Ein dramatischer Anstieg bei Passwort-Diebstahl und automatisierten Angriffen gefährdet Millionen von Nutzerkonten. Cybersicherheits-Experten melden für 2025 eine erschreckende Zunahme um 160 Prozent bei kompromittierten Zugangsdaten im Netz. Eine Entwicklung, die das Bedrohungsspektrum grundlegend verändert hat: Angreifer müssen nicht mehr hacken – sie loggen sich einfach mit gestohlenen Daten ein.

Diese Welle führt zu massenhaften Kontoübernahmen, Finanzbetrug und dem Diebstahl höchst persönlicher Informationen. Betroffen sind Automobilkonzerne und Banken ebenso wie Krankenakten von Patienten und sogar Daten von Kleinkindern.

Das neue Lieblings-Werkzeug: Automatisierte Angriffe

Der Kern der aktuellen Bedrohung liegt im sogenannten "Credential Stuffing". Cyberkriminelle verwenden dabei riesige Datenbanken mit Benutzernamen und Passwörtern aus früheren Datenlecks und schleusen diese automatisiert in unzählige andere Websites ein. Der Erfolg basiert auf einem weit verbreiteten Sicherheitsfehler: der Wiederverwendung von Passwörtern.

Nutzt jemand dasselbe Passwort für E-Mail, Banking und soziale Medien, erhalten Angreifer durch ein einziges Datenleck den Schlüssel zu allen Konten.

Künstliche Intelligenz macht diese Attacken gefährlicher denn je. KI-gestützte Tools automatisieren Angriffe in Millionenfachem Umfang, umgehen grundlegende Sicherheitsmaßnahmen wie CAPTCHAs und lernen aus vergangenen Versuchen. Die Erfolgsquote einiger Credential-Stuffing-Angriffe ist dank KI-Modellen von mageren 5 Prozent auf über 50 Prozent hochgeschnellt.

Laut Verizons Datenschutzbericht 2025 waren gestohlene Zugangsdaten die Ursache für fast ein Viertel aller Datenlecks im vergangenen Jahr.

Anzeige: Apropos Kontoschutz: Viele Angriffe laufen heute über das Smartphone – von Phishing-SMS bis Banking-Apps. Viele Android-Nutzer übersehen dabei 5 einfache, wirkungsvolle Schutzmaßnahmen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und PayPal ohne teure Zusatz-Apps absichern – inklusive Checklisten und Einstellungen. Jetzt das kostenlose Sicherheitspaket für Android anfordern

September-Bilanz: Eine Kaskade verheerender Sicherheitsvorfälle

Die Auswirkungen dieser Bedrohungslage zeigten sich besonders dramatisch im September 2025. Der Automobilriese Jaguar Land Rover musste Anfang des Monats die Produktion in wichtigen britischen Werken stoppen, nachdem Angreifer über kompromittierte Zugangsdaten eines Projektmanagement-Tools eingedrungen waren. Die Störung während einer wichtigen Verkaufsperiode führte zu erheblichen finanziellen Verlusten.

Noch persönlicher wurde es für Familien: Am 25. September behauptete die Ransomware-Gruppe "Radiant", Namen, Adressen und Fotos von rund 8.000 Kindern der Kindertagesstätten-Kette Kido gestohlen zu haben. Die Erpresser forderten Lösegeld sowohl vom Unternehmen als auch direkt von den Eltern.

Einen Tag später wurde bekannt, dass eine ungeschützte Datenbank beim US-amerikanischen Pflegedienst Archer Health die sensiblen persönlichen und medizinischen Daten von fast 150.000 Patienten preisgegeben hatte. Am 27. September kamen Berichte über einen unsicheren Cloud-Server ans Licht, der über 273.000 Banküberweisungsdaten mehrerer indischer Finanzinstitute offenlegte.

Lieferketten im Visier: Das versteckte Risiko

Besonders gefährlich sind Angriffe über Drittanbieter und vernetzte Software-Plattformen. Viele jüngste Attacken zielten nicht direkt auf Konzerne, sondern nutzten schwächere Sicherheit bei deren Zulieferern aus.

Ein großangelegter Supply-Chain-Angriff über die beliebte Salesforce-Plattform traf zahlreiche globale Marken, darunter Google, Cisco und TransUnion. Über 5 Millionen Kundendatensätze wurden kompromittiert. Angreifer infiltrierten Drittanbieter-Anwendungen mit Salesforce-Anbindung und konnten so Kundendaten stehlen und sogar hochgradig überzeugende Phishing-E-Mails von vertrauenswürdigen Plattformen versenden.

Selbst Verbraucher, die ihre Daten renommierten Unternehmen anvertrauen, sind gefährdet. Ein Einbruch bei einem kleineren, weniger gesicherten Dienstleister kann einen Domino-Effekt auslösen.

Paradigmenwechsel: Neue Regeln für Passwort-Sicherheit

Die aktuelle Lage zwingt zu einem Umdenken bei der Cybersicherheit. Jahrelang rieten Experten zu häufigen Passwort-Wechseln und komplexen Zeichenkombinationen. Doch neue Richtlinien des National Institute of Standards and Technology aus 2025 haben sich von der obligatorischen Passwort-Erneuerung abgewandt.

Studien zeigen: Erzwungene, häufige Resets führen oft zu schwächeren, vorhersagbareren Passwörtern wie "Passwort123!" oder "Passwort124!".

Der Fokus liegt nun auf Passwort-Länge und Einzigartigkeit. Sicherheitsexperten sind sich einig: Ein langes, einzigartiges Passwort für jeden Account ist die wirksamste Verteidigung gegen Credential Stuffing. Das FBI warnte sogar davor, Passwörter nach bestimmten Compomittierungen sofort zurückzusetzen, da Cyberkriminelle Helpdesk- und Kontowiederherstellungsprozesse ausnutzen.

Blick voraus: Das Ende der Passwort-Ära

Da Angreifer immer geschickter beim Stehlen und Ausnutzen von Passwörtern werden, beschleunigt die Branche den Übergang in eine passwortlose Zukunft. Technologien wie Passkeys, die kryptographische Prinzipien mit Nutzergeräten verknüpfen, werden zunehmend eingesetzt. Diese sind resistent gegen Phishing und können bei Datenlecks nicht gestohlen werden.

Für Verbraucher empfehlen Experten eine mehrstufige Verteidigungsstrategie:

  • Passwort-Manager nutzen: Zur Erzeugung und Speicherung langer, einzigartiger und komplexer Passwörter
  • Multi-Faktor-Authentifizierung aktivieren: Als wichtige zweite Sicherheitsebene
  • Datenlecks überwachen: Services nutzen, die das Web nach kompromittierten Zugangsdaten durchsuchen
  • Wachsamkeit bewahren: Aufmerksamkeit für ausgefeilte Phishing-E-Mails und -SMS

Anzeige: Für alle, die ihre Geräte schnell sicherer machen möchten: Diese 5 Maßnahmen erhöhen den Schutz Ihres Android‑Smartphones spürbar – von Bildschirmsperre und Update-Strategie bis App‑Prüfungen und Netzwerkschutz. Der Gratis‑Leitfaden führt Sie in wenigen Minuten durch alle Schritte, verständlich erklärt und ohne Fachchinesisch. Kostenlosen Android‑Sicherheitsleitfaden herunterladen

Die Ära leicht merkbarer, wiederverwendeter Passwörter ist vorbei. Die Ereignisse von 2025 haben klargestellt: Im Zeitalter automatisierter, KI-gestützter Angriffe ist proaktive Kontosicherheit für jeden Internetnutzer nicht mehr optional, sondern überlebenswichtig.