F5-Hack: Nationalstaatliche Angreifer erbeuten kritischen Quellcode

Ein perfekter Sturm aus Cyberangriffen erschüttert diese Woche die Tech-Branche. Das US-Unternehmen F5 bestätigte heute, dass hochprofessionelle nationalstaatliche Hacker sensiblen Quellcode gestohlen haben. Gleichzeitig wurden tausende Passwörter britischer Beamter im Darknet veröffentlicht.

Die Vorfälle reihen sich ein in eine Kette verheerender Datenpannen bei Qantas Airways und Vietnam Airlines. Das bittere Fazit: Trotz technologischer Fortschritte bleiben schwache Passwörter das Haupteinfallstor für Cyberkriminelle.

Das explosive Domino-Spiel schwacher Kennwörter

Die Zahlen sind alarmierend: 94 Prozent aller bei Datenlecks kompromittierten Passwörter wurden mehrfach verwendet. Ein einziges gehacktes Konto kann so zur Katastrophe werden. Zwei Drittel der Amerikaner nutzen 2025 noch immer dieselben Passwörter für verschiedene Dienste – 13 Prozent sogar für alle ihre Konten.

Klassiker wie „123456“ oder „password“ dominieren nach wie vor die Listen der beliebtesten Kennwörter. Brute-Force-Angriffe knacken sie in unter einer Sekunde. Besonders problematisch: Viele Nutzer integrieren persönliche Informationen wie Geburtstage oder Haustiernamen – Daten, die oft frei in sozialen Netzwerken verfügbar sind.

Schwache Passwörter sind bei über 80 Prozent aller Datenlecks in Unternehmen ein entscheidender Faktor.

Eine Woche der Cyber-Katastrophen

Die jüngsten Ereignisse verdeutlichen drastisch die realen Folgen dieser Schwachstellen. Am 12. Oktober bestätigte Qantas Airways, dass persönliche Daten von über 5,7 Millionen Kunden nach einem Angriff auf einen Drittanbieter im Darknet landeten.

Vietnam Airlines meldete am 11. Oktober ein Datenleck über ihr CRM-System, das mindestens 7,3 Millionen Nutzer betrifft. Die Krypto-Wettplattform Shuffle bestätigte am 10. Oktober eine Kompromittierung ihres CRM-Anbieters. SonicWall räumte am 8. Oktober ein, dass ein Angriff auf den Cloud-Backup-Service schwerwiegender war als zunächst angenommen.

Der heutige Hack bei F5, bei dem Angreifer Quellcode für die weit verbreiteten BIG-IP-Produkte erbeuteten, weckt Befürchtungen vor künftigen Exploits gegen die umfangreiche Kundenbasis des Unternehmens.

Paradigmenwechsel: Weg von der Passwort-Komplexität

Als Reaktion auf das Versagen traditioneller Passwort-Strategien ändert sich das Sicherheitsparadigma fundamental. Am 10. Oktober veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) überarbeitete Richtlinien, die mit jahrzehntealten Überzeugungen brechen.

Die neuen Empfehlungen verzichten auf zwingend vorgeschriebene Passwort-Komplexität mit Sonderzeichen und regelmäßige Änderungspflichten. Stattdessen priorisiert NIST die Passwort-Länge und empfiehlt Reset-Pflichten nur bei konkreten Sicherheitsvorfällen.

Diese Wende erkennt an: Überkomplexe Anforderungen verleiten Nutzer oft zu vorhersagbaren Mustern oder dem Aufschreiben von Passwörtern – was die Sicherheit untergräbt.

Die passwortlose Zukunft rückt näher

Die Technologiebranche beschleunigt parallel den Übergang zu einer passwortlosen Zukunft. Große Tech-Konzerne setzen verstärkt auf „Passkeys“, die biometrische Daten wie Fingerabdrücke oder Gesichtserkennung sicher auf dem Gerät des Nutzers speichern.

Diese Methode ist resistent gegen Phishing-Angriffe und eliminiert das Risiko schwacher oder wiederverwendeter Passwörter. Das Ziel: höhere Sicherheit bei gleichzeitig verbesserter Benutzerfreundlichkeit.

Der menschliche Faktor als Achillesverse

Die aktuelle Angriffswelle von Qantas bis F5 beweist: Technologie allein löst das Sicherheitsproblem nicht. Der gemeinsame Nenner bleibt die Ausnutzung menschlichen Verhaltens – sei es durch Phishing-Angriffe auf Mitarbeiter oder simple Passwort-Wiederverwendung.

Verizons Data Breach Investigations Report 2025 bestätigt: Gestohlene Zugangsdaten bleiben der häufigste Angriffsvektor. Während Zwei-Faktor-Authentifizierung über 99 Prozent automatisierter Angriffe blockieren kann, nutzen sie lediglich 37 Prozent der Amerikaner.
Anzeige: Passend zu den aktuellen Angriffswellen – viele Attacken treffen zuerst das Smartphone. Der kostenlose Ratgeber zeigt die 5 wichtigsten Maßnahmen, mit denen Sie WhatsApp, Online‑Banking und PayPal auf Android zuverlässig absichern – einfache Schritt‑für‑Schritt‑Anleitungen, ganz ohne teure Zusatz‑Apps. Für mehr Schutz vor Phishing, Datenklau und Schadsoftware. Jetzt das kostenlose Android‑Sicherheitspaket anfordern

Wettlauf zwischen Innovation und Kriminalität

Die nächsten 12 bis 24 Monate werden entscheidend für die Cybersicherheit. Google, Apple und Microsoft dürften Passkeys als Standard-Login-Methode durchsetzen und Passwörter schrittweise eliminieren.

Doch Legacy-Systeme und langsamere Branchen bleiben auf Passwörter angewiesen – und damit verwundbar. Für Privatnutzer bedeutet das: Ein Hybrid-Ansatz ist unumgänglich. Bis passwortlose Technologien flächendeckend verfügbar sind, bleiben einzigartige, starke Passwörter mit Passwort-Managern und Zwei-Faktor-Authentifizierung die beste Verteidigung gegen die wachsenden digitalen Bedrohungen.