24 Milliarden gestohlene Datensätze: Was genau entdeckt wurde
Am 12. Juni 2026 entdeckten Forscher des Sicherheitsunternehmens Cybernews einen offen im Internet zugänglichen Elasticsearch-Cluster. Darin: 24 Milliarden Datensätze mit Benutzernamen, E-Mail-Adressen, Klartext-Passwörtern und den dazugehörigen Login-URLs. Das Gesamtvolumen der Datenbank überschritt 8,3 Terabyte. Der Besitzer der Datenbank ist bis heute unbekannt. Kurz nach der Entdeckung wurde der Cluster offline genommen, doch das Cybernews-Team hatte bereits genug Daten analysiert, um ein vollständiges Bild zu zeichnen.
Die Daten stammten aus 36 verschiedenen Quellen: von Telegram-Kanälen über kombinierte Breach-Compilations bis hin zu Datensätzen, die direkt von aktiven Zielservern exportiert worden waren. Über 30 der 36 Quellen waren Telegram-Kanäle, viele davon offen in Cybercrime-Communities aktiv. 1,7 Milliarden Datensätze stammten direkt aus solchen Telegram-Kanälen, verfasst auf Englisch und Russisch.
Der mit Abstand größte Block, 22,6 Milliarden Datensätze, war vom unbekannten Besitzer schlicht als “collections” beschriftet worden. Ein absichtlich vager Begriff, hinter dem eine Mischung aus Infostealer-Logs, älteren Breach-Daten und selbst gesammelten Credentials steckt. Weitere 150 Millionen Datensätze kamen aus sogenannten “Local Database Dumps”, also direkt aus dem Speicher kompromittierter Server. 146 Millionen weitere stammten aus einer “Breach Compilation Combo”, einer Zusammenstellung älterer Leaks, die wegen Passwort-Wiederverwendung nach wie vor gefährlich sind.
“Das Credential-Datenleck ist allein wegen seiner enormen Größe gefährlich”, schrieb Cybernews in seinem Bericht vom 17. Juni 2026. “Milliarden betroffener Konten sind akut durch Account-Takeovers gefährdet, insbesondere wenn keine Multi-Faktor-Authentifizierung vorhanden ist.”
Infostealer-Malware: Das Werkzeug hinter dem Rekordleck
Das zentrale technische Merkmal dieses Datenlecks ist seine Zusammensetzung. Anders als klassische Datenbankleaks, bei denen Angreifer in ein einzelnes Unternehmen einbrechen und dessen Daten stehlen, handelt es sich hier um aggregierte Infostealer-Logs. Infostealer sind eine Kategorie von Schadsoftware, die auf infizierten Geräten systematisch alle gespeicherten Zugangsdaten extrahieren: Passwörter aus Browsern, aktive Session-Cookies und -Tokens, Autofill-Daten, Geräte-Fingerprints und in manchen Fällen auch Krypto-Wallets oder Messenger-Konten.
Ein einziger Infostealer-Log von einem infizierten Heimcomputer kann Zugangsdaten für Dutzende oder Hunderte verschiedene Dienste enthalten. Wer auf einem Computer Passwörter in mehreren Browsern gespeichert hat, übergibt dem Angreifer mit einem einzigen Infektionsereignis ein vollständiges Profil seiner digitalen Identität. Die besonderen Risiken aktiver Session-Cookies werden dabei oft unterschätzt: Diese Tokens können die Zwei-Faktor-Authentifizierung (2FA) vollständig umgehen, weil sie nach einem bereits erfolgten Login ausgestellt wurden.
Laut SentinelOne-Statistiken für 2026 stiegen die globalen Cyberangriffe im Wochenvergleich auf durchschnittlich 1.968 Angriffe pro Organisation, ein Anstieg von 18 Prozent gegenüber 2025. Infostealer treiben dieses Wachstum maßgeblich an. Ransomware, die häufig Infostealer als erste Stufe des Angriffs einsetzt, ist laut Verizon Data Breach Investigations Report 2025 mittlerweile in 44 Prozent aller Sicherheitsvorfälle involviert, ein Sprung von 32 Prozent im Vorjahr.
Die in der entdeckten Datenbank gespeicherten Daten lagen überwiegend im Klartext vor. Das bedeutet, wer die Datenbank abgerufen hat, bekam vollständig lesbare Passwörter ohne weitere Entschlüsselung. Dazu kamen die jeweiligen Login-URLs, also die exakte Webadresse, für die das Passwort gilt. Diese Struktur macht die Daten besonders wertvoll für automatisierte Credential-Stuffing-Angriffe, bei denen gestohlene Username-Passwort-Kombinationen systematisch bei großen Diensten ausprobiert werden.
Besonders brisant ist ein Fund am Rande der Datenbank: Rund 17.000 Einträge enthielten CVE-Schwachstellen-IDs mit GitHub-Links, über 5.200 Logs enthielten Nachrichtenartikel über aktuelle Datenpannen und weitere 2.900 Logs zeigten Social-Media-Posts zu Cyberangriffen. Dies deutet darauf hin, dass der unbekannte Besitzer die Datenbank nicht nur als Credentials-Speicher, sondern als umfassendes Werkzeug für gezielte Angriffe nutzte.
Die Darkside-Verbindung: 260 Millionen Datensätze aus Ransomware-Netzwerken
Eines der auffälligsten Details in der Cybernews-Analyse: Rund 260 Millionen Datensätze stammten aus Telegram-Kanälen, in deren Namen das Wort “Darkside” vorkam. Darkside war jene Ransomware-Gruppe, die im Mai 2021 die Colonial Pipeline in den USA lahmlegte und damit die Benzinversorgung an der gesamten US-Ostküste für mehrere Tage störte. Nach massivem Druck durch US-Behörden löste sich die Gruppe formal auf.
Was diese Verbindung zeigt: Ransomware-Gruppen hinterlassen in ihrer Infrastruktur Spuren, die jahrelang nachhaltig im Cybercrime-Ökosystem weiterverwendet werden. Kanäle, die sich auf den Darkside-Markennamen beziehen, sammeln und redistribuieren gestohlene Credentials. Ob es sich um direkte Nachfolger, Mitglieder der ursprünglichen Gruppe oder schlicht Trittbrettfahrer handelt, ließ sich laut Cybernews nicht zweifelsfrei feststellen.
TechRadar zitierte Cybernews mit den Worten: “Das Datenleck ist gefährlich, weil es schlicht riesig ist.” Die englisch- und russischsprachige Zusammensetzung der Quellen verweist auf das übliche Gefüge des osteuropäischen Cybercrime-Markts, der seit Jahren Credential-Handel als eigenständiges Geschäftsmodell betreibt. Telegram hat sich dabei als De-facto-Handelsplatz etabliert: Kanäle mit gestohlenen Zugangsdaten werden öffentlich beworben, Datenpakete für wenige Dollar pro Tausend Datensätze verkauft.
Für österreichische Unternehmen ist dieser Aspekt besonders relevant. Viele der in solchen Kanälen gehandelten Credentials stammen aus Unternehmensumgebungen, kompromittiert über phishing-infizierte Geräte von Mitarbeitern im Homeoffice. Ein gestohlener VPN-Login oder ein kompromittiertes Microsoft-365-Konto reicht aus, um als Einstiegspunkt in ein Unternehmensnetzwerk zu dienen. Die globale Natur dieser Datenbanksammlungen macht eine geografische Eingrenzung unmöglich. Österreichische Credentials sind mit hoher Wahrscheinlichkeit in einem Datensatz dieser Größenordnung vertreten.
Historischer Vergleich: Die größten Credential-Leaks seit 2024
Das Leck vom Juni 2026 ist nicht das erste seiner Art, aber eines der größten dokumentierten Fälle. Im Januar 2024 entdeckten Forscher die sogenannte “Mother of All Breaches” (MOAB) mit über 26 Milliarden Datensätzen und einem Volumen von 12 Terabyte. MOAB war eine Zusammenstellung von Hunderten früherer Leaks, darunter prominente Vorfälle bei LinkedIn, Twitter und Weibo.
Im Juni 2025 fand Cybernews eine weitere Sammlung mit 16 Milliarden Credential-Datensätzen aus über 30 Quellen, darunter Logins für Google, Facebook, Apple, Telegram, GitHub und Regierungsportale. Einzelne Datensätze in dieser Sammlung enthielten über 3,5 Milliarden Einträge. Diese Sammlung wurde damals als “Blueprint for Mass Cybercrime” bezeichnet, ein Begriff, den Sicherheitsforscher der University of Connecticut prägten.
