Datenlecks sind längst zum Alltag geworden – doch die Dimensionen werden immer gigantischer. Collection #1 war nur der Anfang: Mittlerweile kursieren weit über 12 Milliarden kompromittierte Datensätze im Darkweb. Was 2019 mit 772 Millionen geleakten E-Mail-Adressen begann, ist heute zu einem permanenten Sicherheitsrisiko für jeden Internetnutzer geworden.
Alexas_Fotos / Pixabay
Die gute Nachricht: Ihr könnt heute viel einfacher prüfen, ob eure Daten betroffen sind. Der bewährteste Service dafür ist „Have I Been Pwned“ von Sicherheitsforscher Troy Hunt. Gebt eure E-Mail-Adresse auf haveibeenpwned.com ein – binnen Sekunden seht ihr, in welchen Datenlecks eure Adresse aufgetaucht ist.
Die Evolution der Mega-Breaches
Seit Collection #1 sind die Zahlen explodiert. RockYou2024 brachte es auf über 10 Milliarden Passwörter. Der Mother of all Breaches (MOAB) aus 2024 sammelte 26 Milliarden Datensätze. Diese Sammlungen entstehen, weil Cyberkriminelle ständig alte und neue Lecks zusammenführen und dabei Duplikate bereinigen.
Besonders brisant: Viele dieser Daten sind aktueller als gedacht. Während Collection #1 hauptsächlich ältere Lecks enthielt, stammen neuere Sammlungen oft aus frischen Hacks großer Plattformen. LinkedIn, Facebook, Adobe, Yahoo – kaum ein Großkonzern blieb verschont.
KI macht Passwort-Knacken effizienter
Das eigentliche Problem: Moderne KI-Systeme können aus geleakten Daten viel effektiver neue Passwörter ableiten. Machine Learning analysiert Muster in euren alten Passwörtern und errät mit erschreckender Genauigkeit, wie eure neuen aussehen könnten. „Passwort123“ wird zu „Passwort2024“ – und KI-Tools knacken solche Variationen in Minuten.
Credential Stuffing – der automatisierte Test gestohlener Login-Daten auf verschiedenen Plattformen – ist zur Hauptbedrohung geworden. Bots testen millionenfach, ob eure Netflix-Daten auch bei Amazon funktionieren. Erfolgsquoten von 0,1% reichen bei Milliarden von Versuchen für lukrative Geschäfte.
Passkeys: Die Zukunft ohne Passwörter
Die Lösung liegt paradoxerweise im Verzicht auf Passwörter. Passkeys, der neue Standard von Apple, Google und Microsoft, setzen auf kryptographische Schlüssel statt merkbare Zeichen. Euer Fingerabdruck oder Face ID entsperrt einen lokalen Schlüssel, der mit dem Server kommuniziert – ohne dass Passwörter übertragen werden.
Google meldet bereits über 1 Milliard Passkey-Anmeldungen monatlich. PayPal, eBay, Adobe und hunderte andere Dienste unterstützen den Standard. Das Schöne: Passkeys sind nicht nur sicherer, sondern auch bequemer als Passwörter.
Sofortmaßnahmen für euren Schutz
Prüft regelmäßig: Have I Been Pwned bietet einen Newsletter-Service. Ihr werdet automatisch informiert, wenn eure E-Mail in neuen Lecks auftaucht.
Passwort-Manager nutzen: Tools wie Bitwarden, 1Password oder der integrierte iCloud-Schlüsselbund generieren für jeden Dienst einzigartige, unknackbare Passwörter. Viele warnen auch vor kompromittierten Zugangsdaten.
Zwei-Faktor-Authentifizierung aktivieren: SMS ist besser als nichts, Authenticator-Apps wie Google Authenticator oder Authy sind deutlich sicherer. Hardware-Schlüssel wie YubiKey bieten maximalen Schutz.
E-Mail-Aliase verwenden: Services wie Apple Hide My Email oder Firefox Relay erstellen für jeden Dienst eine eigene E-Mail-Adresse. Wird eine kompromittiert, sind die anderen sicher.
Der Business-Faktor
Für Unternehmen wird die Lage kritischer. Gestohlene Mitarbeiter-Credentials öffnen Hackern Türen ins Firmennetzwerk. Zero Trust Security – niemand wird ohne Verifikation vertraut – wird zur Notwendigkeit. Privileged Access Management und regelmäßige Security Audits gehören zur Grundausstattung.
Mittelständler unterschätzen oft das Risiko. Ein einziger kompromittierter Admin-Account kann Ransomware-Angriffe ermöglichen, die Existenzen bedrohen. Die Investition in professionelle Identity-Management-Systeme amortisiert sich beim ersten verhinderten Angriff.
Ausblick: Quantencomputer und Post-Quantum-Kryptographie
Die nächste Bedrohung zeichnet sich ab: Quantencomputer könnten heutige Verschlüsselung obsolet machen. NIST arbeitet bereits an quantensicheren Algorithmen. Der Übergang wird Jahre dauern – und in der Zwischenzeit werden heutige „sichere“ Daten verwundbar.
Collection #1 war ein Weckruf. Die Datenberge wachsen exponentiell, die Angriffe werden automatisierter und präziser. Wer heute noch auf „Passwort123!“ setzt, lebt digital extrem gefährlich. Die Tools für besseren Schutz sind da – nutzt sie, bevor ihr in der nächsten Leak-Sammlung landet.
Zuletzt aktualisiert am 06.03.2026
