Cyberkriminalität: 16 Milliarden Passwörter geleakt

Die größte Datenpanne der Internetgeschichte ist aufgedeckt: Über 16 Milliarden Zugangsdaten von Google, Apple, Facebook und tausenden anderen Plattformen sind in die Hände von Cyberkriminellen geraten. Was Sicherheitsexperten als „Blaupause für Massenausbeutung“ bezeichnen, zwingt Millionen Nutzer weltweit zum sofortigen Handeln.

Die Tragweite dieses digitalen Supergaus ist kaum zu überblicken. Cybersecurity-Forscher von Cybernews entdeckten 30 verschiedene Datensätze mit insgesamt 16 Milliarden Einträgen auf ungeschützten Servern. Dabei handelt es sich nicht um einen einzelnen Hackerangriff, sondern um eine gigantische Sammlung von Zugangsdaten, die über Jahre hinweg durch Schadsoftware gestohlen wurden.

Die Daten sind erschreckend einfach strukturiert: Website-URL, Nutzername, Passwort. Diese übersichtliche Aufbereitung macht sie zur perfekten Waffe für automatisierte Cyberattacken. Betroffen sind nicht nur soziale Medien und E-Mail-Dienste, sondern auch Entwicklerplattformen wie GitHub und sogar Behörden-Portale.

Schadsoftware als stille Datendiebe

Hinter dem historischen Leak steckt sogenannte „Infostealer“-Malware – besonders heimtückische Schadsoftware, die völlig unbemerkt auf infizierten Geräten operiert. Anders als Erpressertrojaner stiehlt sie lautlos gespeicherte Passwörter, Cookies und Autofill-Daten direkt aus Browsern und Anwendungen.

Die gestohlenen Informationen landen anschließend auf Servern der Angreifer. Experten betonen: Die Daten sind aktuell und stammen nicht aus bekannten, alten Sicherheitslücken. Das macht sofortige Kontoübernahmen deutlich wahrscheinlicher.

Besonders perfide: Diese Angriffsmethode umgeht die Sicherheitssysteme der Dieneanbieter komplett. Die Schadsoftware zapft die Daten direkt beim Nutzer ab – ein Grund mehr, warum individuelle Wachsamkeit so entscheidend ist.

Anzeige: Übrigens: Wer sich nach diesem Mega-Leak gezielt schützen will, sollte beim Smartphone anfangen – hier liegen oft WhatsApp-, Banking- und PayPal-Daten. Das kostenlose Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android, leicht verständlich und mit Schritt-für-Schritt-Anleitungen – ganz ohne teure Zusatz-Apps. So schließen Sie typische Lücken und schützen sich vor Datenklau und Schadsoftware. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Dominoeffekt bei Unternehmensangriffen

Die angespannte Bedrohungslage zeigt sich auch bei einer aktuellen Angriffswelle auf Großkonzerne. Im August und September 2025 trafen koordinierte Attacken über Salesforce-Schwachstellen Unternehmen wie Google, TransUnion, Workday, Zscaler und Palo Alto Networks.

Diese Angriffe nutzen oft Social Engineering oder gestohlene Authentifizierungs-Token. Selbst Organisationen mit robuster interner Sicherheit werden so über ihre Lieferkette kompromittiert. Zwar gelangten dabei nicht direkt Nutzerpasswörter in fremde Hände, doch die erbeuteten Geschäfts- und Kundendaten befeuern hochprofessionelle Phishing-Kampagnen.

Neue Dimension der Cyberkriminalität

Die Verfügbarkeit von 16 Milliarden Zugangsdaten verändert die Risikolage fundamental. Cyberkriminelle verfügen nun über beispiellose Ressourcen für „Credential-Stuffing“-Attacken – automatisierte Angriffe, bei denen Bots systematisch geleakte Kombinationen aus Nutzername und Passwort auf hunderten Websites ausprobieren.

Da viele Menschen dieselben Passwörter mehrfach verwenden, kann ein einziger kompromittierter Zugang zur Übernahme sämtlicher Konten führen – von der Bank bis zum E-Mail-Postfach. „Das ist kein gewöhnlicher Leak, sondern eine Blaupause für Massenausbeutung“, warnt das Cybernews-Forschungsteam.

Experten befürchten zudem KI-gestützte Angriffe: Die Daten können für hochpersonalisierte Betrugsversuche genutzt werden, die schwerer zu durchschauen sind als je zuvor.

Sofortmaßnahmen und Zukunftsausblick

Nach diesem monumentalen Datenleck liegt die Verantwortung klar bei Nutzern und Anbietern: Stärkere Authentifizierungsmethoden sind unverzichtbar geworden. Cybersecurity-Profis geben dringende Empfehlungen aus.

Erstens: Passwörter für alle wichtigen Online-Konten sofort ändern – besonders solche, die mehrfach verwendet wurden. Zweitens und entscheidend: Zwei-Faktor-Authentifizierung (2FA) überall aktivieren, wo möglich. Diese zweite Sicherheitsebene blockiert über 99,9 Prozent aller automatisierten Kontoübernahmen.

Anzeige: Passend zu den Sofortmaßnahmen: Machen Sie Ihr Android-Smartphone in wenigen Minuten deutlich sicherer. Der Gratis-Ratgeber führt Sie durch Updates, Berechtigungen, sichere Apps und Betrugs-Schutz – die 5 wichtigsten Schritte gegen Datenklau und Malware. Kostenlosen Ratgeber jetzt anfordern

Die Branche beschleunigt bereits den Abschied vom klassischen Passwort. Google und Apple setzen auf „Passkeys“ – eine sicherere, phishing-resistente Authentifizierungsmethode. Die Ära einfacher Passwörter ist vorbei. Nur mehrschichtige Sicherheitskonzepte bieten künftig ausreichenden Schutz.