Cyberattacken: 16 Milliarden gestohlene Passwörter bedrohen Unternehmen

Eine beispiellose Welle von Cyberattacken erschüttert aktuell die digitale Sicherheitslandschaft: Hacker haben 16 Milliarden Nutzerdaten erbeutet und greifen verstärkt über vertrauenswürdige Drittanbieter-Software an. Die jüngsten Angriffe auf große Unternehmen wie die Kreditauskunftei TransUnion zeigen eine neue Dimension der Bedrohung – und decken erschreckende Sicherheitslücken bei Verbrauchern auf.

Besonders brisant: Cyberkriminelle nutzen die Schwachstelle der vernetzten Geschäftswelt und infiltrieren Unternehmen über deren Software-Partner. Diese Angriffe auf die Lieferkette, kombiniert mit riesigen Passwort-Datenbanken, schaffen optimale Bedingungen für Betrug und Kontoübernahmen in nie dagewesenem Ausmaß.

Lieferketten-Attacken: Wenn der Partner zum Einfallstor wird

Die Angriffswelle im August und September 2025 führt vor Augen: Ein Unternehmen ist nur so sicher wie sein schwächstes Glied – oft ein externer Software-Partner. Ende August bestätigte TransUnion eine Datenpanne, bei der über 4,4 Millionen Kundendaten kompromittiert wurden. Der Angriff am 28. Juli erfolgte über eine Drittanbieter-Anwendung im Salesforce-System für den Kundensupport.

Obwohl TransUnions Kern-Kreditdatenbank unberührt blieb, gelangten hochsensible Informationen in fremde Hände: Namen, Sozialversicherungsnummern und Geburtsdaten. Der Vorfall war Teil einer großangelegten Kampagne gegen das Salesforce-Ökosystem.

Die Hackergruppe UNC6395 nutzte die KI-Chatbot-Anwendung Salesloft Drift als Einfallstor und erbeutete Authentifizierungs-Token. Diese gewährten Zugang zu den Salesforce-Systemen zahlreicher Unternehmen. Selbst renommierte Cybersicherheitsfirmen wurden Opfer: Cloudflare, Palo Alto Networks, Zscaler, Proofpoint und Qualys meldeten Kompromittierungen ihrer Systeme.

16 Milliarden Zugangsdaten: Das Arsenal der Cyberkriminellen

Die Bedrohung wird durch schiere Datenmengen verstärkt. Im Juni 2025 entdeckten Sicherheitsforscher eine monumentale Sammlung von 30 Datensätzen mit insgesamt 16 Milliarden Anmeldedaten. Diese gewaltige Sammlung, zusammengestellt aus verschiedenen Malware-Protokollen, umfasst Zugangsdaten für unzählige Online-Dienste – von Google und Facebook bis hin zu Entwicklerportalen und Behörden-Websites.

Experten warnen: Dies sind keine alten, recycelten Daten, sondern „frische, einsatzbereite Informationen in gigantischem Maßstab“. Die Verfügbarkeit dieser aktuellen Datenmassen befeuert sogenannte Credential-Stuffing-Angriffe. Dabei testen automatisierte Programme gestohlene Nutzername-Passwort-Kombinationen auf hunderten anderen Websites – in der Hoffnung, dass Nutzer ihre Zugangsdaten mehrfach verwenden.

Die niedrige Erfolgsquote von 0,1 Prozent wird durch die schiere Masse kompensiert: Bei Milliarden getesteter Kombinationen entstehen trotzdem Millionen kompromittierter Konten.

