16 milliarden passwörter geleakt liste

Von Hannah Hartmann technology 9 Min. Lesezeit
16 milliarden passwörter geleakt liste

Ein IT-Leiter eines mittelständischen Fertigungsbetriebs rief mich vor sechs Monaten an, völlig aufgelöst. Er hatte am Wochenende in einem Forum gelesen, dass eine neue 16 milliarden passwörter geleakt liste im Netz aufgetaucht sei. Sein erster Instinkt war purer Aktionismus: Er zwang die gesamte Belegschaft – vom Fließbandarbeiter bis zum CEO – am Montagmorgen um acht Uhr dazu, sämtliche Passwörter zu ändern. Er dachte, er sei damit sicher. Das Ergebnis war ein Desaster. Die IT-Hotline brach unter der Last vergessener neuer Passwörter zusammen, die Produktion stand für drei Stunden still, weil Logins nicht funktionierten, und die Mitarbeiter waren so genervt, dass sie ihre neuen Zugangsdaten auf Post-its unter die Tastaturen klebten. Was er nicht wusste: Ein Großteil der Daten in solchen Sammlungen ist uralt, redundant oder schlichtweg falsch formatiert für moderne Systeme. Er verbrannte Tausende Euro an Arbeitszeit für ein Phantomrisiko, während die tatsächliche Sicherheitslücke – ein ungeschützter VPN-Zugang ohne zweiten Faktor – offen blieb wie ein Scheunentor.

Der fatale Glaube an die Aktualität der 16 milliarden passwörter geleakt liste

Einer der größten Fehler, die ich immer wieder sehe, ist die Annahme, dass solche astronomischen Zahlen eine unmittelbare Bedrohung für jedes einzelne Konto darstellen. In der Praxis besteht eine solche Sammlung meist aus einem sogenannten „Compilation of Many Breaches“. Das ist kein frischer Hack. Es ist ein digitaler Schrotthaufen. Wenn Sie versuchen, Ihre gesamte Sicherheitsstrategie auf der Bereinigung von Daten aus dieser Liste aufzubauen, jagen Sie Geistern nach.

Ich habe erlebt, wie Sicherheitsverantwortliche Wochen damit verbracht haben, diese Datenmengen zu durchsuchen, um festzustellen, ob Firmen-E-Mails enthalten sind. Das ist Zeitverschwendung. Die Daten sind oft Fragmente von Leaks aus den Jahren 2012 bis 2020. Wer seine Passwörter seitdem auch nur einmal vernünftig aktualisiert hat, ist gegen die direkte Nutzung dieser Daten immun. Die Gefahr liegt nicht in der Liste selbst, sondern in der statistischen Wahrscheinlichkeit, dass Ihre Nutzer immer noch dieselben Muster verwenden wie vor zehn Jahren.

Anstatt nach einzelnen Einträgen zu suchen, sollten Sie davon ausgehen, dass jedes Passwort, das jemals existiert hat, bereits in irgendeiner Datenbank steht. Die Lösung ist nicht die Jagd nach dem Leak, sondern die Implementierung von Systemen, denen das Passwort egal ist. Wer heute noch glaubt, dass ein komplexes Passwort allein Schutz bietet, hat die letzten fünf Jahre Cybersecurity verschlafen.

Die Falle der redundanten Datenmengen

Wenn Sie sich diese Sammlungen genauer ansehen, bemerken Sie schnell, dass von den Milliarden Einträgen nur ein Bruchteil „unique“ ist. Vieles sind Duplikate aus alten LinkedIn- oder MySpace-Hacks, die unter neuen Namen immer wieder hochgeladen werden, um in Hackerforen Prestige zu gewinnen. In meiner Arbeit habe ich gesehen, wie Firmen teure Analyse-Tools abonnierten, nur um Warnungen für Accounts zu erhalten, die seit Jahren deaktiviert waren. Das erzeugt eine „Alert Fatigue“, eine Alarm-Müdigkeit. Wenn es dann wirklich brennt, schaut keiner mehr hin, weil das System vorher 500-mal wegen belangloser Leaks von 2014 angeschlagen hat.

