24 Milliarden Zugangsdaten offen im Netz – das Ende der reinen Passwort-Anmeldung
Im Juni 2026 wurde eine frei zugängliche Elasticsearch-Datenbank mit rund 24 Milliarden gestohlenen Zugangsdaten-Datensätzen entdeckt – über 8,3 Terabyte an Nutzernamen, E-Mail-Adressen, Login-URLs, Quellenangaben und, besonders brisant, Passwörtern im Klartext. Wichtig zur Einordnung: Das sind nicht 24 Milliarden einzelne Menschen, sondern eine Aggregation aus Infostealer-Malware und früheren Leaks. Die schiere Größe ändert nichts an der eigentlichen Lehre: Die reine Passwort-Anmeldung hat ausgedient.
Was da eigentlich gefunden wurde
Eine offen im Netz stehende Elasticsearch-Datenbank – also ohne jeden Zugriffsschutz erreichbar – enthielt rund 24 Milliarden Datensätze mit einem Volumen von über 8,3 TB. Enthalten waren Nutzernamen, E-Mail-Adressen, Klartext-Passwörter, Login-URLs und Angaben zur Herkunft der Daten.
Der entscheidende Kontext: Es handelt sich um eine Aggregation, nicht um einen einzelnen neuen Mega-Hack. Die Daten stammen aus Infostealer-Malware, die auf infizierten Rechnern gespeicherte Zugangsdaten abgreift, und aus früheren Leaks, die hier zusammengeführt wurden. Ein Datensatz ist also nicht gleich ein Mensch – viele Einträge sind Duplikate oder veraltet. Trotzdem: Wer schwache oder wiederverwendete Passwörter nutzt, findet sich mit einiger Wahrscheinlichkeit darin wieder.
Warum Passwort-Wiederverwendung so gefährlich ist
Der eigentliche Sprengstoff liegt nicht in einem einzelnen Passwort, sondern im Verhalten dahinter. Wer dasselbe Passwort für mehrere Dienste nutzt, verwandelt ein einzelnes Leak in einen Generalschlüssel. Angreifer probieren gestohlene Kombinationen automatisiert bei anderen Diensten durch – dieses Verfahren heißt Credential Stuffing und ist billig, schnell und skalierbar.
Klartext-Passwörter in einem solchen Datensatz sparen dem Angreifer sogar den Schritt des Entschlüsselns. Er kann sie direkt einsetzen. Ein einziges wiederverwendetes Passwort kann so den Zugang zum Firmen-Postfach, zum CRM und zum Cloud-Speicher gleichzeitig öffnen.
Deshalb ist die reine Passwort-Anmeldung am Ende
Solche Funde sind keine Ausreißer mehr, sondern Routine. Sie zeigen, dass das Passwort als alleiniger Schutz nicht mehr trägt – nicht, weil Passwörter grundsätzlich schlecht sind, sondern weil sie in so großer Zahl kompromittiert und wiederverwendet werden, dass man sich nicht mehr auf sie verlassen kann.
Die Antwort ist ein mehrschichtiger Ansatz. Als besonders robust gelten Passkeys, die als phishing-resistent gelten, weil sie kein abfangbares Geheimnis über die Leitung schicken. Wie sich das im Unternehmen einführen lässt, haben wir in unserem Beitrag zur Passkey-Einführung beschrieben.
Konkrete To-dos für Unternehmen
Was Sie aus diesem Fund für Ihr Unternehmen mitnehmen sollten:
- MFA überall: Mehr-Faktor-Authentifizierung macht ein gestohlenes Passwort für sich allein nutzlos.
- Passkeys einführen, wo möglich – phishing-resistent und komfortabler als klassische MFA.
- Passwortmanager bereitstellen, damit jeder Dienst ein eigenes, starkes Passwort bekommt und Wiederverwendung entfällt.
- Dark-Web- und Leak-Monitoring, um zu erfahren, wenn Zugangsdaten Ihrer Domain auftauchen.
- Legacy-Auth deaktivieren, denn alte Protokolle umgehen MFA oft komplett.
Wir setzen diese Maßnahmen im Rahmen unserer IT-Security, der Microsoft-365-Betreuung und unserer Managed IT Services um – abgestimmt auf Ihre Umgebung, nicht als Checklisten-Abarbeitung.
Was bleibt
24 Milliarden aggregierte Zugangsdaten sind kein neuer Super-Hack, aber ein klarer Beleg: Passwörter allein tragen nicht mehr. Wer MFA und phishing-resistente Passkeys einführt, einen Passwortmanager bereitstellt, Leaks überwacht und Legacy-Auth abschaltet, nimmt gestohlenen Passwörtern den Großteil ihrer Wirkung.