Monster-Datenleck: Darum gehts
Cyberexperten haben Milliarden von Zugangsdaten im Internet entdeckt.
Betroffen sind Plattformen wie Apple, Facebook und Google.
Nutzer sollten ihre Passwörter ändern und die Zwei-Faktor-Authentifizierung aktivieren.
Plattformen wie «Have I Been Pwned» helfen, betroffene Konten zu identifizieren.
Cyberexperten haben Milliarden von Zugangsdaten und Passwörterfür Onlinedienste ungeschützt im Internet gefunden. Aber ist der Leak wirklich neu? Muss man nun etwas tun? Und wie gefährlich ist das Leck?
Diese Onlinedienste sind betroffen
Die Daten betreffen eine Vielzahl von Plattformen im Netz: soziale Netzwerke, VPN-Anbieter, Entwickler-Tools und viele weitere digitale Dienste. Die geleakten Datensätze sollen den Zugang zu fast jedem Onlinedienst ermöglichen, einschliesslich Apple, Facebook, Google, Github und Telegram, bis hin zu staatlichen Plattformen.
Yves Kraft, Leiter der Cyber Security Academy beim Zürcher Cybersecurity-Spezialist Oneconsult, beantwortet die wichtigsten Fragen.
Wie oft änderst du deine Passwörter im Netz?
«Viele Datenabflüsse bleiben lange unbemerkt»
Herr Kraft, wie viele Datensätze sind vom Leak betroffen?
Der Leak enthält 26 Milliarden Datensätze, die grösstenteils aus bereits bekannten Passwörtern bestehen. Es handelt sich also um eine Zusammenstellung aus unterschiedlichen Datenpannen.
Ist das der grösste Datenleak der Geschichte?
Es gab auch schon in der Vergangenheit grössere Datenleaks, bei denen mehrere Millionen Datensätze publiziert wurden. Nichtsdestotrotz redet man in der Branche in diesem Fall von der «Mother of all Breaches».
Enthält der Leak wirklich mehr Passwörter, als es Menschen gibt?
Da die Leute ihre Passwörter mehrheitlich nie ändern, ist es gar nicht möglich, auf eine so grosse Anzahl an neuen gehackten Passwörtern zu kommen – selbst wenn es mehrere Konten pro Person betreffen würde.
Woher kommen die Daten?
Es gibt noch keine genauen Angaben über die Herkunft der Daten. Sicher ist, dass viele aus bekannten Diensten wie Myspace, Twitter, Deezer, Linkedin, Adultfriendfinder, Badoo, Dropbox und Telegram stammen.
Welche Anbieter haben am meisten Daten verloren?
Laut Cybernews sind Tencent (1,4 Milliarden kompromittierte Datensätze), Weibo (504 Millionen) und Myspace (360 Millionen) am stärksten betroffen. Aber auch Twitter (281 Millionen), Deezer (258 Millionen),Linkedin (251 Millionen),Adobe (153 Millionen),Canva (143 Millionen) undDropbox (69 Millionen) haben viele Daten verloren.
Wie findet man heraus, ob man vom Leak betroffen ist oder nicht?
Über Plattformen wie «Have I Been Pwned»und den «Identity Leak Checker» des Hasso-Plattner-Instituts. Dort kann man mit seiner E-Mail-Adresse prüfen, ob sie in einem Datenleak auftaucht. Wobei Troy Hunt, der Betreiber von «Have I Been Pwned», den neuen Leak nicht in seine Datenbank integriert, weil es sich nicht um neue Daten handelt.
Also ist alles okay, wenn meine E-Mail dort nicht auftaucht?
Die genannten Dienste erkennen nur öffentlich gewordene Leaks – viele Datenabflüsse bleiben lange unbemerkt oder werden gar nie veröffentlicht.
Was muss man tun, wenn man betroffen ist?
Sofort das Passwort ändern – und zwar überall dort, wo man dasselbe verwendet hat. Am besten gleich einen Passwortmanager nutzen, um überall ein starkes, einzigartiges Passwort zu vergeben. Zusätzlich sollte man die Zwei-Faktor-Authentifizierung aktivieren, wo immer möglich.
Reicht das?
Bei besonders sensiblen Accounts (zum Beispiel E-Mail und Banking) kann es auch sinnvoll sein, nach unautorisierten Aktivitäten zu suchen und im Zweifelsfall den Support zu kontaktieren.
Welche Passwortmanager empfehlen Sie?
Es gibt zahlreiche frei verfügbare Passwortmanager, an dieser Stelle kann ich Proton Pass oder Keypass empfehlen.
Wie kann man verhindern, dass man seine Login-Daten verliert?
Darauf hat man keinen Einfluss, da die Betreiber für die Sicherheit der jeweiligen Onlineplattform zuständig sind. Das Wichtigste ist, für jeden Onlinedienst ein eigenes, starkes Passwort zu verwenden – am besten mit einem Passwortmanager. Viele nutzen überall dasselbe Passwort. Wird dann ein Dienst gehackt, probieren Angreifer die gleichen Zugangsdaten einfach bei anderen Plattformen aus. Das nennt man Credential Stuffing. So kann ein einzelner Datenabfluss zu einer Kettenreaktion führen.
Worauf muss man sonst noch achten?
Auch hier wichtig: Zwei-Faktor-Authentifizierung aktivieren, wo es möglich ist. Das ist wie ein zweiter Schlüssel zur Wohnung – selbst wenn jemand das Passwort hat, reicht es allein nicht für den Zugang. Und natürlich: Keine Passwörter in E-Mails oder Chats weitergeben und vorsichtig mit Phishing sein.
Wir schreiben das Jahr 2025, warum verlieren Onlineportale und soziale Netzwerke immer noch regelmässig Daten?
Weil absolute Sicherheit nicht existiert. Systeme werden komplexer, Angriffe gezielter und wirtschaftlich attraktiver. Oft fehlt es auch an Ressourcen oder Sicherheitsbewusstsein bei Unternehmen. Viele Datenlecks entstehen durch Fehlkonfigurationen, veraltete Software oder menschliche Fehler. Zudem braucht es manchmal Monate, bis ein Leak entdeckt wird – dann ist der Schaden längst entstanden.
Grosse IT-Firmen sagen schon lange, dass sie Passwörter abschaffen wollen. Wann ist es endlich so weit? Und was ist die Alternative?
Langsam tut sich etwas: Mit dem Passkey-Standard, den unter anderem Apple, Google und Microsoft unterstützen, kann man sich bei vielen Diensten ohne Passwort anmelden – etwa mit Fingerabdruck oder Gesichtserkennung. Das ist sicherer und benutzerfreundlicher. Viele Plattformen hängen aber noch an alten Systemen. Ein vollständiger Umstieg dauert – nicht wegen der Technik, sondern wegen der Gewohnheiten und der Abhängigkeit von Alt-Systemen.
Folgst du 20 Minuten Wirtschaft auf Whatsapp?
Hier kriegst du die aktuellsten News aus der Wirtschaftswelt und die heissesten Updates zu Konsumententhemen direkt auf dein Handy.
