Es ist ein Datenskandal von historischem Ausmaß: In einer gigantischen Sammlung sind über 16 Milliarden Zugangsdaten aufgetaucht. Darunter befinden sich E-Mail-Adressen, Nutzernamen und Passwörter von Diensten wie Apple, Google, Facebook, Microsoft, Telegram, X (ehemals Twitter), Instagram, LinkedIn und vielen weiteren Plattformen. Auch Zugangsdaten zu VPN-Zugängen, Cloud-Tools, Online-Banking und Regierungsportalen sind Teil des Datensatzes. Die Dimension dieses Leaks sprengt alles bisher Dagewesene – es handelt sich um den größten Passwortdiebstahl aller Zeiten.

Die Zugangsdaten sind aktuell im Umlauf und lassen sich in einschlägigen Foren abrufen. Für Cyberkriminelle sind sie ein gefundenes Fressen, denn sie ermöglichen nicht nur den Zugriff auf persönliche Konten, sondern öffnen im geschäftlichen Umfeld potenziell auch die Türen zu sensiblen Systemen, internen Netzwerken und Kundendaten.

Entwarnung? Ja und nein.

Die gute Nachricht zuerst: Es handelt sich nicht um einen aktuellen Angriff auf große Anbieter wie Apple oder Google. Vielmehr wurde die Datenbank aus über 1000 früheren Leaks, Malware-Angriffen (vor allem durch sogenannte Infostealer) und offenen Datenquellen zusammengestellt. Einige Datensätze sind bereits älter, andere hingegen frisch kompromittiert.

Das macht den Leak nicht weniger gefährlich, insbesondere dann, wenn:

  • Passwörter mehrfach verwendet wurden,
  • einfache oder vorhersehbare Passwörter zum Einsatz kamen oder
  • 2-Faktor-Authentifizierung (2FA) nicht aktiviert war.

Gerade in Unternehmen, wo sich private und berufliche Nutzung von E-Mail-Adressen oder Tools überschneiden, kann ein unbedachter Klick auf ein Phishing-Mail und ein wiederverwendetes Passwort ausreichen, um Angreifern Zugriff auf interne Systeme zu gewähren.

Passwörter sind immer noch ein Einfallstor

Zu den häufigsten Einfallstoren bei Sicherheitsvorfällen gehören schwache oder mehrfach genutzte Passwörter. Trotz Compliance-Vorgaben, Datenschutzvorschriften und einer steigenden Bedrohungslage ist das Thema Passwortsicherheit in vielen Unternehmen noch immer nicht ausreichend geregelt. Unsere Empfehlung: Machen Sie Passwortsicherheit zur Chefsache!

6 konkrete Maßnahmen für Ihr Unternehmen

  • Passwortrichtlinien einführen und durchsetzen
    Definieren Sie klare Vorgaben für die Länge, Komplexität und Gültigkeitsdauer von Passwörtern. Idealerweise setzen Sie auch technische Umsetzungsmaßnahmen durch (z.B. Mindestlänge, Blacklists für schwache Passwörter).
  • Keine Wiederverwendung von Passwörtern
    Jedes System, jeder Dienst, jede App sollte ein eigenes, individuelles Passwort haben. Eine einzige kompromittierte Plattform kann sonst zum Dominoeffekt führen.
  • Zwei-Faktor-Authentifizierung aktivieren
    Wo möglich, sollte 2FA verpflichtend sein – insbesondere bei Zugriffen auf Unternehmensressourcen von außen.
  • Passwortmanager im Unternehmen etablieren
    Zentral verwaltete Passwortmanager ermöglichen nicht nur sichere Passwortspeicherung, sondern auch Zugriffsmanagement, Passwortfreigaben und Notfallzugriffe.
  • Regelmäßige Schulungen
    Sensibilisieren Sie Ihre Mitarbeitenden regelmäßig für den Umgang mit Passwörtern, Social Engineering und Phishing (z.B. über E-Learnings oder Awareness-Kampagnen).
  • Überprüfung betroffener E-Mail-Adressen
    Nutzen Sie Dienste wie Have I Been Pwned oder professionelle Tools, um zu prüfen, ob dienstliche E-Mail-Adressen Ihres Unternehmens betroffen sind.

Starke Passwörter? Einfach mit unserem Online-Tool generieren

Gute Passwörter müssen nicht kompliziert sein. Mit unserem kostenlosen Online-Passwortgenerator erstellen Sie in Sekundenschnelle sichere, zufällige und komplexe Passwörter. All dies ist ohne Installation direkt im Browser möglich. Damit bieten Sie sich selbst und Ihren Mitarbeitenden eine schnelle und praktische Hilfe für mehr Sicherheit im digitalen Alltag.

Fazit: Der Vorfall ist ein Weckruf

Auch wenn viele der geleakten Zugangsdaten aus älteren Quellen stammen: Die Masse, die Aktualität und die einfache Verfügbarkeit machen diesen Leak jedoch extrem gefährlich. Unternehmen müssen die Kontrolle über die Passwortsicherheit zurückgewinnen. Hierfür sind klare Richtlinien, technische Hilfsmittel und eine ausreichende Sensibilisierung erforderlich.

Wenn Sie Fragen zur Umsetzung haben oder Unterstützung bei Ihrer Passwortrichtlinie benötigen, sprechen Sie uns an. Nutzen Sie unsere kostenlose Erstberatung, um mehr zu erfahren.

Philipp Herold

Über

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen