Datenlecks: Millionen Verbraucher durch Drittanbieter-Hacks bedroht

Eine neue Welle von Cyberangriffen auf Dienstleister hat die persönlichen Daten von Millionen Verbrauchern kompromittiert. Die jüngsten Vorfälle bei Modehändler Mango und der australischen Fluggesellschaft Qantas zeigen drastisch: Selbst wenn Unternehmen ihre eigenen Systeme perfekt schützen, können Schwachstellen in der Lieferkette verheerende Folgen haben.

Die Angriffe ereigneten sich ausgerechnet im Oktober, dem internationalen Cybersecurity-Monat. Während Security-Experten zu stärkeren Schutzmaßnahmen mahnen, demonstrieren die aktuellen Fälle eine bittere Wahrheit: Kriminelle brechen kaum noch in Systeme ein – sie loggen sich einfach mit gestohlenen Zugangsdaten ein.

Mango und Qantas: Wenn Partner zum Sicherheitsrisiko werden

Der spanische Modekonzern Mango informierte diese Woche Kunden über einen Datendiebstahl bei einem externen Marketing-Partner. Betroffen sind Vornamen, E-Mail-Adressen, Telefonnummern und Postleitzahlen. Zwar wurden keine Finanz- oder Passwort-Daten gestohlen, doch Security-Experten warnen: Bereits diese Informationen reichen für ausgeklügelte Phishing-Attacken aus.

Noch schwerwiegender traf es die australische Airline Qantas. Rund fünf Millionen Kundendatensätze landeten nach einem Angriff auf einen Drittanbieter im Darknet. Die Hacker-Gruppe “Scattered Lapsus$ Hunters” veröffentlichte die Daten, nachdem Qantas eine Lösegeldforderung ablehnte. Neben Kontaktdaten wurden auch Geburtsdaten und Vielfliegernummern erbeutet – ideales Material für Identitätsdiebstahl.

Credential Stuffing: Der Dominoeffekt alter Passwörter

Die wahre Gefahr beginnt erst nach dem Datenklau. Cyberkriminelle nutzen gestohlene Zugangsdaten für sogenanntes “Credential Stuffing” – sie testen die Kombinationen automatisiert bei anderen Diensten. Der Grund: Viele Nutzer verwenden identische Passwörter für mehrere Accounts.

Die Zahlen sind alarmierend: Microsoft meldet, dass über 97 Prozent aller Identitäts-Angriffe passwortbasiert sind. Allein im ersten Halbjahr 2025 stiegen diese Attacken um 32 Prozent.

Ein aktuelles Beispiel liefert der Wettanbieter DraftKings. Dort gelang Hackern der Zugriff auf Kundenkonten – nicht durch einen direkten Angriff, sondern mit Passwörtern aus anderen Datenlecks. Kunden, die ihre Login-Daten mehrfach verwendet hatten, wurden so zu unfreiwilligen Opfern fremder Sicherheitslücken.

Verschärfte Gesetze, stärkere Kontrollen

Die Politik reagiert auf die wachsende Bedrohung. Kaliforniens Gouverneur Gavin Newsom unterzeichnete ein Gesetz, das Unternehmen verpflichtet, Datenlecks binnen 30 Tagen zu melden. Bisher galt nur die vage Formulierung “so schnell wie möglich”. Das verschärfte Gesetz tritt Anfang 2026 in Kraft und könnte Vorbild für andere Staaten werden.

Parallel dringen Sicherheitsexperten auf bessere Authentifizierung. Multi-Faktor-Authentifizierung (MFA) könne über 99 Prozent aller passwortbasierten Angriffe stoppen – selbst wenn das Passwort bereits gestohlen wurde. Password-Manager und neue Technologien wie Passkeys sollen traditionelle Passwörter langfristig ersetzen.

KI schärft die Waffen der Angreifer

Die Zukunftsaussichten sind düster: Experten erwarten, dass Cyberkriminelle Künstliche Intelligenz verstärkt für automatisierte Phishing-Kampagnen einsetzen werden. Mit den aus Datenlecks gewonnenen Informationen können sie täuschend echte Betrugsversuche generieren.

Was bedeutet das für Verbraucher? Ihre Daten sind nur so sicher wie das schwächste Glied in der Kette aller genutzten Dienste. Einzigartige Passwörter, aktivierte Zwei-Faktor-Authentifizierung und gesunde Skepsis bei unerwarteten Nachrichten werden zur Überlebensstrategie im digitalen Zeitalter.

Anzeige: Apropos Phishing und Kontoübernahmen: Viele Angriffe treffen heute das Smartphone – oft über WhatsApp, Banking-Apps oder gefälschte SMS. Mit fünf einfachen Maßnahmen erhöhen Sie den Schutz Ihres Android-Geräts deutlich – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie die wichtigsten Einstellungen setzen, geprüfte Apps nutzen und typische Fallen vermeiden. Jetzt kostenloses Android-Sicherheitspaket anfordern

Die jüngsten Vorfälle zeigen unmissverständlich: Cybersecurity ist längst eine gemeinsame Verantwortung von Unternehmen, Regulierern und jedem einzelnen Nutzer geworden.