Affiliate-Hinweis: Einige Links auf dieser Seite sind Partnerlinks. Bei Abschluss über unsere Links erhalten wir eine Provision – für Sie ohne Mehrkosten. Mehr erfahren

Blog

Passwort-Wiederverwendung: Das unterschätzte Sicherheitsrisiko

Warum ein Datenleck eine Katastrophe für alle Ihre Konten sein kann.

Juli 2026

Sie haben 50 Online-Konten. Das Passwort bei Netflix ist "Mein$icheresPW123". Das Passwort bei Amazon ist "Mein$icheresPW123". Bei PayPal auch. Bei Ihrer Bank auch.

Es ist kompliziert, sich 50 verschiedene Passwörter zu merken. Also wiederverwenden Sie eins.

Das ist einer der häufigsten Fehler, die Menschen machen — und einer der gefährlichsten.

Was ist Credential Stuffing?

Credential Stuffing ist ein automatischer Angriff. Ein Hacker hat eine Liste mit 10 Millionen Passwörtern (aus einem Datenleck) und probiert sie auf anderen Websites systematisch durch.

Wie es funktioniert:

  1. Netflix wird gehackt. 10 Millionen Nutzerdaten (E-Mail + Passwort) werden gestohlen.
  2. Ein Hacker kauft diese Liste im Darknet für 50€.
  3. Der Hacker schreibt ein Skript: "Probiere jede E-Mail/Passwort-Kombination auf Amazon.com, PayPal.com, Gmail.com, etc."
  4. Das Skript probiert automatisch 1.000 Kombinationen pro Minute durch.
  5. Das Skript findet Matches: "anna.mueller@gmail.com:Mein$icheresPW123" funktioniert auf Amazon, PayPal und der Bank."
  6. Der Hacker ist jetzt in Ihren Konten — alle drei gleichzeitig.

Das nennt sich Credential Stuffing (Passwort-Automatisierung). Es ist nicht besonders intelligent oder raffiniert — es ist brutal und mechanisch. Aber es funktioniert.

Wie Angreifer gestohlene Passwort-Listen nutzen

Es gibt einen großen Markt für gestohlene Passwörter im Darknet:

  • Hacker verkaufen Datenlecks: Wenn ein Hacker eine Website hackt, verkauft er die Daten an andere Kriminelle — manchmal für $100, manchmal für $10.000, je nach Größe und Sensibilität.
  • Aggrekatoren sammeln sie: Es gibt spezialisierte "Darknet-Märkte", die Millionen von Passwort-Listen aggregieren und katalogisieren.
  • Cybercrime-as-a-Service: Kleine Kriminelle können einen "Credential-Stuffing-Service" kaufen — jemand führt die Angriffe durch und teilt die Resultate.

Das Risiko: Jedes Mal, wenn eine große Website gehackt wird (Sony, Yahoo, LinkedIn, Canva, etc.), landen Ihre Daten potenziell im Darknet. Wenn Sie das gleiche Passwort überall verwenden, sind alle Ihre Konten einen Klick entfernt von der Übernahme.

Beispiel: Ein Datenleck trifft alle Konten

Szenario:

  • Sie nutzen "Sunshine2020!" überall: Netflix, Gmail, PayPal, Ihr Bankingportal, LinkedIn, Instagram.
  • Canva wird gehackt (März 2024, echter Fall). 139 Millionen Nutzer betroffen.
  • Ihr Name und Passwort sind im Leck. "Anna.Mueller@gmail.com:Sunshine2020!"
  • Das Leck wird im Darknet verkauft.
  • Ein Hacker probiert Ihr Passwort auf anderen Websites durch.
  • Gmail — Match! Er ändern Ihr Passwort.
  • PayPal — Match! Er überweist sein Geld auf sein Konto.
  • Bankingportal — Match! Er sieht Ihre Kontostände (und wenn Sie 2FA nicht aktiviert haben, kann er auch überweisen).

Alles Alles passiert in 10 Minuten. Sie wissen noch nicht mal, dass Sie gehackt wurden, bis Ihre Bank anruft.

Statistiken: Wie häufig passiert das?

  • Microsoft-Report 2023: 80% aller Kontoübernahmen sind wegen Passwort-Wiederverwendung.
  • Verizon Data Breach Report: "Compromised Credentials" sind die #1-Ursache für Datenschutzverletzungen.
  • Have I Been Pwned: Über 10 Milliarden Konten wurden in Datenlecks "gepwned" (Passwörter gestohlen). Das ist mehr als es Menschen gibt.

Die Lösung: Einzigartige Passwörter + Manager

Selbst wenn Netflix gehackt wird und Ihr Passwort "Sunshine2020!" steht im Leck — wenn Sie dieses Passwort nur bei Netflix nutzen und alle anderen Konten einzigartige Passwörter haben, können Hacker nur Netflix übernahmen. Alle anderen Konten sind sicher.

Wie Sie das praktisch umsetzen: Passwort-Manager wie Bitwarden, 1Password oder Dashlane generieren für JEDES Konto ein neues, 20-stelliges Passwort. Beispiel:

  • Netflix: "7kR9m#xQpL2w$nB4"
  • Amazon: "A8vZ2cNqKx5fT#pY"
  • PayPal: "W1bJ3rM7gH@sL9xQ"
  • Gmail: "D4tU5kN2mQ@wP8vL"

Sie merken sich nur ein einziges starkes Passwort (das Master-Passwort Ihres Managers). Der Manager füllt die anderen 49 Passwörter automatisch aus.

Wenn Netflix gehackt wird: Netflix-Passwort ist kompromittiert. Alle anderen Konten? Komplett sicher — weil alle anderen Passwörter einzigartig sind.

Have I Been Pwned & Datenleck-Checks

Sie können proaktiv prüfen, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht:

Have I Been Pwned (hibp.wordpress.com): Geben Sie Ihre E-Mail-Adresse ein. Die Seite prüft gegen Millionen Datenlecks. Falls Sie in einem Leck auftauchen, werden Sie benachrichtigt: "Deine E-Mail war in dem Netflix-Hack 2024 betroffen. Ändere sofort dein Passwort dort."

Andere Tools:

  • DeHashed — Aggregiert verschlüsselte und unverschlüsselte Lecks
  • Credential Index (auf GitHub) — Sammlung von geleakten Credentials
  • Passwort-Manager selbst haben oft Integrationem — Bitwarden benachrichtigt Sie automatisch, wenn ein Ihrer Passwörter in einem Leck auftaucht

Fazit: Die Mathematik der Sicherheit

Die Mathematik ist einfach:

  • Mit Wiederverwendung: Ein Datenleck = Alle Ihre Konten in Gefahr
  • Mit einzigartigen Passwörtern: Ein Datenleck = Nur dieses eine Konto in Gefahr

Mit einzigartigen Passwörtern reduzieren Sie Ihr Risiko exponentiell. Und Passwort-Manager machen das praktisch möglich — Sie müssen sich keine 50 Passwörter merken.

Die drei Punkte-Checkliste:

  1. Nutzen Sie einen Passwort-Manager (Bitwarden, 1Password, Dashlane)
  2. Jedes Konto bekommt ein eigenes, zufälliges Passwort
  3. Aktivieren Sie 2FA auf wichtigen Konten (E-Mail, Bank, Cloud-Speicher)

Mit diesen drei Schritten sind Sie vor Credential Stuffing geschützt.

Verwandte Artikel: Beste Passwort-Manager 2026, Sichere Passwörter erstellen.