US-Regierung: 53.000 Passwörter im Darknet aufgetaucht

Eine massive Datenpanne bei US-Behörden schockiert die Cybersecurity-Welt. Experten fordern jetzt den endgültigen Abschied von herkömmlichen Passwörtern.

Über 53.000 kompromittierte Passwörter von E-Mail-Adressen der US-Regierung sind diese Woche in dunklen Ecken des Internets aufgetaucht – ein Weckruf, der die Cybersecurity-Branche erneut aufschreckt. Die Enthüllung ist Teil eines noch größeren Datenlecks mit insgesamt 91.000 gestohlenen Zugangsdaten aus staatlichen Institutionen in sechs Ländern seit Jahresbeginn.

Die Botschaft ist eindeutig: Trotz jahrelanger Warnungen klafft bei der passwortbasierten Sicherheit weiterhin ein gefährliches Loch. Selbst Regierungsbehörden sind betroffen. Experten sehen darin den entscheidenden Anstoß für eine längst überfällige Sicherheitsrevolution.

Hochsensible Behörden im Visier

Die Studie des Sicherheitsanbieters NordPass förderte erschreckende Details zutage: Betroffen sind Zugangsdaten von hochsensiblen US-Behörden wie dem Außenministerium und dem Verteidigungsministerium. Die Forscher entdeckten die Daten in Darknet-Foren und anderen illegalen Quellen.

“Die Gefährdung von Passwörtern bei Staatsdienern ist besonders brisant”, warnt Karolis Arbačiauskas, Produktchef bei NordPass. Falls diese Passwörter nicht sofort geändert und zusätzliche Sicherheitsmaßnahmen aktiviert werden, könnten Angreifer Zugang zu höchst vertraulichen Informationen erlangen.

Die Zahlen sprechen eine deutliche Sprache: Laut Microsofts Digital Defense Report 2025 stiegen identitätsbasierte Cyberattacken in der ersten Jahreshälfte um 32 Prozent. Über 97 Prozent davon waren Passwort-Angriffe.

Zwei-Faktor-Authentifizierung wird Pflicht

Die Antwort auf diese Bedrohung heißt Multi-Faktor-Authentifizierung (MFA) – nicht mehr nur eine Option, sondern absolute Notwendigkeit. Das Prinzip: Neben dem Passwort braucht es mindestens einen weiteren Nachweis wie eine SMS, eine App-Benachrichtigung oder einen Fingerabdruck.

Die Wirksamkeit ist beeindruckend: Microsoft-Studien belegen, dass MFA über 99,9 Prozent aller Kontokompromittierungen verhindern kann.

New York macht Ernst: Ab 1. November müssen alle Finanzdienstleister im Bundesstaat verstärkte MFA für Remote-Zugriffe und privilegierte Konten einsetzen. Microsoft zieht nach und macht MFA seit Oktober für alle Azure-Nutzer verpflichtend.
Anzeige: Passend zur MFA-Pflicht: Viele Angriffe zielen inzwischen direkt aufs Smartphone – vom WhatsApp-Konto bis zum Mobile-Banking. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android, mit leicht verständlichen Schritt-für-Schritt-Anleitungen – ganz ohne teure Zusatz-Apps. So schließen Sie unterschätzte Lücken und schützen Daten, Zahlungen und Logins zuverlässig. Jetzt kostenloses Android‑Sicherheitspaket sichern

KI als Fluch und Segen

Künstliche Intelligenz verändert das Kräfteverhältnis im Cyberkrieg radikal. Kriminelle nutzen AI, um Brute-Force-Attacken zu automatisieren und wahrscheinliche Passwörter vorherzusagen. Sogar einige MFA-Systeme lassen sich mittlerweile mit Deepfake-Technologien austricksen.

Doch KI kämpft auch auf der Seite der Verteidiger: Moderne Sicherheitssysteme erkennen verdächtige Anmeldeversuche in Echtzeit anhand von Verhaltensmustern, Standorten und Geräteeigenschaften. Diese “adaptive Authentifizierung” löst automatisch zusätzliche Sicherheitsabfragen aus, wenn etwas nicht stimmt.

Der Traum vom passwortlosen Leben

Während MFA heute der goldene Standard ist, arbeitet die Branche bereits am nächsten großen Sprung: dem kompletten Verzicht auf Passwörter. Biometrische Verfahren, Sicherheitsschlüssel oder gerätespezifische Codes sollen traditionelle Passwörter überflüssig machen.

Der weltweite Markt für passwortlose Authentifizierung soll 2024 bereits knapp 18,5 Milliarden Euro erreichen. Über 70 Prozent aller Unternehmen planen oder implementieren bereits entsprechende Technologien.

“Echte passwortlose Authentifizierung bedeutet: keine wissensbasierten Geheimnisse mehr”, erklärt Julianna Lamb, CTO des Sicherheitsanbieters Stytch. Sie ist überzeugt, dass passwortlose Verfahren binnen zehn Jahren zum Branchenstandard werden.

Für Verbraucher ist die Botschaft klar: MFA auf allen wichtigen Konten aktivieren – von Banking über E-Mail bis Social Media. Es ist der wirksamste Schutz vor den digitalen Bedrohungen unserer Zeit.