Künstliche Intelligenz macht Passwort-Hacking zur Minutensache. Nach beispiellosen Datenlecks mit 16 Milliarden kompromittierten Nutzerkonten warnen Experten vor einem Wendepunkt in der Cybersicherheit. Die Kombination aus massenhaft gestohlenen Zugangsdaten und KI-gestützten Angriffswerkzeugen stellt herkömmliche Passwort-Strategien grundlegend infrage.

Rekordjahr der Datenlecks

2025 markiert einen düsteren Meilenstein in der Geschichte der Cyberkriminalität. Im Juni entdeckten Sicherheitsforscher eines der größten und gefährlichsten Datenlecks aller Zeiten: 30 riesige Datensätze mit insgesamt 16 Milliarden Benutzernamen und Passwörtern.

Das Besonders Alarmierende? Diese Daten stammen nicht aus veralteten Datenbanken, sondern wurden durch moderne Malware direkt von infizierten Computern abgeschöpft. Die sogenannte "Infostealer-Malware" sammelt heimlich gespeicherte Zugangsdaten für alle erdenklichen Dienste – von Google und Facebook bis hin zu Regierungsportalen.

Cyberkriminelle nutzen diese frischen, strukturierten Daten sofort für automatisierte Angriffe. Dabei testen Bots die gestohlenen Login-Daten massenhaft auf anderen Websites – ein Verfahren, das als "Credential Stuffing" bekannt ist.

KI revolutioniert das Passwort-Knacken

Was früher Stunden oder Tage dauerte, erledigt künstliche Intelligenz heute in Minuten. Das KI-Tool "PassGAN" kann über 51 Prozent gebräuchlicher Passwörter in weniger als einer Minute knacken.

Das Geheimnis liegt in neuronalen Netzwerken, die aus riesigen Datensätzen früherer Lecks lernen und Passwort-Muster vorhersagen können. Diese technologische Revolution macht selbst vermeintlich sichere Passwörter mit einfachen Buchstaben-Zahlen-Kombinationen praktisch wertlos.

Die Cybersicherheitsbehörde CISA hat ihre Empfehlungen bereits angepasst: Statt komplexer Zeichenkombinationen stehen nun Passwörter mit mindestens 16 Zeichen im Fokus – denn Länge schlägt Komplexität.

Professionelle Hackergruppen perfektionieren ihre Methoden

Während automatisierte Angriffe zunehmen, entwickeln sich auch menschliche Angriffstechniken weiter. Die Hackergruppe "Scattered Spider" hat 2025 ihre Kampagnen gegen Großunternehmen aus Einzelhandel, Luftfahrt und Versicherung massiv ausgeweitet.

Die Gruppe meistert das sogenannte Social Engineering mit perfider Raffinesse. Angreifer geben sich am Telefon als IT-Helpdesk-Mitarbeiter aus und manipulieren Angestellte dazu, Passwörter zurückzusetzen oder Zwei-Faktor-Authentifizierung zu bestätigen.

Noch beunruhigender: Die Kriminellen schleusen sich inzwischen in Unternehmens-Kommunikationskanäle wie Slack und Microsoft Teams ein. So verfolgen sie Sicherheitsmaßnahmen in Echtzeit und passen ihre Angriffsmethoden entsprechend an.

Der perfekte Sturm für Identitätsdiebstahl

Die Kombination aus Milliardendefacits kompromittierten Zugangsdaten, KI-Knacksoftware und raffinierten Manipulationstechniken schafft ideale Bedingungen für Identitätsdiebstahl. Das Rohmaterial liefern die Datenlecks, die Verarbeitungsgeschwindigkeit steuert die KI bei, die letzten Sicherheitslücken schließen die Hacker durch gezielte Manipulation.

Sicherheitsexperten empfehlen daher einen Paradigmenwechsel. Das amerikanische Normungsinstitut NIST hat seine Richtlinien bereits überarbeitet: Statt erzwungener, regelmäßiger Passwort-Änderungen – die oft zu schwächeren Passwörtern führen – stehen jetzt lange, einzigartige Phrasen für jeden Account im Mittelpunkt.

Die wichtigste Verteidigungslinie bleibt jedoch die Zwei-Faktor-Authentifizierung. Laut CISA blockiert sie 99,9 Prozent aller automatisierten Cyberangriffe, da Kriminelle zwar gestohlene Passwörter besitzen, aber nicht den zweiten Verifikationsfaktor.

Anzeige: Wenn Ihr Smartphone der zweite Schlüssel für Ihre Konten ist, sollte es bestmöglich geschützt sein. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Maßnahmen, mit denen Android-Nutzer WhatsApp, Online‑Banking, PayPal und Shopping zuverlässig absichern – ohne teure Zusatz‑Apps, Schritt für Schritt erklärt. Holen Sie sich jetzt den praxisnahen Ratgeber und schließen Sie häufig übersehene Lücken. Kostenloses Android‑Sicherheitspaket sichern

Farewell Password: Der Weg in die passwortlose Zukunft

Das Ausmaß der Passwort-Problematik beschleunigt den Übergang zu einer passwortlosen Welt. Die Technologiebranche vereint sich hinter "Passkeys" – einem neuen Standard von Apple, Google und Microsoft, der Passwörter durch kryptografische Schlüssel auf dem Nutzergerät ersetzt.

Über 97 Prozent aller Mobilgeräte und Desktop-Computer unterstützen bereits Passkeys. Die technische Grundlage für den Wandel steht also. Auch Unternehmen ziehen nach: Laut einem Bericht der FIDO-Allianz haben 87 Prozent aller Organisationen Passkey-Lösungen bereits eingeführt oder befinden sich im Implementierungsprozess.

Anzeige: Passkeys und 2FA machen Ihr Gerät zum Tresor – doch nur, wenn das Smartphone selbst gut abgesichert ist. Der kostenlose Ratgeber für Android erklärt in klaren Schritten die 5 wichtigsten Schutzmaßnahmen, die im Alltag wirklich zählen – von App‑Sperren bis Updates und geprüften Berechtigungen. Ideal für alle, die Online‑Banking, PayPal und Shops mobil nutzen. Jetzt Android sicher einrichten – gratis herunterladen

Frühe Anwender berichten von deutlichen Sicherheitsverbesserungen, einschließlich drastischer Rückgänge bei Phishing-Angriffen und Kontoübernahmen. Zwar werden Passwörter nicht über Nacht verschwinden, doch der unerbittliche Druck durch Datenlecks und KI-Angriffe macht ihren Untergang unaufhaltsam.