Und wieder wurden im großen Stil Zugangsdaten zu einem großen, namhaften Online-Dienst entwendet. Diesmal betrifft es X (ehemals Twitter): Hacker haben die Login-Daten von nahezu 33 Millionen Usern zum Kauf angeboten, also Benutzername und Passwort. Ein Déjà-vu, das zeigt: Klassische Passwörter haben längst ausgedient.
Was können Betrüger mit gestohlenen X-Zugangsdaten anstellen?
Sie können damit eine Menge anstellen. Zu allererst können sie natürlich die X-Accounts übernehmen und im Namen der Betroffenen Posts absetzen oder Direct Messages verschicken. Sie können sogar das Passwort ändern, dann kommt ihr selbst nicht mehr in euer eigenes Konto. Darüber hinaus kann man sich heute auch in vielen Online-Diensten mit seinem X-Account anmelden.
Das ist bequem – aber eben auch gefährlich, denn wenn Kriminellen diese Zugangsdaten in die Hände fallen, können sie sich auch in diesen anderen Diensten anmelden, zum Beispiel in Bild-Bearbeitungs-Diensten, Streaming-Plattformen, Gaming-Services und vieles andere mehr. Last not least könnten Betrüger die gekaperten Passwörter auch in anderen Online-Diensten ausprobieren – besonders perfide bei Leuten, die überall dasselbe Passwort verwenden.
Wer ist betroffen und wie findet ihr raus, ob ihr dabei seid?
Bei dieser Hack-Aktion waren vor allem russische User betroffen. Offensichtlich wurden die Zugangsdaten ganz gezielt auf russischen Portalen entwendet. Aber theoretisch kann es jeden treffen. Auf der Webseite von Have I Been Pwned könnt ihr kostenlos erfahren, ob auch euer Account betroffen ist. Der Service von Troy Hunt gilt als der zuverlässigste und umfassendste Check weltweit.
Die Betreiber versuchen, die Daten aller großen Hack-Aktionen in ihre Datenbank einfließen zu lassen. Wer hier seine E-Mail-Adresse eingibt, erfährt schnell, ob er schon mal Opfer einer großen Klau-Aktion geworden ist. Ganz ähnlich funktioniert das Projekt des Hasso Plattner Instituts. Auch hier gebt ihr eure E-Mail-Adresse ein und erfahrt wenig später, ob und wo die eigenen Daten schon mal in Datenbanken von Hackern aufgetaucht sind.
Wie schützt man sich in der Praxis?
Zum einen solltet ihr immer gute, komplexe Passwörter verwenden, die nicht leicht zu knacken sind. Noch besser: Setzt auf einen Passwort-Manager wie 1Password, Bitwarden oder den integrierten Manager von Apple oder Google. Diese Tools generieren automatisch sichere, einzigartige Passwörter für jeden Dienst.
Dann solltet ihr niemals in verschiedenen Online-Diensten dasselbe Passwort verwenden. Hat ihr das doch gemacht und die Leak-Checks haben ergeben, dass ihr schon mal Opfer geworden seid, solltet ihr schleunigst die Passwörter ändern – und zwar in jedem Online-Dienst separat.
Darüber hinaus kann ich nur dringend den Einsatz der Zwei-Faktor-Authentifizierung empfehlen. Die gibt es auch bei X: Ihr sichert euer Online-Konto zusätzlich mit eurem Smartphone ab. So haben Datendiebe keine Chance, selbst wenn sie euer Passwort kennen. Nutzt dabei am besten Authenticator-Apps wie Google Authenticator, Authy oder Microsoft Authenticator statt SMS – die sind sicherer.
Warum nehmen Cyberangriffe immer mehr zu?
Während wir nun schon seit Jahrzehnten hauptsächlich Benutzername und Passwort verwenden – an dieser Art der Absicherung hat sich nicht wirklich viel getan – haben die Datendiebe ihre Werkzeuge massiv aufgerüstet. KI-gestützte Angriffe, maschinelles Lernen für Passwort-Cracking und ausgeklügelte Social Engineering-Methoden machen Hackern das Leben leichter.
Und in der Tat wird die Ausbeute von Mal zu Mal größer. Das hat natürlich damit zu tun, dass immer mehr Menschen online alles Mögliche erledigen – vom Banking über Shopping bis hin zur Arbeit im Homeoffice. Die Angriffsfläche wird größer, die potenziellen Gewinne auch. Cyberkriminalität ist längst ein Milliardengeschäft geworden, komplett mit Support-Strukturen und „Crime-as-a-Service“-Angeboten im Darknet.
Die Zukunft: Passwörter sind ein Auslaufmodell
Daran wird intensiv gearbeitet. Passkeys sind der neue Standard, den Apple, Google, Microsoft und andere Tech-Riesen vorantreiben. Diese nutzen kryptografische Schlüssel statt Passwörter und funktionieren mit biometrischen Daten wie Fingerabdruck oder Gesichtserkennung.
Der große Vorteil: Passkeys können nicht gestohlen werden, weil sie nie das Gerät verlassen. Stattdessen wird nur ein kryptografischer Beweis übertragen. Große Dienste wie Google, Apple, Microsoft, PayPal und viele andere unterstützen Passkeys bereits. Die Technologie basiert auf dem FIDO2-Standard und wird von der FIDO Alliance vorangetrieben.
Auch Hardware-Sicherheitsschlüssel wie YubiKey werden immer beliebter. Diese kleinen USB-Sticks oder NFC-fähigen Geräte bieten praktisch unknackbare Sicherheit. Selbst wenn Hacker euer Passwort haben, kommen sie ohne den physischen Schlüssel nicht rein.
Was bedeutet das für euch?
Die gute Nachricht: Ihr müsst nicht warten, bis sich die Branche einig wird. Fangt heute an, eure digitale Sicherheit zu verbessern. Aktiviert überall, wo möglich, die Zwei-Faktor-Authentifizierung. Nutzt Passkeys, wenn verfügbar. Setzt auf einen guten Passwort-Manager.
Und lasst euch nicht von der Bequemlichkeit verführen. Ja, es ist lästig, für jeden Dienst andere Zugangsdaten zu haben. Aber es ist deutlich lästiger, wenn euer ganzes digitales Leben kompromittiert wird, weil ihr überall dasselbe Passwort verwendet habt. Die Technologie für bessere Sicherheit ist da – wir müssen sie nur nutzen.
Zuletzt aktualisiert am 08.04.2026
