Datenleck: 16 Milliarden Zugangsdaten im Netz entdeckt

Eine gigantische Sammlung von über 16 Milliarden Login-Daten ist online aufgetaucht und entlarvt die gefährliche Kluft zwischen gefühlter Sicherheit und der harschen Realität der digitalen Bedrohungslandschaft. Die Entdeckung erfolgt zeitgleich mit dem Inkrafttreten der neuen EU-Datenverordnung und rückt dabei ein brisantes Problem in den Fokus: die grassierende Nachlässigkeit deutscher Verbraucher und Unternehmen im Umgang mit Cybersicherheit.

Das Datenleck ist nicht das Ergebnis eines einzelnen neuen Hackerangriffs, sondern eine gewaltige Ansammlung von Benutzernamen und Passwörtern, die über Jahre hinweg gesammelt wurden. Diese „Mutter aller Datenlecks“ verteilte sich über etwa 30 verschiedene Datensätze und stammt vermutlich von sogenannter Infostealer-Malware – Schadprogramme, die heimlich Login-Daten von infizierten Geräten kopieren. Das schiere Volumen entspricht zwei kompromittierten Konten für jeden Menschen auf der Erde.

16 Milliarden Datensätze als Weckruf

Die massive Datensammlung gilt als eine der größten jemals entdeckten Sammlungen gestohlener Zugangsdaten. Laut Berichten von Cybersecurity-Experten umfassen die Daten Login-Informationen für eine Vielzahl von Diensten, darunter große Plattformen wie Google, Facebook und Apple sowie soziale Medien, Unternehmenstools und Entwicklerplattformen. Obwohl Sicherheitsanalysten davon ausgehen, dass die Zahlen Duplikate enthalten, bleibt das Ausmaß alarmierend.

Die Daten wurden hauptsächlich durch Infostealer-Malware gesammelt. Diese Software verbreitet sich oft über bösartige E-Mail-Anhänge, gefälschte Software-Updates oder Downloads aus unsicheren Quellen. Einmal infiziert, sammelt die Schadsoftware gespeicherte Benutzernamen und Passwörter aus Webbrowsern und anderen Anwendungen. Diese werden dann in Darknet-Marktplätzen verkauft oder – wie in diesem Fall – zu gewaltigen Datenbanken zusammengefasst.

Das verändert die Bedrohungslage grundlegend: Cyberkriminelle müssen nicht mehr Unternehmensserver hacken, sondern loggen sich einfach mit gestohlenen Zugangsdaten ein.

Deutschland in falscher Sicherheit

Diese globale Datenkrise trifft Deutschland zu einem kritischen Zeitpunkt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der TÜV-Verband warnten kürzlich vor einer gefährlichen Selbstzufriedenheit: 91 Prozent der deutschen Unternehmen glauben, sie seien „gut geschützt“ – trotz dokumentiert steigender Cyberangriffe. Das BSI sprach explizit von einem „falschen Sicherheitsgefühl“ bei Unternehmen, das Experten zufolge auch die Öffentlichkeit erfasst hat.

Die Zahlen sprechen eine klare Sprache: Eine KPMG-Studie ergab, dass 66 Prozent der deutschen Unternehmen die mangelnde Sicherheitssensibilität ihrer Mitarbeiter als Hauptrisikofaktor für Cyberkriminalität sehen. Phishing-Angriffe auf deutsche Bürger haben sich längst über klassische Banken-Betrug hinaus auf beliebte Streaming-Dienste ausgeweitet.

Der wirtschaftliche Schaden ist verheerend: Cyberattacken verursachen der deutschen Wirtschaft jährlich geschätzte 174 Milliarden Euro Verluste, so eine Studie des Digitalverbands Bitkom.

EU-Datengesetz: Neue Regeln in Kraft

Als zeitlich passende Gegenmaßnahme ist das umfassende EU-Datengesetz am 12. September 2025 vollständig anwendbar geworden. Die Verordnung, die bereits am 11. Januar 2024 in Kraft trat, befindet sich nun in der operativen Phase und führt bahnbrechende Regeln für fairen Zugang zu Daten und deren Nutzung ein.

