Die größte Passwort-Entwendung der Geschichte hält die Cybersicherheit-Branche in Atem: 16 Milliarden Zugangsdaten sind bereits seit Juni im Umlauf.

Was zunächst als historischer Einzelfall schien, entpuppt sich als Auftakt einer neuen Ära der Cyberkriminalität. Die gigantische Datensammlung, die mehr als doppelt so viele Einträge enthält wie Menschen auf der Erde leben, versorgt Kriminelle mit einer beispiellosen Munition für Angriffe.

Erst in der vergangenen Woche demonstrierten Attacken auf das Luxuskaufhaus Harrods und die Tech-Plattform Salesloft, wie verheerend sich gestohlene Zugangsdaten auswirken können. Während bei Harrods 430.000 Kundendaten kompromittiert wurden, erschütterte der Salesloft-Hack über eine infiltrierte GitHub-Infrastruktur dutzende nachgelagerte Unternehmen.

Das Ausmaß des Mega-Leaks

Cybersicherheits-Experten von Cybernews, die den Fund zuerst publik machten, identifizierten etwa 30 separate Datensätze – einige davon mit bis zu 3,5 Milliarden Einträgen. Die Sammlung ist kein Resultat eines einzelnen Angriffs, sondern eine Aggregation aus zahllosen Vorfällen der Vergangenheit und Infostealer-Malware-Kampagnen.

Besonders brisant: Die Daten stammen nicht nur aus verstaubten, alten Hacks. Viele der Zugangsdaten sind frisch und damit hochgefährlich für sogenannte Credential-Stuffing-Attacken. Dabei bombardieren Kriminelle systematisch Online-Services mit gestohlenen Benutzerdaten, in der Hoffnung, dass Nutzer dieselben Passwörter mehrfach verwenden.

Die Tragweite war so gravierend, dass Google Milliarden seiner Nutzer zum Passwortwechsel aufrief und das FBI vor verdächtigen SMS-Links warnte.
Anzeige: Apropos Phishing-SMS und gestohlene Zugangsdaten: Viele Angriffe starten heute direkt am Smartphone. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone“ zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und PayPal vor Datendieben absichern – ohne teure Zusatz-Apps. Mit Checklisten, geprüften Einstellungen und praxisnahen Tipps. Jetzt das kostenlose Sicherheitspaket für Android anfordern

Supply-Chain-Angriffe als neue Bedrohung

Der Salesloft-Vorfall offenbarte eine besonders perfide Angriffsstrategie: Monate lang, zwischen März und Juni 2025, hatten sich Angreifer Zugang zum GitHub-Account des Unternehmens verschafft. Eine Untersuchung des Google-eigenen Sicherheitsunternehmens Mandiant enthüllte, wie die Kriminellen OAuth-Token stahlen und damit Zugangsdaten aus hunderten Salesforce-Instanzen abgriffen.

Die Auswirkungen waren verheerend: Renommierte Cybersicherheitsfirmen wie Palo Alto Networks, Zscaler und Proofpoint wurden als nachgelagerte Kunden in Mitleidenschaft gezogen. Ein einzelner kompromittierter Account löste eine Kettenreaktion durch die gesamte Software-Lieferkette aus.

Das Harrods-Debakel unterstrich parallel dazu, wie Angreifer zunehmend Drittanbieter als schwächstes Glied ins Visier nehmen. Obwohl das britische Luxuskaufhaus beteuerte, keine Passwörter oder Zahlungsinformationen seien betroffen gewesen, demonstriert der Vorfall die Verwundbarkeit vernetzter Geschäftsbeziehungen.

Paradigmenwechsel in der Cyberbedrohung

Die aktuellen Entwicklungen markieren eine strategische Neuausrichtung der Cyberkriminalität. Statt einzelne Ziele anzugreifen, kompilieren Hacker riesige Datensätze und nutzen die Vernetzung moderner IT-Infrastruktur systematisch aus.

Obwohl Tech-Riesen wie Google oder Facebook nicht direkt gehackt wurden, macht sie die Präsenz ihrer Nutzerdaten in der 16-Milliarden-Sammlung zu Hauptzielen automatisierter Angriffe. Diese Realität zwingt zu einer grundlegenden Neubewertung herkömmlicher Sicherheitsmaßnahmen.

Microsoft-Daten belegen: Zwei-Faktor-Authentifizierung kann 99,9 Prozent automatisierter Cyberangriffe blockieren. Die Mehrstufige Verifizierung entwickelt sich damit zur wichtigsten Verteidigung gegen den Missbrauch gestohlener Zugangsdaten.
Anzeige: Für alle, die 2-Faktor-Anmeldung aktivieren und ihr Handy richtig absichern wollen: Ein kompakter Gratis-Guide erklärt die 5 Maßnahmen, die Ihr Android in Minuten deutlich sicherer machen. Inklusive Schritt-für-Schritt-Anleitungen für Einstellungen, automatische Updates und App-Checks. Kostenloses Android-Sicherheitspaket herunterladen

Der Weg in die passwortlose Zukunft

Tech-Konzerne forcieren angesichts der Bedrohung verstärkt sicherere Alternativen wie Passkeys. Diese Technologie nutzt kryptografische Verfahren und biometrische Daten zur Authentifizierung – und ist resistent gegen Phishing sowie Server-seitige Datendiebstähle.

Bis dahin bleibt nur der Griff zu bewährten Schutzmaßnahmen: Wiederverwendete Passwörter ändern, Zwei-Faktor-Authentifizierung aktivieren und Wachsamkeit gegenüber Phishing-Versuchen. Denn während Cyberkriminelle ihre Methoden perfektionieren, liegt die Verantwortung sowohl bei Serviceanbietern als auch bei den Nutzern selbst, ihre digitale Identität zu schützen.