Der neue Fund vom Juni 2026 ist mit 24 Milliarden Datensätzen kleiner als MOAB in absoluten Zahlen, unterscheidet sich aber in einer entscheidenden Dimension: Er ist stärker auf frische Infostealer-Logs ausgerichtet als auf ältere, statische Breach-Compilations. Frische Infostealer-Logs sind gefährlicher, weil die darin enthaltenen Passwörter noch nicht geändert wurden und aktive Session-Tokens noch gültig sein können.
| Datenleck | Entdeckt | Datensätze | Volumen | Hauptquellen | Besonderheit |
|---|---|---|---|---|---|
| Mother of All Breaches (MOAB) | Januar 2024 | 26 Milliarden | 12 TB | LinkedIn, Twitter, Weibo, 100+ ältere Leaks | Größte Einzelkompilation bis 2024 |
| RockYou2024 | Juli 2024 | 10 Milliarden | k.A. | Passwort-Compilations über Jahrzehnte | Fast ausschließlich einzigartige Passwörter |
| Cybernews-Sammlung | Juni 2025 | 16 Milliarden | k.A. | 30+ Quellen, Google, Facebook, Apple | Beschrieben als “Blueprint for Mass Cybercrime” |
| Cybernews Elasticsearch-Cluster | 12. Juni 2026 | 24 Milliarden | 8,3+ TB | 36 Quellen, Telegram, Darkside-Kanäle | Frische Infostealer-Logs, Passwörter im Klartext |
| Apollo.io B2B-Kontaktleck | 11. Juni 2026 | 49 Millionen+ | k.A. | B2B-Kontaktdatenbank | Professionelle Unternehmenskontakte weltweit |
Aufschlüsselung der 24 Milliarden Datensätze nach Quellen
Cybernews konnte die Datenbank nur teilweise analysieren, bevor sie offline genommen wurde. Die vorliegenden Daten erlauben jedoch eine detaillierte Aufschlüsselung der Quellen und Datenmenge. Die folgende Tabelle basiert auf dem veröffentlichten Cybernews-Bericht vom 17. Juni 2026.
| Quelle / Kategorie | Datensätze | Anteil | Datentyp |
|---|---|---|---|
| Collections (Eigentümer-Label) | 22,6 Mrd. | ca. 94 % | Infostealer-Logs, Breach-Mix, Klartext-Passwörter |
| Telegram-Kanäle (gesamt) | 1,7 Mrd. | ca. 7 % | Gestohlene Credentials, englisch- und russischsprachig |
| Telegram-Kanäle “Darkside” | 260 Mio. | ca. 1,1 % | Credentials aus Ransomware-Netzwerk-Kanälen |
| Local Database Dumps | 150 Mio. | ca. 0,6 % | Direkt von aktiven Zielservern exportiert |
| Breach Compilation Combo | 146 Mio. | ca. 0,6 % | Alte Leaks, neu gebündelt, hohe Passwort-Wiederverwendung |
| CVE-Einträge mit GitHub-Links | 17.000 | weniger als 0,1 % | Schwachstellendaten mit Exploit-Referenzen |
Warum Duplikate die Gefahr nicht mindern
Eine häufige Reaktion auf Meldungen über Milliarden gestohlener Datensätze: “Das sind doch alles Duplikate.” Cybernews räumt selbst ein, dass die exakte Zahl einzigartiger Personen nicht bestimmbar ist. TechRadar schreibt: “Es ist unmöglich festzustellen, wie viele der Einträge Duplikate sind.” Diese Einschränkung ist real, ändert aber nichts an der Gefährdungslage.
Der entscheidende Grund: Passwort-Wiederverwendung. Studien zeigen konsistent, dass über 65 Prozent der Nutzer dasselbe Passwort für mehrere Dienste verwenden. Ein drei Jahre altes Passwort aus einem alten Breach kann heute noch den Zugang zu einem aktiven E-Mail-Konto öffnen, wenn der Nutzer es nie geändert hat. Credential-Stuffing-Bots testen gestohlene Kombinationen in Sekundenschnelle gegen Tausende von Diensten.
Die Infostealer-Komponente verstärkt dieses Risiko erheblich. Anders als ältere Breach-Compilations enthalten Infostealer-Logs oft aktuelle Passwörter, die der Nutzer erst kürzlich in seinen Browser eingetippt hat. Dazu kommen Session-Cookies, die nach dem erfolgreichen Login eines Dienstes ausgestellt werden. Werden diese Cookies gestohlen, kann ein Angreifer eine bestehende authentifizierte Session übernehmen, ohne jemals das Passwort zu kennen und ohne dass 2FA greift. Dieses Angriffsmuster hat in den letzten zwei Jahren erheblich an Bedeutung gewonnen.
