Die Zahlen sind alarmierend: Laut aktuellen Sicherheitsberichten kursieren Milliarden gestohlener Passwörter in einschlägigen Foren und Datenbanken im Netz. Der Großteil davon stammt aus sogenannten Infostealer-Angriffen – Schadsoftware, die heimlich Zugangsdaten von infizierten Rechnern abgreift.
Das Problem dabei: Viele dieser Passwörter sind weiterhin gültig. Wer dasselbe Passwort für mehrere Dienste nutzt, riskiert eine Kettenreaktion. Ein geknacktes Konto reicht, und Angreifer probieren die Zugangsdaten reihenweise bei anderen Anbietern aus.
Ich zeige euch in diesem Beitrag, wie ihr eure Konten schnell und effektiv absichert – auch ohne IT-Studium. Mit einer Checkliste, konkreten Tool-Empfehlungen und einer verständlichen Erklärung zur Zwei-Faktor-Authentifizierung.
Datendiebstahl: Wie wurden die Passwörter gestohlen?
Sicherheitsforscher haben in jüngster Zeit gewaltige Sammlungen kompromittierter Zugangsdaten ausgewertet. Berichten zufolge enthalten diese Datenbanken mehrere Milliarden Einträge aus Logfiles von Infostealer-Malware. Bekannte Vertreter dieser Schadsoftware-Familie sind etwa RedLine, Vidar oder Raccoon.
Diese Programme nisten sich oft über manipulierte Software-Downloads, Phishing-Mails oder gecrackte Programme auf Rechnern ein. Einmal aktiv, lesen sie gespeicherte Browser-Passwörter, Cookies, Krypto-Wallets und sogar Session-Tokens aus. Die gesammelten Daten landen anschließend auf kriminellen Marktplätzen – oft für wenige Euro pro Logfile.
Besonders brisant: Anders als bei klassischen Datenlecks einzelner Anbieter betrifft dieser Diebstahl alle Konten gleichzeitig, die auf dem infizierten Gerät genutzt wurden. Vom E-Mail-Postfach über Online-Banking bis zum Streaming-Account. Wer Glück hat, merkt nichts. Wer Pech hat, findet plötzlich leere Konten oder gekaperte Profile vor.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Jahren vor der wachsenden Bedrohung durch solche Schadsoftware. Die Empfehlungen sind klar: starke Passwörter, ein Passwort-Manager und Zwei-Faktor-Authentifizierung.
Sind eure Passwörter vom Datendiebstahl betroffen?
Vielleicht denkt ihr jetzt: „Ich bin doch nicht wichtig genug für Hacker.“ Genau das ist der Irrtum. Bei diesen Angriffen geht es nicht um gezielte Attacken auf einzelne Personen, sondern um Massenabschöpfung. Jedes Konto hat einen Wert – sei es für Identitätsdiebstahl, Spam-Versand oder als Sprungbrett zu wertvolleren Zielen.
Besonders gefährlich wird es, wenn euer E-Mail-Konto betroffen ist. Denn über die Mail-Adresse lassen sich Passwörter bei fast allen anderen Diensten zurücksetzen. Wer Zugriff auf eure Mails hat, hat im Zweifel Zugriff auf euer digitales Leben.
Die gute Nachricht: Mit ein paar überschaubaren Maßnahmen senkt ihr euer Risiko drastisch. Ihr müsst keine Sicherheitsexperten werden – aber ein paar Grundregeln solltet ihr verinnerlichen. Es lohnt sich, jetzt ein, zwei Stunden zu investieren, statt später Wochen mit der Schadensbegrenzung zu verbringen.
Sichere Passwörter erstellen: Die ultimative Checkliste
Ein wirklich sicheres Passwort erfüllt ein paar einfache Kriterien. Wichtig: Länge schlägt Komplexität. Ein langes Passwort aus mehreren Wörtern ist sicherer als ein kurzes mit Sonderzeichen.