Das Datengesetz gibt Verbrauchern und Unternehmen mehr Kontrolle über die von ihren vernetzten Geräten generierten Daten – von Smart-Home-Geräten bis hin zu Industriemaschinen. Für deutsche Verbraucher bedeutet das mehr Transparenz und Kontrolle. Die Verordnung erleichtert auch den Wechsel zwischen Cloud- und anderen Datenverarbeitungsanbietern und fördert so den Wettbewerb.

Neue Kriminalitätsmuster

Die Entdeckung der 16-Milliarden-Datensätze unterstreicht einen grundlegenden Wandel in der Cyberkriminalität. Angreifer „loggen sich ein, anstatt einzubrechen“, wie Sicherheitsexperten es formulieren. Mit gewaltigen Sammlungen gestohlener Passwörter können Kriminelle „Credential-Stuffing“-Angriffe automatisieren – sie probieren systematisch Benutzername-Passwort-Kombinationen auf Hunderten verschiedener Websites aus.

Diese Methode ist hocheffektiv, weil sie weit verbreitete Verbrauchernachlässigkeit ausnutzt: die Gewohnheit, dasselbe Passwort für mehrere Online-Dienste zu verwenden. Was als harmloses Passwort für ein unbedeutendes Online-Forum beginnt, wird zum kritischen Sicherheitsversagen, wenn es auch E-Mail-, Banking- oder Social-Media-Konten schützt.

Das Hasso-Plattner-Institut (HPI) bietet mit dem Identity Leak Checker ein Tool, das über 14,5 Milliarden kompromittierte Konten katalogisiert hat. Deutsche Nutzer können prüfen, ob ihre E-Mail-Adressen in bekannten Datenlecks aufgetaucht sind.

Anzeige: Apropos Identitätsdiebstahl: Viele Angriffe starten heute auf dem Smartphone – über Phishing-SMS, Fake-Apps oder unsichere Downloads. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone“ zeigt Schritt für Schritt, wie Sie WhatsApp, Banking & Online-Shopping vor Datendieben schützen – ohne teure Zusatz-Apps. Holen Sie sich die Checklisten und richten Sie Ihr Gerät in wenigen Minuten sicherer ein. Jetzt das kostenlose Android‑Sicherheitspaket sichern

Was jetzt zu tun ist

Die kommenden Monate werden zum entscheidenden Test für die Durchsetzung des EU-Datengesetzes. Nicht-konforme Unternehmen drohen erhebliche Strafen. Ab dem 12. September 2026 gelten verschärfte Produktdesign-Anforderungen, die Hersteller zwingen, Nutzern einfachen Zugang zu ihren Daten zu gewähren.

Für deutsche Verbraucher ist der Weg klar: Zurück zu grundlegender Cyber-Hygiene. Sicherheitsexperten drängen auf starke, einzigartige Passwörter für jedes Konto – am besten verwaltet durch einen Passwort-Manager. Die Aktivierung der Zwei-Faktor-Authentifizierung bietet eine kritische Schutzschicht gegen Credential-Stuffing-Angriffe.

Anzeige: Für alle, die nach diesem Weckruf konkret handeln wollen: Starten Sie mit dem Gerät, das Sie täglich nutzen. Das Gratis‑Paket „5 Schutzmaßnahmen für Android“ erklärt leicht verständlich, wie Sie wichtige Einstellungen aktivieren, Berechtigungen prüfen und 2‑Faktor‑Optionen sauber einrichten – ideal für WhatsApp, PayPal und Online‑Banking. Kostenlosen Schritt‑für‑Schritt‑Guide per E‑Mail anfordern

Da Cyberkriminelle weiterhin die gewaltigen Mengen öffentlich verfügbarer Daten ausnutzen, fällt die Verantwortung für die Sicherung des digitalen Lebens zunehmend auf den Einzelnen. Proaktive Sicherheitsmaßnahmen sind wichtiger denn je.