Malwarebytes fasst die Gefahr in seinem Bericht vom 17. Juni 2026 präzise zusammen: Infostealer-Logs können “active session cookies and tokens, including those that bypass multi-factor authentication, autofill data, device fingerprints, and sometimes crypto wallets or messaging accounts” enthalten. Auf Deutsch: Ein kompromittiertes Gerät übergibt einem Angreifer nicht nur Passwörter, sondern den vollständigen digitalen Fußabdruck seines Besitzers, einschließlich aller aktiven Anmeldesessions.
Laut IBM-Daten für 2026 beträgt der durchschnittliche Schaden durch eine Datenpanne in den USA 10,22 Millionen US-Dollar, ein weltweiter Rekordwert. Der globale Durchschnitt liegt bei 4,44 Millionen US-Dollar. Bei 30 Prozent aller Vorfälle sind mittlerweile Dritte beteiligt, also Zulieferer oder Dienstleister, ein Anstieg um 100 Prozent gegenüber dem Vorjahr.
Auswirkungen für Österreich: NISG 2026 und Meldepflichten
Für österreichische Unternehmen kommt der Fund zu einem kritischen Zeitpunkt. Mit dem NISG 2026, dem Netz- und Informationssystemsicherheitsgesetz 2026, das ab 1. Oktober 2026 für rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe gilt, verschärfen sich die Anforderungen an die Cybersicherheit erheblich. Das Gesetz setzt die NIS-2-Richtlinie der EU in österreichisches Recht um und verpflichtet betroffene Organisationen unter anderem zur Meldung erheblicher Sicherheitsvorfälle.
Was bedeutet das konkret? Stellt ein österreichisches Unternehmen fest, dass Mitarbeiterdaten in einer solchen Credential-Datenbank aufgetaucht sind, und leitet ein Angreifer daraus einen erfolgreichen Einbruch in Unternehmenssysteme ab, dann besteht unter NISG 2026 in vielen Fällen eine Meldepflicht. Die Frist beträgt 24 Stunden für eine erste Frühwarnung und 72 Stunden für den vollständigen Bericht. Verstöße können Strafen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes nach sich ziehen.
Hinzu kommt die DSGVO-Dimension. Werden personenbezogene Daten österreichischer Nutzer in einem solchen Leck bestätigt, greifen Meldepflichten nach Artikel 33 DSGVO gegenüber der Datenschutzbehörde innerhalb von 72 Stunden. In der Praxis bedeutet das: Unternehmen, die kein aktives Credential-Monitoring betreiben, werden solche Vorfälle schlicht nicht rechtzeitig erkennen. Das ist sowohl ein Compliance-Risiko als auch ein operationelles Sicherheitsrisiko.
Laut dem aktuellen SentinelOne-Bericht 2026 stiegen Datenpannen global um bis zu 40 Prozent. 53 Prozent der Sicherheitsverantwortlichen nennen KI-gestützte Angriffe als ihre größte aktuelle Herausforderung. Besonders für mittelständische Unternehmen, die das Herzstück der österreichischen Wirtschaft bilden, bedeutet das einen erheblichen Ressourcendruck.
Was KI-gestützte Angreifer mit 24 Milliarden Credentials machen
Cyberkriminelle Gruppen automatisieren 2026 ihre Arbeitsabläufe zunehmend mit KI-Agenten. Ein Datensatz wie der vom 12. Juni 2026 entdeckte wird nicht von Hand durchsucht. Stattdessen verarbeiten automatisierte Systeme die Milliarden von Einträgen in Stunden: Sie testen Credentials gegen die wertvollsten Dienste (E-Mail, Banking, Cloud-Speicher), priorisieren Unternehmens-E-Mail-Adressen, identifizieren Nutzer mit privilegierten Zugängen und erstellen vollständige digitale Profile für gezielte Spear-Phishing-Kampagnen.
