Passwort-Krise: 2,9 Milliarden Zugangsdaten im Darknet

Cybersicherheitsbehörden schlagen Alarm: Kriminelle haben den Diebstahl von Zugangsdaten industrialisiert – mit dramatischen Folgen für Unternehmen und Verbraucher.

Das britische National Cyber Security Centre (NCSC) hat seine jahrzehntealten Sicherheitsrichtlinien offiziell überarbeitet. Die Behörde empfiehlt Passwörter nicht länger als primäre Verteidigungslinie, wo sicherere Alternativen existieren. Der Grund: Selbst komplexe Passwörter bieten keinen ausreichenden Schutz mehr gegen KI-gestützte Angriffe und moderne Schadsoftware.

Angesichts der Millionen gehackten Konten pro Quartal in Deutschland ist der Wechsel auf moderne Sicherheitsverfahren wichtiger denn je. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Diensten wie Amazon oder WhatsApp sofort einrichten und so Phishing keine Chance mehr lassen. Sicher, bequem und passwortlos – Gratis-Report jetzt herunterladen

2,9 Milliarden kompromittierte Identitäten

Die Bedrohungsintelligenz-Firma KELA veröffentlichte am 29. April neue Daten zur globalen Krise der digitalen Identitäten. Demnach wurden im vergangenen Jahr fast 2,9 Milliarden kompromittierte Zugangsdaten registriert – darunter nicht nur Nutzernamen und Passwörter, sondern auch Sitzungstoken und Cookies von rund vier Millionen infizierten Geräten.

Besonders alarmierend: Die Zahl der macOS-Infektionen mit Datendiebstahl-Schadsoftware explodierte von unter 1.000 im Jahr 2024 auf über 70.000 im Jahr 2025. Apple-Nutzer galten lange als weniger gefährdet – ein Trugschluss, wie sich nun zeigt.

Der „Fraud Beat 2026“-Bericht von 360 Fraud Protection belegt zudem, dass Phishing inzwischen für 73,2 Prozent aller Betrugsfälle weltweit verantwortlich ist. Die Forscher beschreiben einen neuen „Betrugs-Industrialisierungs-Stack“ – ein Rahmenwerk, das zeigt, wie Angreifer nahtlos von Social Engineering über Identitätsdiebstahl zur Kontenübernahme und schnellen Monetarisierung übergehen.

Der Siegeszug der Passkeys

Als Antwort auf diese Entwicklung setzt das NCSC auf Passkeys – kryptografische Alternativen zu Passwörtern. Sie gelten nicht nur als benutzerfreundlicher, sondern auch als resistent gegen Phishing-Angriffe, denen selbst klassische Zwei-Faktor-Authentifizierung (2FA) zunehmend zum Opfer fällt.

Die Umstellung ist in vollem Gange: Laut einer Studie von HID und der FIDO Alliance vom 28. April setzen 87 Prozent der Unternehmen bereits auf FIDO2-Passkeys oder pilotieren sie – ein Sprung von 53 Prozent vor zwei Jahren. Organisationen, die umgestellt haben, berichten von einem Rückgang der Passwortnutzung um 26 Prozent und bis zu 80 Prozent weniger Helpdesk-Tickets für Passwort-Zurücksetzungen.

Großbritannien führt bei der Verbraucher-Akzeptanz: Über 50 Prozent der aktiven Google-Nutzer dort haben bereits mindestens einen Passkey registriert. Microsoft hat zudem begonnen, Passkey-Profile in seiner Unternehmens-Identitätsinfrastruktur automatisch zu aktivieren – ein Schritt, der eine massenhafte Abwanderung von Legacy-Passwortsystemen erzwingt.

Die Kosten des Versagens

Die wirtschaftlichen Folgen sind enorm. Laut IBM belaufen sich die durchschnittlichen Kosten eines Datenlecks mit kompromittierten Zugangsdaten auf rund 4,67 Millionen US-Dollar pro Vorfall. Die durchschnittliche Zeit, um einen solchen Einbruch zu erkennen und einzudämmen, übersteigt 240 Tage.

Aktuelle Vorfälle belegen die unmittelbaren Risiken: Am 29. April wurden neue Datenlecks bei der Cadence Petroleum Group und der Anwaltskanzlei Basch & Keegan bekannt. Die Angreifer erlangten über gestohlene Zugangsdaten Zugriff und entwendeten sensible interne Dokumente.

