25. Juni, 2025

Global

16 Milliarden Passwörter im Umlauf – und keiner ist sicher

Ein beispielloses Datenleck legt offen, wie sorglos im digitalen Raum mit unseren Zugangsdaten umgegangen wird. Die Zahl ist monströs – und trotzdem verschwindet das Thema schon wieder von der Bildfläche.

16 Milliarden Passwörter im Umlauf – und keiner ist sicher
16 Milliarden Einträge bedeuten im Schnitt mehr als zwei kompromittierte Konten pro Internetnutzer weltweit. Die meisten stammen aus aktiver Infostealer-Malware – nicht aus veralteten Leaks.

Keine Warnung, kein Alarm – nur offene Türen

Die Zahl steht wie ein Monument der Fahrlässigkeit im Raum: 16 Milliarden Zugangsdaten, frei zugänglich, unverschlüsselt, zum Teil hochaktuell.

Facebook, Apple, Google, GitHub, Telegram, Behörden – es gibt kaum eine Plattform, für die sich in den geleakten Datenbanken nicht irgendein Login findet. Und trotzdem: keine großen Schlagzeilen, kein Aufschrei. Warum eigentlich nicht?

Das größte Datenleck, von dem kaum jemand spricht

Die Recherchen stammen von der Redaktion des Tech-Portals Cybernews. Sie haben in insgesamt 30 Datenbanken gestöbert – darunter einzelne Pakete mit über 3,5 Milliarden Einträgen.

Zusammengenommen: 16 Milliarden. Eine Zahl, bei der selbst Profis kurz schlucken müssen. Es handelt sich nicht um irgendeinen historischen Fund. Die Daten sind frisch. Und sie sind verwertbar.

Wie das passieren konnte? Infostealer-Malware ist die Antwort – also Schadsoftware, die auf befallenen Rechnern still und effizient Login-Daten abgreift. Sobald Nutzer etwa eine manipulierte PDF öffnen oder sich eine vermeintlich harmlose Erweiterung installieren, beginnt die Jagd. Gespeicherte Passwörter, Authentifizierungscookies, Tokens – alles wird abgesaugt.

Kein Hack bei Apple oder Google – und trotzdem betroffen

Zugegeben: Es klingt dramatischer, wenn man schreibt, Apple oder Facebook seien „gehackt“ worden. Fakt ist: Das sind sie nicht. Und trotzdem finden sich Login-Daten zu ihren Diensten in den Leaks.

Der Grund ist simpel: Die Schwachstellen liegen auf Nutzerebene. Malware greift lokal an, über den Browser, über gecrackte Software, über dubiose Mails.

Dabei spielt es keine Rolle, wie groß oder sicher das Unternehmen auf dem Papier ist. Wenn ein Login-Token einmal erbeutet wurde, reicht das in vielen Fällen aus, um Zwei-Faktor-Systeme auszuhebeln. Wer es darauf anlegt, kann mit wenig Aufwand ganze Identitäten kapern.

Statt wie früher in Telegram-Gruppen oder Foren zu kursieren, tauchen die neuen Datensätze zunehmend offen in ungesicherten Cloud-Diensten auf – abrufbar für jeden, der weiß, wonach er sucht.

Der Wandel im digitalen Untergrund

Interessant ist nicht nur das Ausmaß des Leaks – sondern auch der Weg, wie die Daten veröffentlicht wurden. Früher landeten solche Sammlungen in geschlossenen Foren oder Telegram-Gruppen.

Heute tauchen sie plötzlich offen im Netz auf. Elasticsearch-Instanzen, Cloud-Speicher ohne Passwort – öffentlich auffindbar, für jeden, der weiß, wo er suchen muss.

Der Unterschied: Die Betreiber scheinen keinen Aufwand mehr zu betreiben, ihre Spuren zu verwischen. Entweder ist es ihnen egal – oder sie haben ohnehin nichts zu befürchten.

Warum die Passwörter von gestern noch heute gefährlich sind

Oft wird bei solchen Leaks abgewunken: zu alt, zu viele Duplikate, alles halb so wild. Doch das stimmt hier nicht. Laut den Experten von Cybernews handelt es sich um aktuelle Datensätze. Und selbst wenn sich manche Einträge doppeln – bei 16 Milliarden Zeilen bleiben am Ende immer noch Millionen gültiger Logins.

Besonders brisant: Die Struktur der Daten. URL, Nutzername, Passwort. Teilweise ergänzt um Tokens und Cookies. Wer Zugriff darauf bekommt, kann sich mit wenigen Klicks in Accounts einloggen – bei Unternehmen, bei E-Mail-Diensten, bei Cloud-Plattformen. Wer ein bisschen technisches Verständnis hat, kann aus diesen Daten sehr viel Schaden anrichten.

Verantwortung? Fehlanzeige.

Es ist bezeichnend, wie wenig Konsequenzen derartige Vorfälle in der Regel nach sich ziehen. Nutzer sind selten informiert, Unternehmen berufen sich auf „fehlende Zuständigkeit“, Behörden winken ab – Datenschutz, ja, aber bitte ohne operative Verantwortung.

Ein Nutzer auf Reddit bringt es auf den Punkt:
„Solange Datenlecks keine echten Folgen haben, wird sich nichts ändern. Erst wenn Firmen haften, fangen sie an, ihre Systeme ernsthaft abzusichern.“

Ein hartes Urteil. Aber wahrscheinlich ein wahres.

Was jetzt zu tun ist – und was längst überfällig wäre

Für Nutzer heißt das: Passwörter ändern. Zwei-Faktor-Authentifizierung aktivieren. Einen Passwort-Manager nutzen, um sich nicht in der eigenen Notlösung zu verheddern. Und vor allem: nicht überall dasselbe Passwort verwenden.

Für Unternehmen heißt das: Systeme absichern, Datensätze regelmäßig prüfen, Sicherheitsupdates nicht monatelang aufschieben. Aber vor allem heißt es: endlich Verantwortung übernehmen – auch, wenn es wehtut.

Denn 16 Milliarden Datensätze zeigen nicht nur ein technisches Problem. Sie zeigen ein systemisches Versagen.

Das könnte Sie auch interessieren:

Hornbach blüht auf – doch für Großprojekte fehlt der Mut
Ein sonniger Frühling bringt Hornbachs Baumärkte in Schwung: Mehr Kundschaft, volle Einkaufswagen und ein zweistelliges Ebit-Plus. Doch der Vorstand bleibt vorsichtig – und rechnet nicht mit einem nachhaltigen Boom.
InvestmentWeekInvestmentWeek