Der Wert der CVE-Einträge mit GitHub-Links in der Datenbank deutet auf einen besonders fortgeschrittenen Ansatz hin: Der unbekannte Besitzer kombinierte Credential-Daten mit aktuellen Informationen über ausnutzbare Schwachstellen. Das ermöglicht automatisierte Korrelationsangriffe, bei denen gestohlene Zugangsdaten gezielt gegen Systeme eingesetzt werden, für die bekannte Exploits verfügbar sind.
Besonders gefährdet sind Mitarbeiter mit administrativen Zugängen. Laut Verizon DBIR 2025 enthält 68 Prozent aller Sicherheitsvorfälle eine menschliche Komponente: Fehler, Social Engineering oder Missbrauch. Gestohlene Admin-Credentials ermöglichen Angreifern, im Unternehmensnetzwerk seitlich zu navigieren, Backups zu verschlüsseln und Ransomware auszubringen. Die klassische Ransomware-Kill-Chain startet fast immer mit gestohlenen Zugangsdaten.
Laut SentinelOne werden die globalen Ransomware-Schäden für 2026 auf 74 Milliarden US-Dollar prognostiziert. Agentic-Phishing-Angriffe, also vollständig KI-gesteuerte Phishing-Kampagnen, sollen laut demselben Bericht 42 Prozent aller globalen Datenverletzungen ausmachen. Beide Trends beschleunigen die Monetarisierung von Credential-Leaks wie dem vom Juni 2026.
Schutzmaßnahmen: Was österreichische Unternehmen und Privatpersonen jetzt tun müssen
Die Entdeckung eines Lecks dieser Größe verlangt konkrete Maßnahmen. Cybernews, Malwarebytes und TechRadar sind in ihren Empfehlungen einig. Hier die priorisierten Handlungsschritte für Österreich:
Sofortmaßnahmen für Privatpersonen
- Passwörter sofort ändern: Priorität haben E-Mail, Banking, Social Media und Cloud-Dienste. Passwörter müssen einzigartig sein, mindestens 16 Zeichen lang, eine Kombination aus Buchstaben, Zahlen und Symbolen.
- Passwort-Manager einsetzen: Tools wie Bitwarden (kostenlos) oder 1Password generieren und speichern sichere einzigartige Passwörter für jeden Dienst.
- Multi-Faktor-Authentifizierung aktivieren: Bevorzugt als App-basierter TOTP-Code oder Hardware-Schlüssel, nicht per SMS (SMS-2FA ist anfällig für SIM-Swap-Angriffe).
- Passkeys prüfen: Passkeys sind phishing-resistent und lösen das Passwort-Wiederverwendungsproblem grundsätzlich. Google, Apple und Microsoft unterstützen sie bereits auf allen Plattformen.
- Breach-Check durchführen: HaveIBeenPwned.com ermöglicht die kostenlose Prüfung, ob eine E-Mail-Adresse in bekannten Leaks aufgetaucht ist.
Maßnahmen für Unternehmen in Österreich
- Credential-Monitoring implementieren: Dienste, die kontinuierlich Unternehmens-E-Mail-Adressen gegen bekannte Leak-Datenbanken prüfen, sind keine Kür mehr, sondern unter NISG 2026 nahezu verpflichtend.
- Erzwungener Passwortwechsel: Für alle Unternehmenskonten, die potenziell betroffen sein könnten, insbesondere für privilegierte Nutzer und Administratoren.
- Session-Token-Rotation: Infostealer-Logs können aktive Session-Tokens enthalten. Regelmäßiges Ablaufen von Sessions und Re-Authentifizierungsregeln reduzieren dieses Risiko erheblich.
- Phishing-Monitoring intensivieren: Credential-Daten aus solchen Leaks werden für hochpräzise Spear-Phishing-Kampagnen genutzt. Technische Schutzmaßnahmen (E-Mail-Filterung, DMARC, DKIM) und Mitarbeitersensibilisierung sind unverzichtbar.
- NISG-2026-Readiness prüfen: Wer ab Oktober 2026 unter NISG 2026 fällt, muss bereits heute Prozesse für Meldung und Incident Response etablieren, damit die 24-Stunden-Frühwarnfrist eingehalten werden kann.
Marktauswirkungen: Identity Security als Wachstumsmarkt 2026
Datenfunde wie der vom Juni 2026 haben unmittelbare Marktauswirkungen. Die Nachfrage nach Identity Security-Lösungen steigt mit jeder Meldung dieser Art. Gartner prognostiziert für 2026 einen globalen Cybersicherheitsmarkt von 240 Milliarden US-Dollar, ein Wachstum von 12,5 Prozent gegenüber dem Vorjahr. Der Teilmarkt für Identity and Access Management (IAM), in dem Credential-Schutz eine zentrale Rolle spielt, wächst überproportional.
