Wie Passwörter wirklich gestohlen werden
Last updated: April 9, 2026
Passwörter werden selten durch Brute-Force geknackt. Erfahren Sie, wie echte Datenlecks, Phishing und Passwortwiederverwendung funktionieren.
Stellen Sie sich vor, Sie erhalten eine E-Mail, die aussieht, als käme sie von Ihrer Bank. Der Link sieht legitim aus. Sie melden sich an. Zwei Wochen später wird Ihr E-Mail-Konto kompromittiert. Die Frage, die dann auftaucht, lautet nicht "Wie wurde mein Passwort geknackt?" — es wurde gar nicht geknackt. Es wurde gestohlen. Dieser Unterschied ist der Kern des Verständnisses von echten Passwortlecks.
Die meisten Menschen stellen sich vor, dass Hacker an einer Festung arbeiten und versuchen, die Tür aufzubrechen. In Wirklichkeit suchen sie nach offenen Fenstern, beobachten, wie Sie den Schlüssel eingeben, oder folgen Ihnen herein, während Sie eine Tür öffnen. Passwortlecks entstehen nicht hauptsächlich durch mathematische Brute-Force-Attacken — sie entstehen durch menschliche Fehler, schlechte Sicherheitspraktiken und das Vertrauen auf Passwortwiederverwendung.
Wo und wie Passwörter tatsächlich gestohlen werden
Wenn ein Unternehmen gehackt wird, erhalten Angreifer in der Regel nicht direkt Ihre Passwörter im Klartext. Stattdessen erhalten sie verschlüsselte oder gehashte Versionen — denken Sie daran wie an versperrte Boxen mit Ihren Passwörtern darin. Ein Hash ist eine mathematische Funktion, die Ihr Passwort in eine lange Zeichenkette umwandelt, die nicht rückgängig gemacht werden kann. Theoretisch können Sie ein Passwort nicht aus seinem Hash rekonstruieren.
Aber — und das ist entscheidend — Hacker müssen den Hash nicht "knacken". Sie müssen nur eine Datenleck-Datenbank durchsuchen, die ein Cybersicherheitsunternehmen oder ein Journalist bereits veröffentlicht hat. Websites wie haveibeenpwned.com sammeln Millionen von geleakten Passwort-Hashes aus bekannten Datenbankverletzungen. Das ist Ihr erstes wichtiges Verständnis: Die meisten modernen Passwortlecks sind nicht neue Hacks. Es sind alte Hacks, die im Internet veröffentlicht wurden und immer wieder verwendet werden.
Wenn Ihr Passwort in einem dieser öffentlichen Lecks auftaucht, ist es praktisch wertlos, wie ein Schloss, dessen Design jetzt jeder kennt. Angreifer können diesen Hash gegen Wörterbücher (Listen häufiger Passwörter) vergleichen oder ihn sogar mit spezialisierter Hardware innerhalb von Minuten oder Sekunden knacken — besonders wenn Sie ein schwaches Passwort wie "password123" oder "ilovecats" verwendet haben.
Phishing: Der offene Fensterrahmen
Phishing ist einfacher und häufiger als ein Datenleck. Dabei wird Ihnen ein gefälschter Login-Bildschirm präsentiert — eine Website, die so aussieht wie Gmail oder Ihr Online-Banking, aber tatsächlich gehört sie dem Angreifer. Sie geben Ihren Benutzernamen und Ihr Passwort ein. Seconds später haben es die Angreifer.
Dies ist nicht kryptografisch — es ist praktisch. Die Nachricht sieht legitim aus. Vielleicht ist sie gut durchdacht, mit Logos, ähnlichen URLs (etwa paypa1.com statt paypal.com) und einer dringlichen Nachricht, die Sie zum schnellen Handeln auffordert. Anfänger und Experten sind gleichermaßen anfällig. Ein Journalist, der es gewohnt ist, kritisch zu denken, klickt auf einen falschen Link in einer Nachricht eines angeblichen Kollegen und verliert sein Passwort, bevor er etwas merkt.
Die echte Sicherheit gegen Phishing liegt nicht nur in Wachsamkeit — es liegt in der Verwendung von Authentifizierungsmethoden, die nicht nur auf dem Passwort basieren, was später besprochen wird.
