Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 18.06.2026 · 4 min Lesezeit

24 Milliarden Zugangsdaten offen im Netz: Was Admins jetzt prüfen sollten

Eine riesige Sammlung aus Infostealer-Logs macht klar: Passwortwechsel allein reicht nicht. Admins sollten MFA, Sessions, Tokens und Anmeldeprotokolle prüfen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
S-EDV News Grafik zu Infostealer Logs und 24 Milliarden Zugangsdaten

Eine zeitweise offen erreichbare Datenbank mit rund 24 Milliarden Datensätzen zeigt erneut, warum Passwort-Wiederverwendung, fehlende Mehrfaktor-Authentifizierung und unkontrollierte Browser-Speicherung im Unternehmensalltag ein reales Risiko bleiben. Nach Berichten von WinFuture auf Basis von Cybernews bestand die Sammlung überwiegend aus Infostealer-Protokollen. Solche Protokolle entstehen, wenn Schadsoftware auf Endgeräten Browser, Passwortspeicher, Cookies, Tokens und gespeicherte Zugangsdaten ausliest.

Was bekannt ist

Laut Bericht war eine Datenbank mit mehr als 8,3 Terabyte Umfang zeitweise öffentlich erreichbar. Enthalten waren demnach rund 24 Milliarden Datensätze. Die Datenbank ist inzwischen nicht mehr erreichbar, doch der Zwischenfall bleibt relevant: Wenn Zugangsdaten einmal in solchen Sammlungen landen, verschwinden sie nicht zuverlässig. Kopien können in privaten Archiven, Telegram-Kanälen, Malware-Foren oder Credential-Stuffing-Werkzeugen weiterleben.

Die Forscher ordnen den größten Teil der Informationen sogenannten Infostealer-Logs zu. Diese unterscheiden sich von klassischen Einzellecks. Während ein normaler Plattform-Datenabfluss oft nur einen Dienst betrifft, enthalten Infostealer-Protokolle häufig Zugangsdaten zu vielen Diensten derselben Person oder desselben Geräts: E-Mail, Cloudspeicher, Onlineshops, Social Media, Admin-Portale, Git-Repositories, VPN-Zugänge oder interne Webdienste.

Warum Infostealer-Logs so gefährlich sind

Infostealer sammeln nicht nur Benutzername und Passwort. Je nach Schadsoftware können auch Browser-Cookies, Autofill-Daten, Session-Tokens, Wallet-Daten, Geräteinformationen und besuchte Domains ausgelesen werden. Damit entsteht für Angreifer ein deutlich besseres Lagebild als bei einem isolierten Passwort-Leak.

RisikoWarum es kritisch istAdmin-Maßnahme
Wiederverwendete PasswörterEin gestohlenes Passwort funktioniert oft bei mehreren Diensten.Passwortwechsel erzwingen und Passwortmanager einführen.
Gestohlene SessionsCookies oder Tokens können MFA teilweise umgehen, wenn sie noch gültig sind.Sitzungen invalidieren und Conditional Access prüfen.
Private GeräteInfektionen entstehen häufig außerhalb kontrollierter Unternehmensgeräte.BYOD-Regeln, Gerätezustand und Zugriffskonzepte prüfen.
Admin-ZugängeEin einziges kompromittiertes Admin-Konto kann Folgeangriffe ermöglichen.MFA, Rollenmodell, Break-Glass-Konten und Login-Alerts prüfen.

Was in der Sammlung stecken soll

Nach Angaben im Bericht enthielt die Datenbank unter anderem E-Mail-Adressen, Benutzernamen, Klartext-Passwörter und die zugehörigen Dienste oder Domains. Die Informationen sollen aus 36 verschiedenen Quellen stammen. Dazu zählen ältere Leaks, Telegram-Kanäle mit Bezug zu Cyberkriminalität und direkt exportierte Datenbestände. Allein mehr als 1,7 Milliarden Einträge sollen aus Telegram-Kanälen stammen. Rund 22,6 Milliarden Datensätze wurden offenbar in größeren Collections zusammengeführt, deren genaü Herkunft nicht vollständig geklärt ist.

Wichtig ist die Einordnung: 24 Milliarden Datensätze bedeuten nicht automatisch 24 Milliarden betroffene Personen. In solchen Sammlungen sind Dubletten, alte Einträge, gleiche Zugangsdaten in mehreren Quellen und maschinell zusammengeführte Datensätze üblich. Für die Praxis ändert das wenig. Wenn reale Zugangsdaten enthalten sind, können sie für Credential Stuffing, Phishing, Erpressung, Identitätsdiebstahl oder gezielte Unternehmensangriffe genutzt werden.

Warum KMU das nicht ignorieren sollten

Für kleine und mittlere Unternehmen ist nicht die absolute Größe der Sammlung entscheidend. Entscheidend ist, ob Mitarbeiter, Administratoren, Dienstleister oder Funktionspostfächer betroffen sind. Ein einziger wiederverwendeter Login kann reichen, um Zugriff auf Microsoft 365, Webhosting, Kundenportale, Buchhaltung, VPN, Passwortmanager oder Remote-Management-Werkzeuge zu erhalten.

Besonders kritisch sind Konten mit administrativen Rechten. Dazu gehören globale Administratoren in Microsoft 365, Hosting-Zugänge, Domain-Registrare, Passwortmanager-Administratoren, Cloud-Konsolen und Konten mit Zugriff auf Kundensysteme. Hier darf ein Passwortwechsel allein nicht als Abschluss gelten. Es müssen Sitzungen beendet, MFA-Methoden geprüft und auffällige Anmeldungen ausgewertet werden.