Anbieter wie CrowdStrike, SentinelOne und Microsoft Defender ergänzen ihre Plattformen zunehmend um Identity-Schutzfunktionen, die genau solche Credential-Kompromittierungen erkennen sollen. Gleichzeitig entsteht ein eigenes Ökosystem aus Credential-Intelligence-Diensten, die Unternehmen in Echtzeit warnen, wenn ihre Mitarbeiterdaten in Darknet-Märkten oder Telegram-Kanälen auftauchen.
Für österreichische Unternehmen, die unter NISG 2026 fallen, ist diese Entwicklung nicht nur eine Marktchance, sondern eine regulatorische Notwendigkeit. Wer nachweislich kein Credential-Monitoring betreibt und nach einem Vorfall fragen muss, wann und wie die Kompromittierung stattfand, wird die 24-Stunden-Frühwarnfrist kaum einhalten können.
Auf der Angreiferseite demokratisiert die zunehmende Verfügbarkeit solcher Datenbanken den Cybercrime-Einstieg. Für wenige hundert Euro kaufen unerfahrene Angreifer Zugangsdaten in Telegram-Kanälen und starten automatisierte Credential-Stuffing-Angriffe gegen gängige Dienste. Die Einstiegshürde sinkt, während der potenzielle Schaden steigt.
Prognosen: Was nach dem Leck vom Juni 2026 kommt
Die Entdeckung vom 12. Juni 2026 ist kein Ausnahmefall. Sie ist Teil eines anhaltenden Trends, der sich in den nächsten Monaten fortsetzen wird. Basierend auf dem aktuellen Datenbild folgen fünf Prognosen:
- Weitere Mega-Leaks in Q3 und Q4 2026: Infostealer-Malware wird aktiver eingesetzt als je zuvor. Die KI-gestützte Automatisierung von Angriffskampagnen erhöht die Infektionsraten. Mit hoher Wahrscheinlichkeit werden bis Ende 2026 weitere Elasticsearch-Cluster oder S3-Buckets mit vergleichbaren Datenmengen entdeckt.
- Session-Cookie-Angriffe lösen Credential-Stuffing ab: Angreifer, die sich auf Infostealer-Logs spezialisieren, werden zunehmend auf Session-Hijacking statt klassisches Passwort-Testen setzen. Das umgeht 2FA und ist schwieriger zu erkennen.
- NISG-2026-Compliance erzwingt mehr Reporting: Ab Oktober 2026 werden österreichische Unternehmen mehr Vorfälle melden müssen. Das wird zu einem höheren Bewusstsein für Credential-basierte Angriffe führen, aber auch zu mehr öffentlich bekannten Vorfällen in Österreich.
- Passkey-Adoption beschleunigt sich: Das wachsende Bewusstsein für Passwort-Risiken treibt die Adoption von Passkeys an. Große Plattformen werden 2026 und 2027 verstärkt auf passwortlose Authentifizierung umstellen.
- KI-gestütztes Credential-Monitoring wird Standard: Anbieter, die Echtzeit-Threat-Intelligence mit Credential-Monitoring kombinieren, werden im österreichischen und deutschen Markt stark wachsen. BSI und A-SIT werden entsprechende Empfehlungen in ihre Leitfäden aufnehmen.
Weiterführende Artikel
Related Coverage auf shattered.io
- Infostealers stahlen 2025 1,8 Milliarden Zugangsdaten
- NISG 2026: 5.000 Firmen, 10 Mio. Euro Strafe ab Oktober
- Passkeys vs. Passwörter: 8,5 vs. 31 Sekunden Anmeldezeit
- ClickFix-Kampagne: Vidar-Stealer befällt 250 WordPress-Sites
- Passwortsicherheit: Was Konten wirklich schützt
- Zwei-Faktor-Authentifizierung in Node.js: 11 Schritte
Externe Quellen und weiterführende Links
- TechRadar: Colossal breach exposes 24 billion records (Juni 2026)
- Security Affairs: 24 billion stolen credentials exposed (Juni 2026)
- Malwarebytes: 24 billion stolen records found in giant data dump (Juni 2026)
- HaveIBeenPwned: Prüfen Sie, ob Ihre E-Mail-Adresse betroffen ist
- Bitsight: Data Breach Tracker 2026
FAQ: 24 Milliarden gestohlene Zugangsdaten
Wie wurde die Datenbank mit 24 Milliarden Datensätzen entdeckt?