Malware auf Ihrem Gerät
Wenn Sie einen Computer oder ein Telefon benutzen, können Malware (bösartige Software) alles sehen, was Sie tun. Sie können Ihre Tastenanschläge protokollieren (ein sogenannter Keylogger), Screenshots machen oder Ihren Browser-Speicher durchsuchen. Von diesem Punkt an ist kein Passwort sicher, egal wie stark oder einzigartig es ist. Wenn Sie auf einen bösartigen Link klicken, eine verdächtige Anwendung installieren oder alte Software mit bekannten Schwachstellen verwenden, könnte Ihr Gerät bereits kompromittiert sein.
Die Brücke zwischen mehreren Lecks: Passwortwiederverwendung
Hier ist das entscheidende Szenario: Sie verwenden dasselbe Passwort für Ihre E-Mail, Ihren Online-Shop und Ihr Banking. Vor fünf Jahren wird der Online-Shop gehackt. Das Leck wird nie breit bekannt, aber es taucht schließlich in Hacker-Foren auf. Jemand kauft die Datenleck-Liste für eine kleine Menge. Sie schreiben dann ein einfaches Programm namens Credential Stuffing — sie probieren automatisch jede Benutzername-Passwort-Kombination aus der geleakten Datenbank bei Dutzenden von anderen Websites aus: Gmail, Amazon, Ihr Banking-Portal.
Einige Versuche schlagen fehl. Andere erfolgreich. Plötzlich haben Angreifer Zugriff auf Ihre E-Mail. Und wenn Ihre E-Mail kompromittiert ist, können sie Passwort-Reset-E-Mails von überall sonst abrufen. Die Dominosteine fallen schnell.
Wie echte Sicherheit funktioniert
Unique, starke Passwörter zu sich zu merken ist unmöglich — Sie müssen einen Passwort-Manager verwenden. Das ist ein verschlüsseltes Programm (auf Ihrem Gerät oder online gehostet), das zufällige, 20-stellige Passwörter für jede Website speichert. Sie müssen sich nur ein Master-Passwort merken, das Zugriff darauf gibt.
Aber selbst starke Passwörter sind nicht genug. Multi-Faktor-Authentifizierung (oder MFA) bedeutet, dass Sie nicht nur etwas wissen (das Passwort), sondern auch etwas haben (typischerweise Ihr Telefon). Wenn Angreifer Ihr Passwort kennen, können sie sich immer noch nicht anmelden, es sei denn, sie haben auch physischen Zugriff auf Ihren Telefon oder einen anderen Authentifizierungsfaktor. Hardware-Sicherheitsschlüssel — kleine USB-Geräte — sind noch besser, da sie nicht remote gehackt oder per SIM-Swap (ein Angreifer übernimmt Ihre Telefonnummer) manipuliert werden können.
Die Realität ist einfach: Die meisten Passwortlecks sind nicht das Ergebnis brillanter Hacker-Mathematik. Sie sind das Ergebnis von Datenlecks, Phishing, Geräte-Malware und Passwortwiederverwendung. Ein Passwort-Manager für eindeutige Passwörter plus MFA schließt praktisch alle diese Angriffsvektoren ab. Kein System ist vollkommen sicher, aber diese Kombination bringt Sie von "hohem Risiko" zu "praktisch unmöglich zu kompromittieren, ohne erhebliche physische oder technische Ressourcen einzusetzen". Das ist im echten Internet gut genug.
Die meisten Menschen stellen sich vor, dass Hacker an einer Festung arbeiten und versuchen, die Tür aufzubrechen. In Wirklichkeit suchen sie nach offenen Fenstern, beobachten, wie Sie den Schlüssel eingeben, oder folgen Ihnen herein, während Sie eine Tür öffnen. Passwortlecks entstehen nicht hauptsächlich durch mathematische Brute-Force-Attacken — sie entstehen durch menschliche Fehler, schlechte Sicherheitspraktiken und das Vertrauen auf Passwortwiederverwendung.
Wo und wie Passwörter tatsächlich gestohlen werden
Wenn ein Unternehmen gehackt wird, erhalten Angreifer in der Regel nicht direkt Ihre Passwörter im Klartext. Stattdessen erhalten sie verschlüsselte oder gehashte Versionen — denken Sie daran wie an versperrte Boxen mit Ihren Passwörtern darin. Ein Hash ist eine mathematische Funktion, die Ihr Passwort in eine lange Zeichenkette umwandelt, die nicht rückgängig gemacht werden kann. Theoretisch können Sie ein Passwort nicht aus seinem Hash rekonstruieren.
