Der größte Passwort-Leak aller Zeiten – 16 Milliarden Zugangsdaten veröffentlicht

Es ist ein digitaler Albtraum, der kaum zu überbieten ist: Am 18. und 19. Juni 2025 wurde öffentlich, dass mehr als 16 Milliarden gestohlene Zugangsdaten ins Netz gelangt sind – ein beispielloser Vorfall in der Geschichte der IT-Sicherheit. Die Daten stammen aus einem Sammelsurium aktueller Quellen, wurden automatisiert über sogenannte Infostealer-Malware abgegriffen und anschließend in strukturierter Form zusammengeführt. Diese Schadprogramme waren zuvor millionenfach über präparierte Websites, Phishing-Mails und manipulierte Softwaredownloads verbreitet worden. Das Ergebnis: Milliardenfache Login-Daten – samt URL, Benutzername und Passwort – wurden über einschlägige Untergrundplattformen zum Verkauf oder kostenlosen Download angeboten. Die Täter sind bislang nicht identifiziert, doch der Schaden ist enorm – und global.

Betroffen sind unter anderem Konten bei Apple, Google, Facebook, X (vormals Twitter), Telegram, GitHub, Banken, Cloud-Diensten und sogar Behördenportalen. Einzelne Teilarchive enthalten bis zu 3,5 Milliarden Einträge, insgesamt wurden über 30 solcher Pakete analysiert. Besonders alarmierend: Ein Großteil der Logins stammt aus den Jahren 2023 und 2024, es handelt sich also nicht um veraltete oder „recycelte“ Leaks. Sicherheitsexperten warnen eindringlich vor einem weltweiten Anstieg von Identitätsdiebstahl, Phishing, Erpressung und automatisierten Kontoübernahmen. Der Leak ist kein isolierter Vorfall – er ist eine hochgefährliche Blaupause für digitale Angriffe, wie man sie bislang nur in Theorien kannte.

Wer jetzt nicht handelt, riskiert nicht nur den Verlust seiner Privatsphäre, sondern auch finanziellen und beruflichen Schaden. Jede Nutzerin und jeder Nutzer sollte umgehend sämtliche Passwörter ändern, besonders bei sensiblen Konten wie E-Mail, Online-Banking oder sozialen Netzwerken. Zwei-Faktor-Authentifizierung (2FA) ist essenziell – ebenso wie der Einsatz sicherer Passwortmanager (z. B. Bitwarden, 1Password, KeePass). Zudem sollten Dienste wie „Have I Been Pwned?“ genutzt werden, um herauszufinden, ob die eigenen Daten betroffen sind. Wer die Möglichkeit hat, sollte auf moderne Passkeys umsteigen – sie funktionieren ohne klassisches Passwort und sind immun gegen Phishing.