Anzeige: Die aktuelle Welle von Kontoübernahmen trifft Nutzer oft über den bequemsten Zugangspunkt: das Smartphone. Viele übersehen genau diese 5 Schutzmaßnahmen, die WhatsApp, Banking & Co. vor Datendieben absichern. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps deutlich sicherer machen. Jetzt kostenloses Android?Sicherheitspaket anfordern

Fatale Nachlässigkeit: Deutsche Nutzer in Gefahr

Die Wirksamkeit dieser Angriffe wurzelt in einem weit verbreiteten menschlichen Versagen: schlechte Passwort-Hygiene. Trotz jahrelanger Aufklärungs-Kampagnen verschlechtern sich die Sicherheitsgewohnheiten der Verbraucher dramatisch.

Eine aktuelle Studie enthüllte erschreckende Zahlen: 62 Prozent der Amerikaner verwenden identische Passwörter für mehrere Online-Konten. Jeder Fünfte nutzt dasselbe Passwort für zehn oder mehr Websites. Eine weitere Analyse ergab: 94 Prozent aller verwendeten Passwörter sind Wiederholungen oder Duplikate.

Diese Passwort-Wiederverwendung schafft einen Domino-Effekt. Ein Einbruch bei einer scheinbar unbedeutenden Website kann zur Kompromittierung hochsensibler Konten wie Online-Banking oder E-Mail-Accounts führen. Die Bequemlichkeit siegt über die Sicherheit – und schafft eine riesige Angriffsfläche für Kriminelle.

Strategiewandel: Vertrauen wird zur Waffe

Die jüngste Angriffswelle auf Plattformen wie Salesforce zeigt einen strategischen Wandel bei Cyberkriminellen. Statt direkter Brute-Force-Attacken gegen gehärtete Unternehmensnetzwerke nutzen sie das implizite Vertrauen und die Berechtigungen integrierter Drittanbieter-Anwendungen.

Diese Methode ist heimtückischer und extrem effektiv. Der Salesloft-Drift-Vorfall demonstrierte, wie gestohlene OAuth-Token den stillen Datenabfluss bei hunderten Organisationen ermöglichten. Unternehmen müssen jetzt nicht nur ihre eigenen Systeme absichern, sondern auch die Sicherheitslage jedes Partners in ihrer digitalen Lieferkette überwachen.

Die Kosten sind immens: Für TransUnion-Betroffene drohen Identitätsdiebstahl und Finanzbetrug. Unternehmen tragen nicht nur Reparatur- und Strafkosten, sondern leiden unter massivem Vertrauensverlust, der zu Kundenabwanderung und langfristigem Imageschaden führt.

Ausblick: Zero-Trust und das Ende der Passwörter

Die Cybersicherheitsbranche beschleunigt ihre Transformation zu robusten Sicherheitsmodellen. Experten fordern „Zero-Trust“-Ansätze, die kontinuierliche Authentifizierung und Autorisierung für alle Nutzer und Geräte verlangen – unabhängig vom Standort.

Für Verbraucher ist die Botschaft klar: Die Ära der Passwort-Nachlässigkeit muss enden. Sicherheitsexperten drängen auf Passwort-Manager für einzigartige, starke Kennwörter bei jedem Online-Konto. Die kritischste Verteidigung bleibt die Zwei-Faktor-Authentifizierung, die auch bei gestohlenen Passwörtern als Barriere funktioniert.

Anzeige: Für alle, die 2?Faktor?Schutz und wichtige Sicherheitsoptionen am Handy sofort richtig einstellen möchten. Das Gratis?Sicherheitspaket zeigt die fünf wirksamsten Schritte – von App?Prüfungen über automatische Updates bis zu Risiken beim Online?Banking – leicht verständlich erklärt. Holen Sie sich die Checklisten und setzen Sie die Tipps in wenigen Minuten um. Zum kostenlosen Android?Sicherheitspaket

Die Zukunft gehört passwortlosen Technologien wie Passkeys – sicherere und nutzerfreundlichere Alternativen. Bis zur universellen Einführung tragen sowohl Privatpersonen als auch Unternehmen die Verantwortung, ihre Verteidigung gegen eine Bedrohungslandschaft zu stärken, die sich als vernetzter und gefährlicher denn je erwiesen hat.