Zwei Milliarden Passwörter im Umlauf: Konten massenhaft bedroht

Während US-Behörden diese Woche neue Warnungen zu Ransomware-Bedrohungen herausgaben, schlagen Cybersecurity-Experten Alarm: Die Gefahr von Account-Übernahmen erreicht dramatische Ausmaße. Der Grund? Kriminelle haben Milliarden gestohlener Zugangsdaten systematisch zusammengeführt und setzen sie nun in automatisierten Angriffen gegen Unternehmen und Privatpersonen ein.

Allein in den vergangenen 72 Stunden aktualisierte die US-Cybersecurity and Infrastructure Security Agency (CISA) mehrfach ihre Warnmeldungen. Am 13. November erschien ein Update zur Akira-Ransomware-Variante, einen Tag später folgte ein neuer Eintrag im Katalog bekannter Sicherheitslücken. Doch hinter diesen spezifischen Bedrohungen verbirgt sich ein besorgniserregender Trend: Cyberkriminelle nutzen schwache oder gestohlene Zugangsdaten als bevorzugtes Einfallstor für verheerende Attacken. Und die Datenbasis dafür war noch nie so umfangreich wie heute.

Nie dagewesene Datenmengen verfügbar

Das Fundament der aktuellen Bedrohungslage bildet schiere Masse: Anfang November schloss der Benachrichtigungsdienst “Have I Been Pwned” (HIBP) die Indexierung eines gewaltigen Datensatzes ab, den die Threat-Intelligence-Firma Synthient bereitgestellt hatte. Dabei handelte es sich nicht um einen neuen Einzelvorfall, sondern um eine massive Zusammenführung von Daten aus Jahren verschiedener Datenpannen und Malware-Protokollen.

Viele Android-Nutzer übersehen diese fünf einfachen Schutzmaßnahmen — und genau das macht es Kriminellen leicht, gestohlene Zugangsdaten über Apps und Browser auszunutzen. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Multi-Faktor-Authentifizierung aktivieren, App-Berechtigungen kontrollieren, sichere Backups einrichten und verdächtige Zugriffe erkennen. Mit klaren Checklisten sichern Sie WhatsApp, Online-Banking, PayPal und Shopping-Apps sofort ab. Gratis-Sicherheitspaket für Android herunterladen

Der nun öffentlich bekannte Datensatz umfasst zwei distinkte Sammlungen: einen “Stealer Log”-Korpus mit 183 Millionen einzigartigen E-Mail-Adressen und Passwörtern, die konkreten Websites zugeordnet sind, sowie eine “Credential Stuffing”-Liste mit fast zwei Milliarden einzigartigen E-Mail-Adressen und 1,3 Milliarden Passwörtern. Eine am 14. November veröffentlichte Sicherheitsanalyse spricht von einer “waffenfähigen Roadmap” für Einbrüche in Unternehmens- und Privatkonten. Die schiere Verfügbarkeit dieser organisierten Datensammlung senkt die Einstiegshürde für Kriminelle dramatisch.

Vom geleakten Passwort zum Unternehmenseinbruch

Credential Stuffing lautet die Methode der Wahl: Angreifer setzen automatisierte Tools ein, die systematisch Milliarden geleakter Kombinationen aus Benutzernamen und Passwörtern gegen Login-Seiten unzähliger Dienste testen. Der Erfolg dieser Taktik basiert auf einer verbreiteten menschlichen Schwäche – der Wiederverwendung von Passwörtern. Nutzt jemand dasselbe Passwort für Social Media, E-Mail und geschäftliche SaaS-Anwendungen, gefährdet eine Datenpanne bei einem einzigen Dienst alle anderen.

Microsofts Berichte über die Bedrohungsgruppe “Midnight Blizzard” illustrieren die Tragweite: Der initiale Zugang erfolgte durch einen Password-Spray-Angriff auf ein veraltetes Test-Konto ohne Multi-Faktor-Authentifizierung. Diese einzelne Schwachstelle ermöglichte den Angreifern, sich festzusetzen, Privilegien auszuweiten und letztlich sensible Daten aus den E-Mail-Konten der Führungsebene zu exfiltrieren. Ein wiederverwendetes Passwort in einem scheinbar unwichtigen System kann zum unternehmensweiten Sicherheitsvorfall eskalieren.