So sollten Admins jetzt vorgehen

  1. Passwort-Wiederverwendung aktiv suchen, vor allem bei Admin-Konten, E-Mail-Konten und externen Portalen.
  2. MFA für alle wichtigen Konten erzwingen, nicht nur empfehlen.
  3. Bestehende Sessions und Refresh-Tokens für Risikokonten zurücksetzen.
  4. Anmeldeprotokolle auf ungewöhnliche Länder, IP-Adressen, User-Agents und Uhrzeiten prüfen.
  5. Browser-Passwortspeicherung auf Firmenendgeräten kritisch prüfen und nach Möglichkeit durch einen verwalteten Passwortmanager ersetzen.
  6. Endgeräte auf Infostealer-Spuren untersuchen, wenn Konten ohne klare Erklärung betroffen sind.
  7. Phishing-Schulungen und Meldewege auffrischen, weil solche Sammlungen oft für Folgeangriffe genutzt werden.

MFA ist Pflicht, aber kein Allheilmittel

Mehrfaktor-Authentifizierung reduziert das Risiko massiv, schützt aber nicht gegen jedes Szenario. Wenn Angreifer gültige Session-Cookies oder Tokens stehlen, kann MFA je nach Dienst und Lebensdaür der Sitzung bereits passiert sein. Deshalb sind kurze Sitzungslebensdaürn, risikobasierte Anmelderegeln, Gerätebindung und regelmäßige Überprüfung aktiver Sessions wichtig.

In Microsoft-365-Umgebungen sollten Administratoren insbesondere Legacy-Authentifizierung, anonyme Weiterleitungen, ungewöhnliche OAuth-App-Freigaben und neue Posteingangsregeln prüfen. Bei Hosting- und Serverzugängen gehören SSH-Schlüssel, API-Tokens, Deploy-Keys und externe Dienstleisterkonten ebenfalls in die Kontrolle.

Passende Anleitungen auf S-EDV

  1. Zwei-Faktor-Authentifizierung richtig einführen – Grundlage, um kompromittierte Passwörter deutlich weniger gefährlich zu machen.
  2. Microsoft 365 MFA und Conditional Access einrichten – sinnvoll für Unternehmen, die Login-Risiken zentral steuern möchten.
  3. Phishing erkennen und melden – hilfreich, weil geleakte Zugangsdaten oft für gezielte Folgeangriffe genutzt werden.

Einordnung

Die offene Datenbank ist kein klassischer Einzelfall, bei dem ein Anbieter ein bestimmtes System patchen muss. Sie ist ein Symptom des Infostealer-Ökosystems. Solche Sammlungen entstehen, weil Zugangsdaten auf Endgeräten gespeichert, mehrfach verwendet und später automatisiert zusammengeführt werden. Für Administratoren bedeutet das: Passwortsicherheit ist kein reines Benutzerproblem. Sie braucht technische Leitplanken, zentrale Richtlinien, Protokollauswertung und klare Reaktionsprozesse.

Wer nur einzelne Passwörter ändert, schließt die sichtbare Lücke. Wer MFA, Passwortmanager, Session-Management, Endgeräteschutz und Awareness kombiniert, reduziert das Folgeangriffsrisiko deutlich nachhaltiger.

Quellen

  1. WinFuture: 24 Mrd. Datensätze offen im Netz
  2. Cybernews: 24 billion credentials data leak
  3. Have I Been Pwned: Pwned Passwords
  4. CISA: Use Strong Passwords
Verwandt

Weiter lesen

Alle Artikel →
NGINX 1.31.2 Sicherheitsupdate mit geschlossenem Schutzschild vor Server, Darstellung kritischer Sicherheitslücken in HTTP/3, gRPC und Charset Modul in moderner Cybersecurity News Grafik mit Rechenzentrum und Netzwerkvisualisierung.
18.06.2026 ·5 min

nginx 1.31.2 schließt kritische Lücken in HTTP/3, gRPC und Charset Modul

nginx 1.31.2 schließt drei Sicherheitslücken: CVE-2026-42530 in HTTP/3, CVE-2026-42055 in Proxy und gRPC Setups sowie CVE-2026-48142 im Charset Modul. Admins sollten Webserver, Container Images und Reverse Proxies jetzt prüfen.
Fortinet Firewalls: Kompromittierte FortiGate Zugänge mit Warnsymbolen, Angriffsnetzwerk und deaktivierter Cloud im modernen Cybersecurity News Stil.
18.06.2026 ·6 min

Fortinet Firewalls: Berichte über massive Kompromittierung von FortiGate Zugängen

Berichte über zehntausende kompromittierte Fortinet FortiGate Firewalls zeigen, wie kritisch exponierte VPN und Management Zugänge sind. Admins sollten Firmware, MFA, Logs und Zugangsdaten prüfen.
IT News Grafik zur Joomla JCE Sicherheitslücke mit Warnung der CISA vor einer aktiv ausgenutzten Remote Code Execution Schwachstelle. Darstellung von Cyberangriff, Webserver, Sicherheitswarnung und kritischem Patch Management für Joomla Webseiten.
18.06.2026 ·3 min

Joomla JCE: CISA warnt vor aktiv ausgenutzter RCE-Lücke

CISA führt CVE-2026-48907 im KEV-Katalog. Betroffen ist die JCE-Erweiterung für Joomla bis Version 2.9.99.4, Updates und Prüfungen sind dringend sinnvoll.