Forscher des Sicherheitsunternehmens Cybernews entdeckten am 12. Juni 2026 einen öffentlich zugänglichen Elasticsearch-Cluster im Internet. Der Cluster enthielt 24 Milliarden Datensätze in 8,3 Terabyte und war ohne Passwortschutz für jeden abrufbar, der die URL kannte. Die Datenbank wurde kurz nach der Entdeckung offline genommen, jedoch hatten die Forscher zuvor ausreichend Daten analysiert, um einen vollständigen Bericht zu erstellen.
Was ist ein Infostealer, und warum sind diese Daten besonders gefährlich?
Infostealer sind Schadsoftware, die auf einem infizierten Gerät alle gespeicherten Zugangsdaten extrahieren: Passwörter aus Browsern, aktive Session-Cookies, Autofill-Daten und manchmal Krypto-Wallets. Im Gegensatz zu älteren Breach-Compilations stammen Infostealer-Logs oft von kürzlich infizierten Geräten. Das bedeutet: Die Passwörter sind noch aktuell, und Session-Cookies können noch aktive Anmeldesitzungen repräsentieren, die 2FA-Schutz komplett umgehen.
Sind Passwörter mit Zwei-Faktor-Authentifizierung in diesem Leck sicher?
Nicht unbedingt. Infostealer-Logs können aktive Session-Cookies enthalten, die nach einem bereits abgeschlossenen 2FA-Login ausgestellt wurden. Ein Angreifer, der solche Cookies erhält, kann eine bestehende authentifizierte Session übernehmen, ohne das Passwort zu kennen und ohne erneut durch 2FA zu müssen. Passkeys bieten hier besseren Schutz, weil sie gerätegebunden und phishing-resistent sind.
Wie kann ich prüfen, ob meine Daten betroffen sind?
HaveIBeenPwned.com ermöglicht eine kostenlose Prüfung, ob eine E-Mail-Adresse in bekannten Datenlecks aufgetaucht ist. Da diese Datenbank kurz nach der Entdeckung offline genommen wurde, sind nicht alle Daten in öffentlichen Diensten indexiert. Empfehlenswert ist daher ein vollständiger Passwortwechsel für alle wichtigen Dienste, unabhängig vom Ergebnis einer Breach-Check-Suche.
Was bedeutet das Leck für österreichische Unternehmen unter NISG 2026?
Unternehmen, die ab Oktober 2026 unter das NISG 2026 fallen, müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (vollständiger Bericht) melden. Führt ein Credential-Leak zu einem Einbruch in Unternehmenssysteme, greift diese Meldepflicht. Ohne aktives Credential-Monitoring werden solche Kompromittierungen nicht rechtzeitig erkannt, was Strafen bis zu 10 Millionen Euro und operative Schäden nach sich ziehen kann.
Was hat die Darkside-Ransomware-Gruppe mit diesem Datenleck zu tun?
Rund 260 Millionen der 24 Milliarden Datensätze stammten aus Telegram-Kanälen, die “Darkside” im Namen trugen. Darkside war die Ransomware-Gruppe, die 2021 die Colonial Pipeline in den USA angriff. Ob es sich um direkte Nachfolger, frühere Mitglieder oder Trittbrettfahrer handelt, ließ sich laut Cybernews nicht feststellen. Die Verbindung zeigt, dass Ransomware-Netzwerke gestohlene Credentials über Telegram jahrelang weiterverbreiten.
Ist dieses Datenleck schlimmer als die Mother of All Breaches (MOAB) von 2024?
In absoluter Datensatzzahl ist MOAB mit 26 Milliarden Datensätzen und 12 Terabyte größer. Das neue Leck vom Juni 2026 enthält 24 Milliarden Datensätze in 8,3 Terabyte. Der entscheidende Unterschied liegt in der Frische der Daten: Das neue Leck enthält mehr aktuelle Infostealer-Logs mit noch gültigen Passwörtern und Session-Tokens, während MOAB stärker auf ältere Breach-Compilations setzte. Aktuelle Daten sind für Angreifer deutlich wertvoller.
