Specops-Report: Milliarden Passwörter durch Infostealer gestohlen

Sicherheitsforscher analysierten über 1,7 Milliarden frisch gestohlene Zugangsdaten. Ihr Fazit: Klassische Passwortregeln sind wirkungslos, wenn Schadsoftware direkt auf dem Gerät lauert.

Infostealer erbeuten selbst komplexe Passwörter

Im Zentrum der neuen Bedrohung stehen sogenannte Infostealer. Diese Schadprogramme zapfen Browser, Apps und lokale Dateien auf Smartphones und Computern an. Sie stehlen Login-Daten im Klartext – bevor diese überhaupt verschlüsselt werden.

Das Sicherheitsunternehmen Specops Software untersuchte allein zwischen Februar und März 2026 mehr als 1,7 Milliarden Zugangsdaten aus aktuellen Leaks. Das Ergebnis ist alarmierend: Rund 19 Prozent der erbeuteten Passwörter galten eigentlich als stark. Sie waren länger als acht Zeichen und enthielten Buchstaben, Zahlen und Sonderzeichen.

Da Infostealer gezielt sensible Daten auf Mobilgeräten abgreifen, ist ein Basisschutz für das Smartphone unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie WhatsApp, Banking und Ihre privaten Daten wirksam absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Doch gegen Infostealer hilft diese Komplexität nicht. Die Malware umgeht sämtliche Richtlinien, indem sie die Daten direkt an der Quelle abgreift. Die analysierten Datensätze bestehen überwiegend aus URL-, Login- und Passwort-Kombinationen (ULP), die aus kompromittierten Geräten stammen.

„123456“ bleibt das beliebteste Passwort

Neben der neuen Bedrohung durch Infostealer offenbart der umfassende „Breached Password Report 2026“ ein altbekanntes Problem. Trotz aller Warnungen dominieren simple Zahlenfolgen weiterhin die Listen gestohlener Zugangsdaten.

Die Top fünf der am häufigsten geklauten Passwörter lauten: „123456“, „123456789“, „12345678“, „admin“ und „password“. Besonders riskant sind Passwörter mit exakt acht Zeichen. Mit rund 1,1 Milliarden kompromittierten Exemplaren bilden sie die größte Gruppe in den analysierten Daten.

Die Wiederverwendung identischer Passwörter über verschiedene Dienste hinweg vervielfacht das Risiko. Ein erfolgreicher Angriff auf ein privates Konto kann Kriminellen so den Weg in sensible Unternehmensnetzwerke ebnen. Schadsoftware-Familien wie LummaC2 dominieren den Markt – allein dieser Infostealer wurde mit über 60 Millionen gestohlenen Anmeldedaten in Verbindung gebracht.

Kontinuierliche Überwachung wird zur Pflicht

Als Reaktion auf die eskalierende Bedrohung rüstet Specops seine Schutzmechanismen massiv auf. Die firmeneigene Datenbank für kompromittierte Passwörter wuchs durch das jüngste Update um über 430 Millionen neue Einträge. Sie umfasst nun weit über 5,5 Milliarden bekannte, unsichere Passwörter.

Sicherheitsexperten betonen: Statische Passwortkontrollen sind den heutigen Angriffsmethoden nicht mehr gewachsen. Der Fokus verschiebt sich von regelmäßigen Passwortwechseln hin zu dynamischer, echtzeitbasierter Überwachung.

Da gestohlene Zugangsdaten oft als Einfallstor in Firmennetzwerke dienen, müssen Unternehmen ihre IT-Sicherheitsstrategie proaktiv anpassen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihr Unternehmen ohne hohe Investitionen vor aktuellen Cyber-Bedrohungen schützen. Experten-Report zur Cyber Security 2024 kostenlos anfordern

„Der Erfolg von Infostealern beruht nicht auf technischer Brillanz, sondern auf schierer Masse“, so die Analyse der Mutterfirma Outpost24. Die Empfehlung lautet daher, Identitätsmanagementsysteme fortlaufend mit aktuellen Leak-Datenbanken abzugleichen. Nur so lässt sich verhindern, dass gestohlene Zugangsdaten unbemerkt verwendet werden.

Passwortlose Zukunft rückt näher

Die aktuellen Zahlen markieren einen Wendepunkt. Cyberkriminelle setzen nicht mehr auf das Knacken von Verschlüsselungen, sondern auf das massenhafte Sammeln und Wiederverwenden existierender Daten. Dieser „First Access“-Markt im Dark Web ist zu einem hochprofitablen Wirtschaftszweig geworden.

Was bedeutet das für Nutzer? Die einfache Eingabe eines Passworts – egal wie komplex – gilt ohne Zusatzmaßnahmen nicht mehr als sicher. Multi-Faktor-Authentifizierung und Echtzeit-Scans gegen Leak-Datenbanken werden zum Standard.

Die Branche steht unter Druck, den Übergang zu passwortlosen Systemen zu beschleunigen. Bis dahin müssen die verbleibenden Schwachstellen mit massiver Datenanalyse geschlossen werden. Die Ära des statischen Passworts neigt sich dem Ende zu.