Industrialisiertes Verbrechen

Credential Stuffing ist längst professionalisiert. Die Synthient-Daten, insbesondere die Stealer-Logs mit exakten Website-URLs zur Herkunft der Zugangsdaten, erleichtern gezielte Angriffe erheblich. Kriminelle müssen nicht mehr raten, wo eine bestimmte E-Mail-Passwort-Kombination funktionieren könnte.

Diese Kombination aus leichtem Zugang und Automatisierung macht jeden Online-Dienst zum potenziellen Ziel: Streaming-Plattformen, Online-Händler, Finanzportale und geschäftskritische Enterprise-Anwendungen. Das Ziel ist klar: Konten finden, bei denen Passwörter wiederverwendet wurden. Nach erfolgreichem Login folgen Finanzbetrug, Datendiebstahl oder die Kompromittierung weiterer Ziele im Umfeld des Opfers.

Paradigmenwechsel bei digitaler Identität

Die Zusammenführung dieser massiven Zugangsdaten-Listen markiert einen Wendepunkt. Zwar stammen die Daten selbst aus älteren Datenpannen, doch ihre Konsolidierung schafft eine mächtige, leicht zugängliche Ressource, die das Risiko von Account-Übernahmen im gesamten Internet signifikant erhöht. Passwort-basierte Authentifizierung allein genügt schlicht nicht mehr als Sicherheitsmaßnahme für sensible Konten.

Experten raten Organisationen, davon auszugehen, dass Zugangsdaten ihrer Mitarbeiter bereits kompromittiert und verfügbar sind. Der Microsoft-Vorfall mit dem Test-Konto demonstriert unmissverständlich: Die Sicherheitsperipherie ist nur so stark wie ihr schwächstes Glied. Security-Teams müssen ihre Perspektive ändern – nicht mehr allein Datenpannen verhindern, sondern von ihrem Eintreten ausgehen und die Auswirkungen durch Account-Absicherung minimieren.

Der Weg in die passwortlose Zukunft

Die Cybersecurity-Branche beschleunigt ihre Abkehr von traditionellen Passwörtern. Die wichtigste sofortige Verteidigungsmaßnahme für Privatpersonen und Unternehmen: die flächendeckende Einführung von Multi-Faktor-Authentifizierung (MFA). Durch die Anforderung einer zweiten Verifikationsform werden gestohlene Passwörter wertlos, sofern Angreifer keinen Zugriff auf das physische Gerät oder biometrische Daten des Nutzers haben.

Darüber hinaus sollten Unternehmen ungenutzte Konten deaktivieren, starke Passwort-Richtlinien durch Password-Manager durchsetzen und ihre Internet-Exposition überprüfen. Für Verbraucher gilt: Nutzen Sie für jeden Online-Dienst ein einzigartiges, starkes Passwort und aktivieren Sie MFA, wo immer möglich. Bei der schieren Menge kompromittierter Daten ist Passwort-Wiederverwendung keine Frage mehr, ob sie zur Kompromittierung führt, sondern wann. Die fortlaufenden CISA-Warnungen unterstreichen: Proaktive Verteidigung ist die einzige tragfähige Strategie.

PS: Gerade weil Angreifer jetzt auf riesige Datensammlungen zugreifen, lohnt es sich, das Smartphone als erste Verteidigungslinie zu härten. Der Guide zeigt, welche Einstellungen speziell PayPal-, Banking- und Messenger-Apps zuverlässig schützen, wie Sie automatische Logins prüfen und welche Frühwarnzeichen auf eine Kontoübernahme hindeuten. Schon wenige Maßnahmen senken das Risiko deutlich. Jetzt Android-Schutz-Ratgeber anfordern