Eine globale Auswertung von Zugangsdaten-Leaks aus den Jahren 2023 bis 2025 zeigt ein klares Muster: Nutzer weltweit setzen weiterhin massenhaft auf schwache und wiederverwendete Passwoerter – oft ueber Jahre hinweg und haeufig selbst dann, wenn diese bereits in Datenbanken mit geleakten Zugangsdaten aufgetaucht sind.
Globale Passwort-Leaks 2023–2025: zentrale Erkenntnisse zur Passwort-Sicherheit
Fachleute von Kaspersky analysierten grosse Datensaetze, die durch Datenpannen, Hacking-Angriffe und Phishing-Kampagnen oeffentlich wurden. Ausgewertet wurden sowohl die Passwoerter selbst als auch Metadaten zu den betroffenen Accounts. Dadurch liessen sich stabile Verhaltensmuster der Nutzer identifizieren.
Besonders deutlich: 54 % der im Jahr 2025 kompromittierten Passwoerter waren bereits in aelteren Leaks vorhanden. Mit anderen Worten: Mehr als jede zweite betroffene Person hat ihren Zugangscode nicht geaendert, obwohl dieser schon mindestens einmal in den Haenden von Cyberkriminellen war.
Die Analyse zeigt zudem, dass ein und dasselbe Passwort im Schnitt 3,5 bis 4 Jahre aktiv bleibt. In dieser Zeit kann es in Untergrundforen weiterverkauft, in Botnetze integriert und fuer Credential Stuffing genutzt werden – also fuer automatisierte Versuche, bekannte Kombinationen aus E-Mail-Adresse und Passwort auf moeglichst vielen Online-Diensten durchzuprobieren.
Warum Passwort-Wiederverwendung so riskant ist
Ein Kernproblem ist die Mehrfachnutzung identischer Passwoerter ueber verschiedene Dienste hinweg: E-Mail, soziale Netzwerke, Cloud-Speicher, Online-Shops, Banking und sogar Unternehmenszugriffe. Gelingt der Zugriff auf nur einen dieser Dienste, entsteht ein Ketteneffekt: Angreifer testen dieselben Log-in-Daten systematisch auf anderen Plattformen.
Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass ein grosser Teil erfolgreicher Angriffe auf kompromittierte Zugangsdaten zurueckgeht. Aehnlich warnt das deutsche Bundesamt fuer Sicherheit in der Informationstechnik (BSI) davor, dass einmal geleakte Passwoerter praktisch dauerhaft im Untergrund kursieren und in automatisierten Angriffen wiederverwendet werden.
Was schwache Passwoerter gemeinsam haben
Die Struktur der kompromittierten Passwoerter zeigt typische Muster. Laut Kaspersky enthaelt rund jeder zehnte geleakte Passwort-Eintrag eine Zahlenfolge, die wie ein Datum aussieht – haeufig Jahreszahlen im Bereich von «1990» bis «2025». Dabei handelt es sich oft um Geburtsjahre, Jahrestage oder offensichtliche Zahlenkombinationen.
Auffaellig haeufig ist zudem das aktuelle oder juengste Jahr: Ungefaehr jedes zweihundertste untersuchte Passwort endete auf «2024». Fuer Angreifer sind solche Muster trivial zu erraten und fester Bestandteil selbst einfacher Passwort-Listen.
Nach wie vor weit verbreitet sind primitive Sequenzen wie «12345», aber auch Begriffe wie «love», Vornamen oder Laendernamen. Solche Passwoerter fallen klassischen Worterbuch-Angriffen (Dictionary Attacks) binnen Sekunden zum Opfer, bei denen automatisiert haeufig genutzte Woerter, Namen und Zahlenkombinationen durchprobiert werden.
Best Practices fuer starke Passwoerter und sicheren Umgang mit Zugangsdaten
Aktuelle Empfehlungen von Sicherheitsbehoerden und Normen wie NIST SP 800‑63 betonen: Die Laenge eines Passworts ist wichtiger als exotische Sonderzeichen. Empfehlenswert sind mindestens 12 bis 14 Zeichen, besser noch laengere Passphrasen, also sinnvolle, aber einzigartige Saetze oder Wortkombinationen, die nicht in Liedern, Buechern oder Filmen vorkommen.
Wichtige Grundregeln fuer Passwort-Sicherheit:
- Fuer jeden Dienst ein eigenes, einzigartiges Passwort verwenden.
- Keine persoenlichen Daten nutzen: keine Geburtsdaten, Namen, Telefonnummern, Postleitzahlen oder leicht recherchierbare Informationen.
- Auf triviale Muster wie «12345», «qwerty», einfache Jahreszahlen oder populaere Woerter verzichten.
- Komplexe und lange Passwoerter in einem Passwort-Manager speichern, statt in Notizen, Textdateien oder E-Mails.
Moderne Passwort-Manager bieten zusaetzlich Funktionen wie Passwort-Generatoren, Sicherheitspruefungen auf Wiederverwendung sowie Warnungen, wenn eigene Zugangsdaten in bekannten Datenleaks auftauchen.
Zwei-Faktor-Authentifizierung und Passkeys als naechster Sicherheitslevel
Selbst ein starkes Passwort bietet keinen vollstaendigen Schutz, wenn es einmal abgeflossen ist. Deshalb entwickeln sich Zwei-Faktor-Authentifizierung (2FA) und Passkeys zum neuen Standard. Bei 2FA wird neben dem Passwort ein zweiter Faktor abgefragt, etwa ein Einmalcode aus einer Authenticator-App, eine SMS, ein Hardware-Token oder biometrische Merkmale.
Noch robuster sind Passkeys auf Basis von WebAuthn und FIDO2. Hier kommen kryptografische Schluessel zum Einsatz, die sicher auf dem Geraet des Nutzers gespeichert werden. Ein klassisches Passwort wird dabei nicht mehr eingegeben, wodurch diese Methode weitgehend phishing-resistent ist: Selbst wenn ein Nutzer auf eine gefaelschte Login-Seite gelockt wird, laesst sich der Schluessel nicht einfach abgreifen oder wiederverwenden.
Empfohlene Massnahmen fuer Nutzer und Unternehmen:
- 2FA konsequent fuer kritische Accounts aktivieren – insbesondere E-Mail, soziale Netzwerke, Cloud-Dienste und Online-Banking.
- Wo immer moeglich auf Passkeys umstellen und diese bevorzugt gegenueber SMS-TAN oder reinen Passwoertern nutzen.
- Regelmaessig ueber Dienste wie Have I Been Pwned oder vergleichbare Angebote pruefen, ob eigene E-Mail-Adressen in Leaks aufgetaucht sind, und kompromittierte Passwoerter sofort aendern.
Die grossen Passwort-Leaks der Jahre 2023 bis 2025 belegen eindruecklich, dass veraltete Gewohnheiten wie kurze, einfache und wiederverwendete Passwoerter mit der heutigen Bedrohungslage nicht mehr vereinbar sind. Wer das Risiko von Kontouebernahmen deutlich senken will, sollte jetzt auf laengere, einzigartige Passwoerter setzen, diese im Passwort-Manager verwalten und 2FA oder Passkeys aktivieren. Je frueher Nutzer und Organisationen ihre Passwort-Strategie modernisieren, desto schwieriger wird es fuer Cyberkriminelle, geleakte Zugangsdaten in erfolgreiche Angriffe zu verwandeln.
