Cyberexperten haben Milliarden von Zugangsdaten und Passwörtern für Onlinedienste ungeschützt im Internet gefunden – "Heute" hat darüber berichtet. Aber ist der Leak wirklich neu? Muss man nun etwas tun? Und wie gefährlich ist das Leck?
Yves Kraft, Leiter der Cyber Security Academy beim Schweizer Cybersecurity-Spezialist Oneconsult, beantwortet die wichtigsten Fragen.
Herr Kraft, wie viele Datensätze sind vom Leak betroffen?
Der Leak enthält 26 Milliarden Datensätze, die größtenteils aus bereits bekannten Passwörtern bestehen. Es handelt sich also um eine Zusammenstellung aus unterschiedlichen Datenpannen.
Ist das der größte Datenleak der Geschichte?
Es gab auch schon in der Vergangenheit größere Datenleaks, bei denen mehrere Millionen Datensätze publiziert wurden. Nichtsdestotrotz redet man in der Branche in diesem Fall von der "Mother of all Breaches".
Enthält der Leak wirklich mehr Passwörter, als es Menschen gibt?
Da die Leute ihre Passwörter mehrheitlich nie ändern, ist es gar nicht möglich, auf eine so große Anzahl an neuen gehackten Passwörtern zu kommen – selbst wenn es mehrere Konten pro Person betreffen würde.
Woher kommen die Daten?
Es gibt noch keine genauen Angaben über die Herkunft der Daten. Sicher ist, dass viele aus bekannten Diensten wie Myspace, Twitter, Deezer, Linkedin, Adultfriendfinder, Badoo, Dropbox und Telegram stammen.
Welche Anbieter haben am meisten Daten verloren?
Laut Cybernews sind Tencent (1,4 Milliarden kompromittierte Datensätze), Weibo (504 Millionen) und Myspace (360 Millionen) am stärksten betroffen. Aber auch Twitter (281 Millionen), Deezer (258 Millionen), Linkedin (251 Millionen), Adobe (153 Millionen), Canva (143 Millionen) und Dropbox (69 Millionen) haben viele Daten verloren.
Wie findet man heraus, ob man vom Leak betroffen ist oder nicht?
Über Plattformen wie "Have I Been Pwned" und den "Identity Leak Checker" des Hasso-Plattner-Instituts. Dort kann man mit seiner E-Mail-Adresse prüfen, ob sie in einem Datenleak auftaucht. Wobei Troy Hunt, der Betreiber von "Have I Been Pwned", den neuen Leak nicht in seine Datenbank integriert, weil es sich nicht um neue Daten handelt.
Also ist alles okay, wenn meine E-Mail dort nicht auftaucht?
Die genannten Dienste erkennen nur öffentlich gewordene Leaks – viele Datenabflüsse bleiben lange unbemerkt oder werden gar nie veröffentlicht.
Was muss man tun, wenn man betroffen ist?
Sofort das Passwort ändern – und zwar überall dort, wo man dasselbe verwendet hat. Am besten gleich einen Passwortmanager nutzen, um überall ein starkes, einzigartiges Passwort zu vergeben. Zusätzlich sollte man die Zwei-Faktor-Authentifizierung aktivieren, wo immer möglich.
Reicht das?
Bei besonders sensiblen Accounts (zum Beispiel E-Mail und Banking) kann es auch sinnvoll sein, nach unautorisierten Aktivitäten zu suchen und im Zweifelsfall den Support zu kontaktieren.
Welche Passwortmanager empfehlen Sie?
Es gibt zahlreiche frei verfügbare Passwortmanager, an dieser Stelle kann ich Proton Pass oder Keypass empfehlen.
Wie kann man verhindern, dass man seine Login-Daten verliert?
Darauf hat man keinen Einfluss, da die Betreiber für die Sicherheit der jeweiligen Onlineplattform zuständig sind. Das Wichtigste ist, für jeden Onlinedienst ein eigenes, starkes Passwort zu verwenden – am besten mit einem Passwortmanager. Viele nutzen überall dasselbe Passwort.
Wird dann ein Dienst gehackt, probieren Angreifer die gleichen Zugangsdaten einfach bei anderen Plattformen aus. Das nennt man Credential Stuffing. So kann ein einzelner Datenabfluss zu einer Kettenreaktion führen.
Worauf muss man sonst noch achten?
Auch hier wichtig: Zwei-Faktor-Authentifizierung aktivieren, wo es möglich ist. Das ist wie ein zweiter Schlüssel zur Wohnung – selbst wenn jemand das Passwort hat, reicht es allein nicht für den Zugang. Und natürlich: Keine Passwörter in E-Mails oder Chats weitergeben und vorsichtig mit Phishing sein.
Wir schreiben das Jahr 2025, warum verlieren Onlineportale und soziale Netzwerke immer noch regelmäßig Daten?
Weil absolute Sicherheit nicht existiert. Systeme werden komplexer, Angriffe gezielter und wirtschaftlich attraktiver. Oft fehlt es auch an Ressourcen oder Sicherheitsbewusstsein bei Unternehmen. Viele Datenlecks entstehen durch Fehlkonfigurationen, veraltete Software oder menschliche Fehler. Zudem braucht es manchmal Monate, bis ein Leak entdeckt wird – dann ist der Schaden längst entstanden.
Große IT-Firmen sagen schon lange, dass sie Passwörter abschaffen wollen. Wann ist es endlich so weit? Und was ist die Alternative?
Langsam tut sich etwas: Mit dem Passkey-Standard, den unter anderem Apple, Google und Microsoft unterstützen, kann man sich bei vielen Diensten ohne Passwort anmelden – etwa mit Fingerabdruck oder Gesichtserkennung. Das ist sicherer und benutzerfreundlicher. Viele Plattformen hängen aber noch an alten Systemen. Ein vollständiger Umstieg dauert – nicht wegen der Technik, sondern wegen der Gewohnheiten und der Abhängigkeit von Alt-Systemen.
