Streaming-Gigant Plex zwingt Nutzer heute zum Passwort-Reset, nachdem Cyberkriminelle eine Datenbank mit E-Mails und Passwörtern erbeuteten. Das Unternehmen versichert, die Zugangsdaten seien "sicher verschlüsselt" gewesen - trotzdem müssen alle 25 Millionen Nutzer ihre Kennwörter ändern.

Besonders brisant: Bereits 2022 erlebte Plex einen fast identischen Angriff. Die Wiederholung wirft Fragen zur Cybersicherheit des Unternehmens auf und zeigt ein wachsendes Problem der Branche.

Der Hack reiht sich ein in eine Serie spektakulärer Cyberangriffe, die in den vergangenen Wochen Millionen von Nutzerdaten preisgaben. Von Air France über Google bis zu Cybersicherheitsfirmen - Hacker nutzen systematisch Schwachstellen in Drittanbieter-Diensten aus.

Millionenschäden durch recycelte Passwörter

Die gestohlenen Zugangsdaten landen auf dem Schwarzmarkt und befeuern sogenannte "Credential-Stuffing"-Attacken. Dabei testen automatisierte Programme die erbeuteten Passwörter an Millionen anderen Websites. Das Kalkül der Kriminellen: Viele Nutzer verwenden identische Zugangsdaten für mehrere Dienste.

Die Rechnung geht auf. Unternehmen verlieren durchschnittlich 5,5 Millionen Euro jährlich durch solche Attacken, zeigt eine Studie des Ponemon Institute. Allein 2024 registrierten Sicherheitsexperten 193 Milliarden Credential-Stuffing-Versuche weltweit.

Finanzdienstleister, Online-Händler und Gesundheitsunternehmen stehen besonders im Visier der Cyberkriminellen. Die schiere Masse macht Abwehr schwierig - pro Sekunde prasseln tausende Login-Versuche auf die Server.

Salesforce-Schwachstelle öffnet Hintertür

Der Plex-Hack folgt einem beunruhigenden Muster. Im August kompromittierten die berüchtigten "ShinyHunters" die Salesforce-Anwendung Drift und erbeuteten OAuth-Token von hunderten Unternehmen. Diese digitalen Schlüssel öffneten Hackern Tür und Tor zu vertraulichen Kundendaten.

Die Angreifer nutzten eine raffinierte Strategie: Statt die starken Sicherheitsmauern großer Konzerne frontal anzugreifen, suchten sie sich schwächere Glieder in der digitalen Lieferkette. Einmal drin, sprangen sie von System zu System - wie Piraten, die von Schiff zu Schiff hüpfen.

Air France-KLM bestätigte den Datendiebstahl von Namen, Kontaktdaten und Vielfliegernummern durch die kompromittierte Kundenservice-Plattform. Auch Google, die Kreditauskunftei TransUnion und Cybersicherheitsfirmen wie Palo Alto Networks meldeten Datenlecks.

Zero-Trust wird zur Überlebensstrategie

Die Angriffswelle zeigt die Grenzen traditioneller IT-Sicherheit auf. Firewalls und Antivirenprogramme versagen, wenn Angreifer bereits "im Haus" sind. Sicherheitsexperten fordern einen Paradigmenwechsel hin zu "Zero Trust" - dem Grundsatz "Niemals vertrauen, immer überprüfen".

Das bedeutet: Jeder Nutzer und jedes Gerät muss sich kontinuierlich authentifizieren, egal wo es sich befindet. Unternehmen müssen ihre gesamte digitale Lieferkette im Blick behalten und Drittanbieter strengstens überwachen.

Die US-Cybersicherheitsbehörde CISA drängt auf Zwei-Faktor-Authentifizierung (2FA). Nutzer mit aktivierter 2FA haben ein 99 Prozent geringeres Hack-Risiko. Trotzdem nutzt gerade mal jeder dritte Deutsche diese Schutzfunktion.
Anzeige: Apropos Sicherheit im Alltag: Viele Angriffe zielen heute direkt auf das Smartphone – von Phishing bis Kontoübernahme. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android Schritt für Schritt, ganz ohne teure Zusatz-Apps. Jetzt das kostenlose Android-Sicherheitspaket sichern

Der Weg in die passwortlose Zukunft

Langfristig könnte biometrische Authentifizierung oder Hardware-Token das Passwort-Problem lösen. Bis dahin bleibt nur eiserne Disziplin: Einzigartige Passwörter für jeden Dienst, Passwort-Manager zur Verwaltung und Zwei-Faktor-Authentifizierung wo möglich.

Doch die Zeit drängt. Während Unternehmen ihre Sicherheitsstrategien überdenken, häufen Cyberkriminelle täglich neue Datenschätze an. In diesem digitalen Wettrüsten entscheidet am Ende die Stärke des schwächsten Glieds über Sieg oder Niederlage.