Passwort-Recycling: 94% aller gehackten Zugangsdaten identisch
Eine aktuelle Studie enthüllt, dass 94% aller gestohlenen Passwörter mehrfach genutzt werden. Zusammen mit 16 Milliarden geleakten Datensätzen führt dies zu massiven Credential-Stuffing-Angriffen mit erheblichen finanziellen Schäden für Unternehmen.
Monday, September 22, 2025 – Bequemlichkeit wird zum Sicherheitsrisiko: Eine alarmierende neue Studie zeigt, dass 94% aller bei Datenlecks zwischen 2024 und 2025 gestohlenen Passwörter bereits anderweitig verwendet wurden. Diese massenhafte Passwort-Wiederverwendung macht Nutzer und Unternehmen zur leichten Beute für Cyberkriminelle, die mit automatisierten Angriffen aus einem einzigen Datenleck eine weitreichende Sicherheitskrise machen.
Verschärft wird das Problem durch den größten Datendiebstahl der Geschichte: 16 Milliarden Login-Daten sind online aufgetaucht. Sicherheitsexperten warnen vor einem dramatischen Anstieg sogenannter „Credential-Stuffing“-Attacken, bei denen Bots gestohlene Nutzerdaten massenhaft an anderen Websites testen. Die Folgen sind verheerend: Datenlecks mit gestohlenen Zugangsdaten kosten Unternehmen durchschnittlich 4,8 Millionen Euro.
Anzeige: Übrigens: Wer sich vor Kontoübernahmen durch gestohlene Zugangsdaten schützen möchte, sollte sein Smartphone als Erstes absichern. Infostealer und unsichere Einstellungen machen es Datendieben leicht, Passwörter und persönliche Daten abzugreifen. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android – Schritt für Schritt und ohne teure Zusatz-Apps. Jetzt kostenloses Android‑Sicherheitspaket sichern
Bequemlichkeit vor Sicherheit: Das fatale Nutzerverhalten
Trotz jahrelanger Aufklärungskampagnen hat sich das grundlegende Nutzerverhalten kaum geändert. Die Analyse von 19 Milliarden geleakten Passwörtern durch Cybernews-Forscher ergab: Nur 6% waren einzigartig. Eine aktuelle Umfrage von 2025 bestätigt den Trend – 84% der Befragten geben zu, ihre Passwörter mehrfach zu verwenden.
Dahinter steckt nicht Unwissen, sondern „Passwort-Müdigkeit“. Der durchschnittliche Nutzer verwaltet rund 100 Online-Konten. Für jedes davon ein einzigartiges, starkes Passwort zu erstellen und sich zu merken, überfordert das Gedächtnis. Die Folge: Nutzer greifen zu unsicheren Abkürzungen wie identischen Passwörtern oder minimalen Variationen.
Besonders brisant: Selbst nach bekannt gewordenen Datenlecks reagieren viele sorglos. 72% der Generation Z verwenden Passwörter mehrfach, 59% recyceln nach einer Sicherheitspanne einfach ein bereits genutztes Passwort.
Von einem Leak zur Totalübernahme: Die Credential-Stuffing-Gefahr
Cyberkriminelle nutzen diese Passwort-Wiederverwendung systematisch aus. Bei Credential Stuffing bombardieren automatisierte Bots Login-Portale mit gestohlenen Nutzerdaten aus anderen Datenlecks. Die Rechnung ist simpel: Wer dasselbe E-Mail-Passwort-Paar für ein kleines Forum und sein Bankkonto nutzt, riskiert bei einem Forum-Hack auch sein Konto.
Die Erfolgsquote pro Versuch ist zwar gering – typischerweise 0,2% bis 2% – doch die schiere Masse macht den Unterschied. Millionen von Konten werden so kompromittiert. Laut Verizons Datenschutzbericht 2024 spielten gestohlene Zugangsdaten bei 31% aller Sicherheitsverletzungen eine Rolle.
Prominente Fälle des vergangenen Jahres verdeutlichen die Gefahr: TransUnion meldete im Juli 2025 eine Panne mit 4,4 Millionen betroffenen Personen, beim Streaming-Dienst Roku waren 2024 über 591.000 Konten betroffen – beide Fälle gehen auf Credential-Stuffing zurück.
Brennstoff für Cyberkriminelle: 16 Milliarden Datensätze im Umlauf
Das Credential-Stuffing-Problem wird durch ständig neue Datenlecks befeuert. Im Juni 2025 entdeckten Forscher eine gigantische Sammlung von 16 Milliarden Login-Daten, verteilt auf 30 Datenbanken. Experten vermuten, dass diese aktuellen Daten von Infostealer-Malware stammen, die Informationen direkt von infizierten Geräten abgreift.
Diese beispiellose Datenmenge, zusammen mit anderen Sammlungen wie der „RockYou2024“-Datei mit fast 10 Milliarden einzigartigen Passwörtern, bewaffnet Cyberkriminelle mit einem gewaltigen Arsenal. Der ständige Nachschub an neuen Zugangsdaten macht selbst Passwort-Änderungen nach bekannten Lecks wirkungslos – solange andere, noch unentdeckte Datenschutzverletzungen existieren.
Paradigmenwechsel: Warum alte Sicherheitsregeln versagen
Die Cybersicherheit durchlebt einen grundlegenden Wandel. Jahrelang rieten Experten zu komplexen Passwörtern mit Sonderzeichen und regelmäßigen Änderungen alle 90 Tage. Doch das National Institute of Standards and Technology (NIST) erkennt mittlerweile: Diese Ratschläge führten oft zu Nutzerfrust und schwächeren Passwort-Gewohnheiten.
Die 2024 aktualisierten Richtlinien setzen auf einen neuen Ansatz: Länge statt Komplexität. Empfohlen werden nun lange, einprägsame Passphrasen wie „SonnigeTageAufDemMondKommenBald“, die für Computer deutlich schwerer zu knacken sind. Zwangsweise Passwort-Änderungen werden nur noch bei konkreten Sicherheitsvorfällen empfohlen, nicht mehr routinemäßig.
Blick in die Zukunft: Das Ende der Passwort-Ära
Experten sind sich einig: Passwörter allein reichen nicht mehr aus. Der wirksamste Schutz ist heute die Zwei-Faktor-Authentifizierung (2FA), die eine zweite Sicherheitsebene wie einen Smartphone-Code oder biometrische Daten hinzufügt. Selbst mit dem korrekten Passwort können Angreifer so gestoppt werden.
Anzeige: Für alle, die 2FA, WhatsApp, Online‑Banking und Shopping auf dem Android‑Handy sicher nutzen wollen: Ein gratis Sicherheitspaket führt mit klaren Checklisten durch Updates, App‑Prüfungen und die wichtigsten Systemeinstellungen. So schließen Sie häufig unterschätzte Lücken in wenigen Minuten. Jetzt das kostenlose Sicherheitspaket anfordern
Langfristig bewegt sich die Branche in Richtung passwortloser Authentifizierung. Technologien wie Passkeys, die kryptographische Verfahren mit dem Nutzergerät verknüpfen, gewinnen an Bedeutung. Diese Methoden sind resistent gegen Phishing und eliminieren das Risiko der Passwort-Wiederverwendung vollständig. Mit der zunehmenden Verbreitung robusterer Sicherheitstechnologien könnte die Ära der leicht kompromittierbaren Passwörter endlich zu Ende gehen.