Warum Passwort-Rotation nach einem Leak meistens scheitert

Es ist ein weit verbreiteter Irrglaube, dass eine sofortige Passwortänderung nach Bekanntwerden eines Leaks die ultimative Lösung darstellt. In der Realität führt dieser Zwang oft zu noch schwächeren Passfrequenzen. Ein Nutzer, der gezwungen wird, sein Passwort sofort zu ändern, nimmt sein altes Passwort und hängt lediglich eine „!1“ oder das aktuelle Jahr hinten an.

Ich habe das in einem Vorher/Nachher-Szenario bei einem Kunden analysiert. Vor dem erzwungenen Wechsel hatten die Nutzer Passwörter mit einer gewissen Varianz. Nach dem Alarm wegen einer veröffentlichten Liste und dem daraus resultierenden Änderungszwang stieg die Vorhersehbarkeit der Passwörter um fast 40 Prozent an. Die Angreifer wissen das. Sie nutzen automatisierte Skripte, die genau diese Transformationen – also das Anhängen von Sonderzeichen oder Zahlen an bekannte Leaks – durchtesten.

Der richtige Weg sieht anders aus: Anstatt die Leute zu quälen, müssen Sie den Fokus auf die Identitätsfeststellung legen. Ein Passwort ist nur ein Faktor. Wenn dieser Faktor durch einen Leak kompromittiert ist, darf das allein niemals ausreichen, um Zugang zu erhalten. In einem modernen Unternehmen ist das Passwort nur noch die erste Hürde, nicht das Ziel.

Die Illusion der manuellen Kontrolle bei 16 milliarden passwörter geleakt liste

Viele Administratoren versuchen, Listen wie die 16 milliarden passwörter geleakt liste manuell mit ihren Active Directory Einträgen abzugleichen. Das ist nicht nur technisch extrem aufwendig, sondern rechtlich in Deutschland und Europa aufgrund der DSGVO oft eine Grauzone. Sie laden potenziell fremde, gestohlene Daten in Ihre Infrastruktur hoch oder verarbeiten sie auf Wegen, die nicht revisionssicher sind.

Ich sah einen Fall, in dem ein Systemadministrator die geleakten Daten auf seinem lokalen Rechner speicherte, um ein Python-Skript darüber laufen zu lassen. Sein Rechner wurde infiziert – ironischerweise durch eine Malware, die in den Download-Containern solcher Leak-Listen versteckt war. So wurde der Versuch, die Sicherheit zu erhöhen, zum direkten Einfallstor für Ransomware. Wer mit diesen Daten hantiert, hantiert mit radioaktivem Material. Man braucht eine isolierte Umgebung und das nötige Know-how, um diese Informationen zu verarbeiten, ohne sich selbst zu kontaminieren.

Die Lösung liegt in der Nutzung von professionellen API-Diensten wie „Have I Been Pwned“ für Unternehmen oder spezialisierten Identity-Protection-Lösungen. Diese Dienste haben die Infrastruktur, um Abfragen sicher und anonymisiert durchzuführen. Sie senden nicht das Passwort, sondern einen Hash-Präfix. Das ist sicher, schnell und spart Ihnen die Zeit, die Sie für das Herunterladen von Terabytes an Textdateien aufwenden würden, die am Ende doch nur Ihren Speicher verstopfen.

Warum einfache Hash-Vergleiche nicht ausreichen

Ein technischer Fehler, den ich oft korrigieren muss: Administratoren denken, wenn der MD5-Hash ihres Nutzerpassworts nicht in der Liste auftaucht, sei alles sicher. Das ist falsch. Moderne Angreifer nutzen Rainbow Tables und massive Rechenpower, um Hashes in Sekundenschnelle zu knacken. Wenn Ihre Passwörter nicht mit einem starken Salt und einem langsamen Hashing-Algorithmus wie Argon2 geschützt sind, hilft Ihnen der Vergleich mit einer statischen Liste gar nichts. Der Angreifer generiert sich seine eigene Liste basierend auf den Bruchstücken, die er findet.