- Mindestens 12 Zeichen, besser 16 oder mehr
- Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
- Für jeden Dienst ein eigenes Passwort – niemals wiederverwenden
- Keine Namen, Geburtsdaten oder Wörter aus dem Wörterbuch
- Keine simplen Muster wie „123456“ oder „qwertz“
- Passwörter niemals per Mail oder Messenger verschicken
Klingt nach viel? Niemand kann sich Dutzende komplexer Passwörter merken. Genau deshalb gibt es Passwort-Manager.
Warum ein Passwort-Manager jetzt unverzichtbar ist
Ein Passwort-Manager ist ein verschlüsselter Tresor für eure Zugangsdaten. Ihr merkt euch nur noch ein einziges, starkes Master-Passwort – den Rest erledigt das Programm. Es generiert sichere Passwörter, speichert sie verschlüsselt und füllt sie auf Webseiten automatisch aus.
Empfehlenswerte Optionen sind Bitwarden (Open Source, kostenlose Version ist vollkommen ausreichend), 1Password (kostenpflichtig, sehr komfortabel) oder KeePassXC (lokal, ohne Cloud). Die in Browsern wie Chrome oder Firefox eingebauten Passwort-Speicher sind besser als nichts – aber dedizierte Manager bieten mehr Sicherheit und Funktionen.
Wichtiger Hinweis: Das Master-Passwort muss besonders stark und einmalig sein. Schreibt es im Zweifel auf einen Zettel und legt es an einen sicheren Ort. Verlieren dürft ihr es nicht – die meisten Anbieter können euch dann nicht helfen, weil sie selbst keinen Zugriff auf eure Daten haben.
Was ist Zwei-Faktor-Authentifizierung und wie nutzt ihr sie?
Selbst das beste Passwort kann gestohlen werden. Die Zwei-Faktor-Authentifizierung (2FA) ist deshalb eure zweite Verteidigungslinie. Sie funktioniert nach dem Prinzip: etwas, das ihr wisst (Passwort) plus etwas, das ihr habt (Smartphone, Sicherheitsschlüssel).
Beim Login gebt ihr also nicht nur euer Passwort ein, sondern zusätzlich einen zeitlich begrenzten Code. Selbst wenn Kriminelle euer Passwort kennen, kommen sie ohne diesen zweiten Faktor nicht rein.
Aktiviert 2FA mindestens für diese Konten:
- E-Mail-Postfach (das wichtigste!)
- Online-Banking und PayPal
- Soziale Netzwerke
- Cloud-Speicher (iCloud, Google, OneDrive, Dropbox)
- Shopping-Accounts mit hinterlegter Zahlungsmethode
Nutzt am besten eine Authenticator-App wie Aegis, Authy oder den Google Authenticator. SMS-Codes sind die schwächere Variante, weil sie über SIM-Swapping abgefangen werden können. Wer es richtig ernst meint, greift zu einem Hardware-Sicherheitsschlüssel wie YubiKey – das ist aktuell der Goldstandard.
Passwort-Sicherheit erhöhen: 5 Sofortmaßnahmen für euch
Die Milliarden gestohlener Passwörter sind eine Erinnerung daran, dass digitale Sicherheit kein Luxus mehr ist. Sie ist Grundausstattung – wie ein Türschloss an der Wohnung. Die gute Nachricht: Ihr müsst nicht alles auf einmal erledigen.
Fangt heute mit eurem E-Mail-Konto an. Vergebt dort ein neues, starkes Passwort und aktiviert 2FA. Richtet anschließend einen Passwort-Manager ein und ersetzt nach und nach eure wichtigsten Passwörter. Prüft auf haveibeenpwned.com, ob eure Mail-Adresse bereits in bekannten Datenlecks aufgetaucht ist.
Und: Bleibt skeptisch. Klickt nicht auf verdächtige Links, ladet keine Software aus dubiosen Quellen und haltet Betriebssystem sowie Virenscanner aktuell. Die meisten Infostealer-Infektionen passieren durch unvorsichtiges Verhalten, nicht durch geniale Hacker-Tricks. Ein bisschen gesunde Vorsicht plus die richtigen Tools – mehr braucht es nicht, um zu den schwer angreifbaren Zielen zu gehören.
