Ein neuer Rekord der besorgniserregenden Art: Der Dienst Have I Been Pwned (HIBP) hat Anfang November das bislang größte Datenleck seiner Geschichte verarbeitet – 2 Milliarden eindeutige E-Mail-Adressen, kombiniert mit 1,3 Milliarden Passwörtern. Die Daten stammen aus massiven Listen für Credential Stuffing und wurden vom Sicherheitsunternehmen Synthient aus zahllosen dubiosen Online-Quellen zusammengetragen. Was bedeutet das konkret? Diese Login-Daten zirkulieren bereits im digitalen Untergrund und dienen Cyberkriminellen als Munition für automatisierte Angriffe auf Nutzerkonten.

Das Beunruhigende daran: Die schiere Masse dieser Datensätze zeigt, dass Zugangsdaten, die einst als privat galten, längst in falsche Hände geraten sind. Sie warten nur darauf, ausgenutzt zu werden. Und das in einer Zeit, in der Menschen immer noch "123456" als Passwort verwenden – trotz stetig wachsender Cyberbedrohungen.

Wenn ein Passwort viele Türen öffnet

Credential Stuffing funktioniert nach einem simplen Prinzip: Angreifer setzen Bots ein, die Millionen gestohlener Login-Kombinationen pro Stunde durchprobieren – auf Banking-Portalen, Social-Media-Plattformen, Online-Shops. Der Trick? Sie setzen darauf, dass Menschen dasselbe Passwort für mehrere Dienste verwenden.

Und genau das tun sie. Verizons Untersuchungsbericht zu Datenlecks 2025 zeigt: Bei 22 Prozent aller analysierten Sicherheitsvorfälle waren kompromittierte Zugangsdaten der Einstiegspunkt. Noch alarmierender: Bei Nutzern, deren Anmeldedaten durch Schadsoftware gestohlen wurden, waren nur 49 Prozent der Passwörter über verschiedene Dienste hinweg einzigartig. Ein gestohlenes Passwort kann also gleich mehrere Konten öffnen.

Ein aktuelles Beispiel lieferte diese Woche TEXITcoin. Am 5. November räumte das Unternehmen ein, dass ein kompromittiertes Admin-Konto einem Angreifer Zugang zu Backend-Funktionen verschaffte – mit Folgen für Hunderte Nutzerkonten. Studien belegen: Schwache oder wiederverwendete Passwörter sind für über 80 Prozent aller Sicherheitsverletzungen mitverantwortlich.

Fast drei Millionen Sicherheitsbewusste betroffen

Die Dimensionen des neuen HIBP-Datensatzes sind gewaltig: Mit knapp zwei Milliarden E-Mail-Adressen ist er dreimal größer als jeder zuvor verarbeitete. Besonders brisant: 625 Millionen Passwörter waren völlig neu in der HIBP-Datenbank – sie tauchten dort zum ersten Mal auf.

Die Daten wurden das ganze Jahr 2025 über aus Darknet-Foren, Telegram-Kanälen und anderen Marktplätzen zusammengetragen, auf denen Cyberkriminelle gestohlene Informationen handeln. Selbst sicherheitsbewusste Nutzer sind nicht sicher: Von den 5,9 Millionen HIBP-Abonnenten, die aktiv nach Lecks Ausschau halten, fanden sich 2,9 Millionen in diesem neuen Datensatz wieder. Fast die Hälfte also. HIBP-Gründer Troy Hunt verifizierte die Echtheit durch Rückfragen bei Betroffenen – viele bestätigten, dass die offengelegten Passwörter echt waren. Manche nutzen sie sogar noch immer.

Warum "123456" nicht totzukriegen ist

Trotz jahrelanger Warnungen bleiben die Nutzergewohnheiten die größte Schwachstelle. Berichte von Mitte November bestätigen: "123456" und "admin" führen weiterhin die Ranglisten der meistgenutzten – und am leichtesten zu knackenden – Passwörter an. Warum? Menschen priorisieren Bequemlichkeit und Merkbarkeit über Sicherheit. Sie recyceln simple Passwörter über mehrere sensible Konten hinweg.

Im Unternehmensumfeld verschärft sich das Problem noch. Ein aktueller Bericht zur Browser-Sicherheit zeigt: Mitarbeiter greifen häufig mit privaten oder wiederverwendeten Zugangsdaten auf Firmenanwendungen zu und umgehen damit zentrale Sicherheitsmechanismen wie Single Sign-On (SSO). Der Browser wird so zum blinden Fleck – und zur Angriffsfläche für Identitätsdiebstahl und Datenverlust.

Was wirklich schützt: Länge statt Komplexität

Die Expertenempfehlungen haben sich gewandelt. Das US-amerikanische National Institute of Standards and Technology (NIST) rät mittlerweile von zwanghafter Komplexität und häufigen Passwort-Änderungen ab. Studien zeigten: Diese Vorgaben führten zu Ermüdung und vorhersehbaren Anpassungen ("Passwort2024!" wird zu "Passwort2025!").

Stattdessen setzen Sicherheitsprofis heute auf Länge und Einzigartigkeit. Passphrasen – längere Wortketten, die sich Menschen leichter merken können – gelten als empfehlenswert, idealerweise mit mindestens 12 bis 16 Zeichen. Die wirksamste Verteidigung gegen Passwort-Recycling? Für jeden Online-Dienst ein einzigartiges, starkes Passwort verwenden.

Da kaum jemand Dutzende oder Hunderte unterschiedliche Passwörter im Kopf behalten kann, sind Passwort-Manager unverzichtbar geworden. Und wo immer möglich, sollte die Zwei-Faktor-Authentifizierung (2FA) aktiviert werden – eine zusätzliche Sicherheitsschicht, die Angreifer selbst dann stoppt, wenn sie das richtige Passwort haben.

Passwortlose Zukunft – aber noch nicht heute

Die Branche bewegt sich langsam in Richtung passwortloser Technologien. Passkeys nutzen kryptografische Verfahren, die an ein physisches Gerät gebunden sind – Phishing und Credential-Diebstahl werden dadurch praktisch unmöglich. Google, PayPal und Amazon haben bereits damit begonnen. Doch die breite Einführung steht noch am Anfang. Traditionelle Passwörter bleiben vorerst Teil der Sicherheitslandschaft.

Was können Sie jetzt tun? Besuchen Sie haveibeenpwned.com und prüfen Sie, ob Ihre E-Mail-Adresse in diesem oder anderen Datenlecks auftaucht. Falls ja: Ändern Sie sofort das Passwort für diesen Dienst – und überall sonst, wo Sie es vielleicht wiederverwendet haben. Für Unternehmen gilt: Die Sicherheitsgrenze verläuft heute durch die Browser und Heimnetzwerke der Mitarbeiter. Investitionen in Passwort-Manager für Teams, konsequente 2FA-Durchsetzung und kontinuierliche Schulungen sind keine Option mehr – sie sind überlebensnotwendig.