Der Fehler der Vernachlässigung von Credential Stuffing

Der wahre Schaden durch eine 16 milliarden passwörter geleakt liste entsteht nicht durch gezielte Angriffe auf eine Person, sondern durch Credential Stuffing. Hierbei probieren Bots automatisiert Kombinationen aus E-Mail und Passwort auf Tausenden von Webseiten aus.

In meiner Praxis erlebte ich ein E-Commerce-Unternehmen, das stolz auf seine komplexen Passwortregeln war. Doch sie hatten keine Rate-Limiting-Funktion an ihrem Login-Panel. Ein Angreifer nahm eine Leak-Liste und feuerte innerhalb von zwei Stunden Millionen von Anmeldeversuchen ab. Da viele Nutzer dasselbe Passwort für ihr privates E-Mail-Konto und den Shop verwendeten, wurden über 500 Kundenkonten übernommen. Der finanzielle Schaden durch Rückbuchungen und der Vertrauensverlust waren immens.

📖 Verwandt: linux get free disk space

Hier hilft kein neues Passwort-Diktat. Hier hilft nur Technik:

  • Implementierung von CAPTCHAs oder noch besser: verhaltensbasierter Bot-Erkennung.
  • Analyse von Login-Mustern (Geofencing, verdächtige IP-Adressen).
  • Sofortige Sperrung von Konten bei Treffern in bekannten Datenbanken über automatisierte Schnittstellen.

Wer sich nur auf die Liste konzentriert, starrt auf das Geschoss, während der Schütze bereits das nächste Magazin lädt. Sie müssen das Gewehr unbrauchbar machen, indem Sie die automatisierte Anmeldung erschweren.

Das Märchen vom sicheren Firmennetzwerk ohne MFA

Ich höre oft das Argument: „Unsere Mitarbeiter nutzen ihre Passwörter nur intern, ein Leak von außen betrifft uns nicht.“ Das ist brandgefährlich. Wir leben in einer Welt von Home-Office und Cloud-Diensten. Die Grenze zwischen intern und extern existiert nicht mehr.

Ich habe gesehen, wie ein privater Account eines Marketing-Mitarbeiters in einem Leak auftauchte. Er verwendete das gleiche Passwort für seinen privaten Dropbox-Account und den Firmen-VPN. Der Angreifer brauchte keine komplexe Malware. Er kaufte sich Zugang zu einer Datenbank, suchte nach der E-Mail-Adresse des Mitarbeiters und probierte das Passwort beim Firmen-VPN aus. Er war drin. Ohne eine einzige Alarmglocke auszulösen, da es eine „legitime“ Anmeldung war.

Der Vorher/Nachher-Vergleich zeigt hier die brutale Realität: Vorher: Ein Unternehmen setzt auf 12-stellige Passwörter mit Sonderzeichen. Ein Leak führt zur Kompromittierung des Netzwerks innerhalb von Minuten, weil ein einziger Mitarbeiter sein Passwort recycelt hat. Nachher: Das Unternehmen führt Multi-Faktor-Authentisierung (MFA) ein – idealerweise über Hardware-Token oder Push-Apps. Das Passwort aus dem Leak landet beim Angreifer, aber beim Login-Versuch wird der Mitarbeiter auf seinem Handy gefragt: „Sind Sie das?“. Der Angreifer scheitert, egal wie viele Milliarden Passwörter er in seiner Liste hat.

MFA ist heute kein optionales Extra mehr. Es ist die einzige Schicht, die wirklich zählt, wenn Passwörter zur Massenware in Foren werden. Alles andere ist nur Dekoration.

