Passkeys: 183 Millionen gestohlene Login-Daten beschleunigen Passwort-Revolution

Der Cybersicherheitsdienst “Have I Been Pwned” meldet diese Woche einen neuen Rekord: 183 Millionen gestohlene E-Mail- und Passwort-Kombinationen wurden in die Datenbank aufgenommen. Gleichzeitig zeigt ein Microsoft-Bericht einen dramatischen Anstieg identitätsbasierter Angriffe um 32 Prozent allein im ersten Halbjahr 2025.

Die gestohlenen Zugangsdaten stammen nicht aus einer einzelnen Datenpanne, sondern wurden durch sogenannte “Infostealer”-Malware von infizierten Geräten abgegriffen. Diese Schadsoftware operiert meist unbemerkt auf privaten und geschäftlichen Computern und speist einen florierenden Schwarzmarkt mit Milliardenumsätzen.

Cyberkriminalität wird zur Industrie

Was einst isolierte Datenlecks waren, hat sich zu einem ausgeklügelten Netzwerk entwickelt. In Darknet-Marktplätzen und Telegram-Kanälen werden täglich Millionen gestohlener Zugangsdaten gehandelt und weiterverkauft.

“Ein Untergrundmarkt, der als vereinzelte Datenlecks begann, ist zu einem raffinierten Netzwerk geworden, in dem Milliarden von Nutzernamen und Passwörtern gehandelt werden”, erklärt Darren Guccione, CEO von Keeper Security.

Die Folge sind automatisierte “Credential Stuffing”-Angriffe, bei denen Bots systematisch Login-Portale mit gestohlenen Daten bombardieren. Jüngste Datenpannen bei Unternehmen wie Qantas und Discord zeigen die verheerenden Auswirkungen.

Das Passwort-Problem verschärft sich

Microsofts Digital Defense Report 2025 zeichnet ein düsteres Bild: 97 Prozent aller identitätsbasierten Angriffe gehen auf kompromittierte Passwörter zurück. Das Problem wird durch menschliche Schwächen verstärkt – insbesondere die Wiederverwendung identischer Passwörter bei verschiedenen Diensten.

Cyberkriminelle verfeinern ihre Methoden kontinuierlich. Social Engineering-Angriffe, etwa gefälschte Helpdesk-Anrufe zum Zurücksetzen von Passwörtern, nehmen zu. Trotz jahrelanger Aufklärungskampagnen bleiben Passwörter die schwächste Stelle in der Sicherheitskette.

Eine Portnox-Umfrage zeigt: 70 Prozent der Unternehmen planen bereits die Einführung passwortloser Authentifizierung.
Anzeige: Apropos gestohlene Zugangsdaten und identitätsbasierte Angriffe: Viele Attacken zielen inzwischen direkt auf das Smartphone – von WhatsApp bis Online‑Banking. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android, die Sie in wenigen Minuten einrichten – ohne teure Zusatz‑Apps, mit klaren Schritt‑für‑Schritt‑Anleitungen und Checklisten. So senken Sie das Risiko von Datenklau und Schadsoftware spürbar. Jetzt kostenloses Android‑Sicherheitspaket sichern

Passkeys revolutionieren die Anmeldung

Die Antwort der Tech-Industrie ist eindeutig: Passkeys sollen das Passwort ersetzen. Diese auf dem WebAuthn-Standard der FIDO Alliance basierenden Schlüssel funktionieren über kryptografische Verfahren und werden sicher auf dem Gerät des Nutzers gespeichert.

Die Anmeldung erfolgt per Fingerabdruck, Gesichtserkennung oder Geräte-PIN – schneller und sicherer als herkömmliche Passwörter. Über eine Milliarde Menschen haben bereits mindestens einen Passkey aktiviert. Die Nutzer-Awareness stieg binnen zwei Jahren von 39 auf 57 Prozent.

Erste Erfahrungen sind vielversprechend: Unternehmen berichten von 70 Prozent höheren Conversion-Raten und doppelt so schnellen Anmeldezeiten. Entscheidender Vorteil: Passkeys können nicht gestohlen und anderweitig verwendet werden, da sie an die jeweilige Website gebunden sind.

Paradigmenwechsel in der digitalen Identität

Der massive Anstieg gestohlener Zugangsdaten markiert einen Wendepunkt. Jahrelang versuchte die IT-Branche, Passwort-Schwächen mit Zusatzlösungen wie Zwei-Faktor-Authentifizierung zu kompensieren – mit mäßigem Erfolg.

Passkeys verkörpern einen fundamentalen Paradigmenwechsel: Statt ein geteiltes Geheimnis (das Passwort) zu schützen, wird die Identität über ein besessenes Gerät und biometrische Merkmale verifiziert.

Große Unternehmen wie Amazon, PayPal und Bank of America führen bereits Passkey-Unterstützung ein. Diese Vorreiterrolle conditioniert Millionen Nutzer an den neuen Standard und beschleunigt die flächendeckende Einführung.

Das Ende der Passwort-Ära naht

Die FIDO Alliance prognostiziert: Bis Ende 2025 wird jede vierte der 1.000 wichtigsten Websites Passkey-Anmeldungen anbieten. Microsoft hat bereits eine Multi-Faktor-Authentifizierung für alle Azure-Anmeldungen zur Pflicht gemacht – ein Signal für branchenweite Verschärfungen.

Für Verbraucher bedeutet dies weniger zu merkende Passwörter und geringere Risiken. Für Unternehmen wird die Investition in passwortlose Infrastrukturen zur Geschäftsprioriät.

Die Ära leicht zu stehlender, vergessener und durch Phishing erbeuteter Passwörter geht ihrem Ende entgegen. An ihre Stelle tritt eine sicherere und nahtlosere digitale Identität.