien 2025 grundlegend überarbeitet. Weg von ineffektiven Praktiken wie Sonderzeichen-Zwang und regelmäßigen Passwort-Wechseln.

Die neue Philosophie setzt auf vier Kernprinzipien:
– Länge statt Komplexität: Mindestens 15 Zeichen lange Passphrasen sind exponentiell schwerer zu knacken als kurze, komplizierte Passwörter
– Schluss mit Zwangs-Updates: Regelmäßige Passwort-Änderungen werden nur noch bei konkreten Sicherheitsvorfällen empfohlen
– Screening gegen Leak-Listen: Neue Passwörter sollen gegen Datenbanken bereits gestohlener Zugangsdaten geprüft werden
– Multi-Faktor-Authentifizierung ist Pflicht: Apps oder Hardware-Token werden SMS-Codes vorgezogen, da diese anfällig für SIM-Swapping sind

Millionenschäden: Wenn Kriminelle durch die Haustür spazieren

Die Folgen erfolgreicher Angriffe gehen weit über Einzelkonten hinaus. Unternehmen leiden unter direkten Betrugsschäden, enormen Kosten für Account-Sperrungen und Imageschäden. Der Gentechnik-Konzern 23andMe erhielt 2025 eine Geldstrafe von 2,31 Millionen Pfund, nachdem Credential-Stuffing-Angriffe Millionen von Nutzerdaten preisgaben.

Besonders kritisch: 46 Prozent aller Credential-Lecks in Unternehmen stammten laut Verizon-Bericht von privaten „Bring Your Own Device“-Geräten. Diese Entwicklung verschiebt den Sicherheitsperimeter vom Firmennetzwerk hin zur individuellen Nutzer-Identität.

Anzeige: BYOD macht private Smartphones zum Sicherheitsfaktor. Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – gerade bei WhatsApp, Online‑Shopping, PayPal und Online‑Banking. Der Gratis‑Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Gerät ohne teure Zusatz‑Apps absichern. Jetzt kostenloses Android‑Sicherheitspaket anfordern

Warum Hacker den einfachen Weg wählen

Der Trend zu passwortbasierten Angriffen folgt einer simplen Logik: Warum komplexe Software-Schwachstellen suchen, wenn man sich einfach einloggen kann? Diese „Living-off-the-Land“-Strategie ist leiser, schwerer zu entdecken und hocheffizient – automatisierte Bots testen Millionen von Zugangsdaten pro Minute.

Reife Schwarzmärkte im Darknet und Telegram-Kanäle haben den Handel mit gestohlenen Daten demokratisiert. Selbst weniger versierte Kriminelle können heute großangelegte Angriffe starten.

Zukunft ohne Passwörter: Biometrie als Ausweg?

Branchenexperten sehen die Lösung in einer passwortlosen Zukunft. Passkeys, die biometrische Daten wie Fingerabdrücke oder Gesichtserkennung nutzen, gewinnen an Bedeutung und gelten als phishing-resistent.

Anzeige: Für alle, die ihr Android schnell spürbar sicherer machen wollen: Diese 5 Maßnahmen schließen oft übersehene Lücken – Tipp 3 wird besonders unterschätzt. Kompakte Checklisten und geprüfte Einstellungen führen Sie in wenigen Minuten zum Ziel. Kostenlosen Sicherheits‑Leitfaden per E‑Mail erhalten

Bis diese Technologien flächendeckend verfügbar sind, bleibt ein mehrstufiger Schutz die beste Verteidigung: Einzigartige, starke Passphrasen für jeden Account – idealerweise verwaltet durch einen vertrauenswürdigen Passwort-Manager. Für Unternehmen ist Multi-Faktor-Authentifizierung keine Option mehr, sondern essentieller Schutz gegen die definitive Cyber-Bedrohung von 2025.