Warum Passwort-Manager die einzige praktikable Lösung sind

Vergessen Sie die Regel, dass Mitarbeiter sich ihre Passwörter merken müssen. Das ist biologisch unmöglich bei der Anzahl der Dienste, die wir heute nutzen. Wenn Sie von Ihren Leuten verlangen, sich 20 verschiedene, komplexe Passwörter zu merken, zwingen Sie sie zum Betrug. Sie werden Muster nutzen, sie werden sie aufschreiben, sie werden sie wiederverwenden.

In meiner Beratung rate ich Firmen immer dazu, Geld für eine Enterprise-Lizenz eines Passwort-Managers in die Hand zu nehmen. Das kostet ein paar Euro pro Nutzer im Monat, spart aber Millionen im Ernstfall. Ein Passwort-Manager generiert für jeden Dienst ein einzigartiges, 30-stelliges Zufallspasswort. Wenn dann ein Dienst gehackt wird und die Daten in einer Sammlung auftauchen, ist der Schaden auf diesen einen Dienst begrenzt. Es gibt keine Kettenreaktion.

💡 Das könnte Sie interessieren: assa abloy riegelschaltkontakt 031309.06 3-adrig vds c

Ich habe Firmen gesehen, die Zehntausende Euro für Firewalls ausgegeben haben, aber zu geizig für Passwort-Manager waren. Das ist so, als würde man eine Panzertür in ein Zelt einbauen. Die Schwachstelle ist der Mensch und seine Unfähigkeit, sich Zufälligkeiten zu merken. Nutzen Sie Werkzeuge, die diese menschliche Schwäche technologisch abfangen.

Realitätscheck

Es gibt keine absolute Sicherheit, und keine Liste der Welt wird Ihnen sagen können, ob Sie morgen gehackt werden. Wer Ihnen verspricht, dass Sie nach dem Abgleich einer Datenbank sicher sind, lügt Sie an. Die Realität in der IT-Sicherheit ist trocken, anstrengend und erfordert ständige Aufmerksamkeit.

Erfolg in diesem Bereich bedeutet nicht, den größten Wall zu bauen, sondern die Erkennungszeit zu verkürzen und die Auswirkungen eines Einbruchs zu minimieren. Wenn ein Passwort geleakt wird, sollte das in Ihrer Organisation ein müdes Lächeln hervorrufen, weil Sie wissen, dass der zweite Faktor den Angreifer stoppt und der Passwort-Manager den Schaden isoliert.

Hören Sie auf, nach Abkürzungen zu suchen oder sich von riesigen Zahlen in Schlagzeilen einschüchtern zu lassen. Investieren Sie in MFA, schulen Sie Ihre Leute im Umgang mit Passwort-Managern und sorgen Sie für eine Unternehmenskultur, in der ein kompromittierter Account sofort gemeldet wird, anstatt ihn aus Angst vor Strafe zu verschweigen. Das ist mühsamer als das Herunterladen einer Liste, aber es ist das Einzige, was am Ende den Unterschied zwischen einem normalen Arbeitstag und dem Ruin Ihres Unternehmens ausmacht. Es ist nun mal so: In der digitalen Welt ist Bequemlichkeit der größte Feind der Sicherheit. Wer billig kauft oder den einfachen Weg wählt, zahlt später doppelt und dreifach – meistens an Leute, die diese Leak-Listen professionell auswerten. Schützen Sie sich nicht gegen die Liste von gestern, sondern gegen die Methoden von morgen. Es braucht Disziplin, technisches Verständnis und die Einsicht, dass das Passwort als alleiniges Sicherheitsmerkmal tot ist. Wer das akzeptiert, hat die erste Hürde zum echten Schutz bereits genommen.

HH

Hannah Hartmann

Mit faktenbasierter Arbeitsweise liefert Hannah Hartmann Beiträge, die Leserinnen und Lesern Orientierung im Nachrichtengeschehen geben.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap