Die Schlagzeilen überschlagen sich: „Mega-Datenleck bei Google, Apple und Facebook“, titelt ein Online-Magazin. 16 Milliarden kompromittierte Zugangsdaten seien im Internet aufgetaucht – ein „beispielloser Vorfall“. Doch wie berechtigt ist die Aufregung?
Keine neuen Daten, sondern alte Sammlung
Tatsächlich haben Forscher des Portals Cybernews im Netz an verschiedenen Stellen insgesamt dreißig Datensätze entdeckt – und darin zusammengerechnet 16 Milliarden Zugangsdaten inklusive Passwörter. Cybersicherheits-Experten von BleepingComputer haben die Meldung aber genauer untersucht und herausgefunden: Bei dem Fund handelt es sich nicht um einen neuen Datendiebstahl, sondern größtenteils um Zusammenstellungen bereits bekannter gestohlener Zugangsdaten.
Diese Daten stammen größtenteils von sogenannten „Infostealer“-Schadsoftwaren – Malware, die Passwörter und andere sensible Informationen von infizierten Computern stiehlt. Solche Programme sammeln alle auf einem Gerät gespeicherten Passwörter aus Browsern und anderen Anwendungen und übertragen sie an Cyberkriminelle. Die in den neuen Dateien enthaltenen Zugangsdaten zirkulieren vermutlich schon seit Monaten oder Jahren im Netz.
Warum kommt so etwas öfter vor?
Die aktuelle Aufregung erinnert stark an einen ähnlichen Fall vom Juli 2024. Damals sorgte eine Datei namens „RockYou2024“ für Schlagzeilen, die angeblich zehn Milliarden Passwörter enthielt und als „größter Passwort-Leak aller Zeiten“ bezeichnet wurde.
Damals stellte sich schnell heraus: Die meisten Daten in der Liste waren unbrauchbar oder stammten aus alten Datenlecks. Passwort-Experte Troy Hunt, Gründer der Website „Have I Been Pwned“, kritisierte damals die Berichterstattung scharf und stellte klar: „Das hier sind keine gestohlenen Passwörter, sondern nur Textlisten, die aus verschiedenen Quellen zusammengesucht wurden.“
Was sollte ich jetzt tun?
Auch wenn die aktuelle Aufregung wohl übertrieben ist, sollte man grundlegende Sicherheitsmaßnahmen befolgen. Das Wichtigste: einzigartige, starke Passwörter für jeden genutzten Dienst verwenden und einen Passwort-Manager zur Organisation einsetzen.
Besonders wichtig ist auch die Zwei-Faktor-Authentifizierung. Selbst wenn ein Passwort kompromittiert wird, können Angreifer ohne den zusätzlichen Sicherheitscode keinen Zugang zum Account erlangen. Dabei sollten Nutzer im Idealfall auf Authentifizierungs-Apps setzen und SMS-basierte Zwei-Faktor-Authentifizierung vermeiden, da Telefonnummern durch „SIM-Swapping“-Angriffe gekapert werden können.
Wer überprüfen möchte, ob die eigenen Zugangsdaten in bekannten Datenlecks enthalten sind, kann Dienste wie „Have I Been Pwned“ nutzen. Wichtig ist aber: Nicht in Panik verfallen und hastig alle Passwörter ändern, sondern die Gelegenheit nutzen, um die eigenen Sicherheitsgewohnheiten dauerhaft zu verbessern.
