21.04.2026 - Das BACS erhält regelmässig Meldungen von Personen, deren Online-Konten unbefugt übernommen wurden, obwohl sie ihr Passwort nie weitergegeben haben. Was viele dabei nicht wissen: Oft reicht bereits ein einziges kompromittiertes Passwort aus, um nicht nur ein, sondern gleich mehrere Konten zu gefährden. Wer dasselbe Passwort für verschiedene Dienste verwendet, ermöglicht es Cyberkriminellen, mit einem einzigen Treffer eine ganze Kettenreaktion auszulösen. Besonders folgenschwer wird es, wenn darüber weitere Konten über die Funktion «Passwort vergessen» zurückgesetzt und übernommen werden können.
Im Internet kursieren Millionen von gestohlenen Zugangsdaten aus früheren Datenlecks, oft frei zugänglich in Foren oder im Darknet. Cyberkriminelle nutzen diese Daten gezielt für sogenannte «Credential-Stuffing-Angriffe».
Was ist «Credential Stuffing»?
Grosse Mengen bekannter Benutzername-Passwort-Kombinationen werden automatisiert bei verschiedenen Plattformen ausprobiert. Der Aufwand ist gering, da eine Software, beziehungsweise ein Bot, diese Arbeit übernimmt. Wer dasselbe Passwort bei mehreren Diensten verwendet, riskiert eine Kettenreaktion und läuft Gefahr, dass gleich mehrere Konten auf diese Weise übernommen werden.
Warum das E-Mail-Konto besonders kritisch ist
Die Folgen sind besonders weitreichend, wenn die Angreifer Zugriff auf das E-Mail-Konto haben. Da die meisten Plattformen eine Passwortrücksetzung per Link an die hinterlegte E-Mail ermöglichen, können so auch alle anderen Konten übernommen werden. Mit einem einzigen übernommenen E-Mail-Konto können Cyberkriminelle so nach und nach sämtliche damit verknüpften Konten einer Person übernehmen, von sozialen Netzwerken bis hin zu Online-Shops.
Die Tricks der Angreifer
Damit die betroffene Person möglichst lange nichts davon bemerkt, gehen die Cyberkriminellen dabei besonders hinterlistig vor. In einigen Fällen richten sie im übernommenen E-Mail-Konto eine stille Weiterleitungsregel ein. Dadurch werden eingehende Nachrichten automatisch an eine Adresse der Kriminellen weitergeleitet, ohne dass das Opfer dies bemerkt. In anderen Fällen wird das Postfach gezielt mit einer Flut von Spam-E-Mails überschwemmt. Dadurch gehen wichtige Benachrichtigungen, wie etwa Bestätigungs-E-Mails über Passwortänderungen oder Kontoübernahmen bei anderen Diensten in der Masse unter und bleiben dem Opfer verborgen. Bis die betroffene Person erkennt, was geschehen ist, haben die Cyberkriminellen bereits mehrere Konten übernommen.
Nach Datenlecks werden gestohlene Zugangsdaten oft in grossen Mengen veröffentlicht oder verkauft. Dienste wie «Have I Been Pwned» ermöglichen es, die eigene E-Mail-Adresse zu überprüfen und herauszufinden, ob sie in einem bekannten Datenleck aufgetaucht ist. Oftmals wissen Betroffene nicht, dass ihre Daten bereits seit Jahren im Umlauf sind und dass ihr Passwort längst in den Händen von Cyberkriminellen liegt.
Empfehlungen
- Verwenden Sie für jeden Online-Dienst ein einzigartiges, starkes Passwort. Ein Passwort, das nur einmal verwendet wird, kann auch nur einmal kompromittiert werden.
- Nutzen Sie einen Passwort-Manager. Diese Tools erstellen und speichern komplexe, einzigartige Passwörter für jeden Dienst. Sie müssen sich nur noch ein einziges Masterpasswort merken.
- Aktivieren Sie wo immer möglich die Zwei-Faktor-Authentisierung. Selbst wenn ein Passwort in fremde Hände gerät, verhindert ein zweiter Sicherheitsfaktor den unbefugten Zugriff.
- Überprüfen Sie regelmässig, ob Ihre E-Mail-Adresse in einem Datenleck aufgetaucht ist, etwa über Have I Been Pwned oder den Identity Leak Checker des Hasso Plattner Instituts.
- Ändern Sie Passwörter umgehend, wenn Sie erfahren, dass ein Dienst, den Sie nutzen, Opfer eines Datenlecks geworden ist.
- Achten Sie besonders auf die Sicherheit Ihres E-Mail-Kontos, da dieses als Schlüssel zu allen anderen Konten dient. Es sollte mit einem einzigartigen, starken Passwort sowie einer Zwei-Faktor-Authentisierung geschützt sein.
Weiterführende Informationen
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 21.04.2026