Der „2026 Data Breach Investigations Report“ von Verizon bestätigt: Kompromittierte Zugangsdaten bleiben der häufigste Einstiegsvektor bei bestätigten Sicherheitsverletzungen. 88 Prozent aller analysierten Webanwendungs-Angriffe nutzten gestohlene Logins.

Neue Bedrohungen: Supply-Chain und KI

Die Bedrohungslage wird durch Angriffe auf Sicherheitstools selbst und KI-gesteuerte Exploits weiter verschärft. Zwischen dem 22. und 26. April wurde die Kommandozeilen-Schnittstelle des Passwort-Managers Bitwarden kurzzeitig Ziel einer Supply-Chain-Kampagne. Ein bösartiges Paket war rund 90 Minuten live und zielte darauf ab, Entwickler-Token und Umgebungsvariablen zu stehlen.

Parallel nutzen Angreifer KI, um den Diebstahl von Zugangsdaten zu automatisieren. Darktrace berichtet von einer Verschiebung von exploit-getriebenen Sicherheitsverletzungen hin zu identitätsbasierten Einbrüchen. Diese Systeme erkennen und nutzen „legitime“ Kontoverhaltensweisen aus, was traditionelle Perimeter-Verteidigung zunehmend wirkungslos macht.

Experten warnen zudem vor „nicht-menschlichen“ Identitätsrisiken. Mit der zunehmenden Verbreitung autonomer KI-Agenten wird die Zahl der Maschinen-Identitäten voraussichtlich die der menschlichen Konten übersteigen – und diese sind oft schlechter geschützt.

Der menschliche Faktor bleibt die Achillesferse

Trotz aller technischen Fortschritte bleibt der menschliche Faktor die größte Sicherheitslücke. Viele Nutzer praktizieren weiterhin „Passwort-Recycling“ – sie verwenden denselben Login für Streaming-Dienste wie für Banking-Portale.

Die Industrialisierung der „Stealer-Log“-Wirtschaft macht es selbst gering qualifizierten Angreifern leicht, aktive Sitzungs-Cookies im Darknet zu kaufen. Diese Cookies erlauben es, selbst starke 2FA zu umgehen, indem sie sich als bereits authentifizierte Sitzung ausgeben. Microsoft-Forscher schätzen, dass „Adversary-in-the-Middle“-Angriffe inzwischen für rund 80 Prozent aller 2FA-Umgehungen verantwortlich sind.

Da Hacker zunehmend psychologische Tricks nutzen, um selbst erfahrene Nutzer zu täuschen, ist proaktives Handeln gefragt. Dieser kostenlose Anti-Phishing-Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen und Ihre Daten wirksam vor manipulativen Angriffen schützen. Anti-Phishing-Paket für Unternehmen gratis sichern

Die Branche setzt daher zunehmend auf risikoadaptive Authentifizierung: Systeme bewerten den Kontext eines Logins – Gerätezustand, Standort, Verhalten – und entscheiden, ob zusätzliche Überprüfung erforderlich ist.

Ausblick: Das Ende der Passwort-Ära

Für den Rest des Jahres 2026 sind regulatorische und plattformseitige Änderungen zu erwarten, die passwortlose Umgebungen zum Standard machen. Microsofts aggressive Strategie, Passkeys automatisch zu aktivieren, dürfte Schule machen.

US- und britische Regierungsbehörden planen, für kritische Infrastrukturen phishing-resistente 2FA wie FIDO2 verpflichtend vorzuschreiben. Das NCSC-Papier gilt als Vorbote dieser strengeren Richtlinien.

Auch die Versicherungswirtschaft zieht Konsequenzen: Cyber-Versicherer verlangen zunehmend den Nachweis von „Identitätshygiene“ und Passkey-Implementierung als Bedingung für Deckung. Für Unternehmen ist der Abschied vom Passwort längst keine technische Empfehlung mehr – sondern eine finanzielle und operative Notwendigkeit in einer Ära, in der Angreifer nicht mehr in Netzwerke „einbrechen“, sondern sich mit gestohlenen Identitäten einfach „einloggen“.

de | wissenschaft | 69261556 |