Aber — und das ist entscheidend — Hacker müssen den Hash nicht "knacken". Sie müssen nur eine Datenleck-Datenbank durchsuchen, die ein Cybersicherheitsunternehmen oder ein Journalist bereits veröffentlicht hat. Websites wie haveibeenpwned.com sammeln Millionen von geleakten Passwort-Hashes aus bekannten Datenbankverletzungen. Das ist Ihr erstes wichtiges Verständnis: Die meisten modernen Passwortlecks sind nicht neue Hacks. Es sind alte Hacks, die im Internet veröffentlicht wurden und immer wieder verwendet werden.
Wenn Ihr Passwort in einem dieser öffentlichen Lecks auftaucht, ist es praktisch wertlos, wie ein Schloss, dessen Design jetzt jeder kennt. Angreifer können diesen Hash gegen Wörterbücher (Listen häufiger Passwörter) vergleichen oder ihn sogar mit spezialisierter Hardware innerhalb von Minuten oder Sekunden knacken — besonders wenn Sie ein schwaches Passwort wie "password123" oder "ilovecats" verwendet haben.
Phishing: Der offene Fensterrahmen
Phishing ist einfacher und häufiger als ein Datenleck. Dabei wird Ihnen ein gefälschter Login-Bildschirm präsentiert — eine Website, die so aussieht wie Gmail oder Ihr Online-Banking, aber tatsächlich gehört sie dem Angreifer. Sie geben Ihren Benutzernamen und Ihr Passwort ein. Seconds später haben es die Angreifer.
Dies ist nicht kryptografisch — es ist praktisch. Die Nachricht sieht legitim aus. Vielleicht ist sie gut durchdacht, mit Logos, ähnlichen URLs (etwa paypa1.com statt paypal.com) und einer dringlichen Nachricht, die Sie zum schnellen Handeln auffordert. Anfänger und Experten sind gleichermaßen anfällig. Ein Journalist, der es gewohnt ist, kritisch zu denken, klickt auf einen falschen Link in einer Nachricht eines angeblichen Kollegen und verliert sein Passwort, bevor er etwas merkt.
Die echte Sicherheit gegen Phishing liegt nicht nur in Wachsamkeit — es liegt in der Verwendung von Authentifizierungsmethoden, die nicht nur auf dem Passwort basieren, was später besprochen wird.
Malware auf Ihrem Gerät
Wenn Sie einen Computer oder ein Telefon benutzen, können Malware (bösartige Software) alles sehen, was Sie tun. Sie können Ihre Tastenanschläge protokollieren (ein sogenannter Keylogger), Screenshots machen oder Ihren Browser-Speicher durchsuchen. Von diesem Punkt an ist kein Passwort sicher, egal wie stark oder einzigartig es ist. Wenn Sie auf einen bösartigen Link klicken, eine verdächtige Anwendung installieren oder alte Software mit bekannten Schwachstellen verwenden, könnte Ihr Gerät bereits kompromittiert sein.
Die Brücke zwischen mehreren Lecks: Passwortwiederverwendung
Hier ist das entscheidende Szenario: Sie verwenden dasselbe Passwort für Ihre E-Mail, Ihren Online-Shop und Ihr Banking. Vor fünf Jahren wird der Online-Shop gehackt. Das Leck wird nie breit bekannt, aber es taucht schließlich in Hacker-Foren auf. Jemand kauft die Datenleck-Liste für eine kleine Menge. Sie schreiben dann ein einfaches Programm namens Credential Stuffing — sie probieren automatisch jede Benutzername-Passwort-Kombination aus der geleakten Datenbank bei Dutzenden von anderen Websites aus: Gmail, Amazon, Ihr Banking-Portal.
Einige Versuche schlagen fehl. Andere erfolgreich. Plötzlich haben Angreifer Zugriff auf Ihre E-Mail. Und wenn Ihre E-Mail kompromittiert ist, können sie Passwort-Reset-E-Mails von überall sonst abrufen. Die Dominosteine fallen schnell.
Wie echte Sicherheit funktioniert
Unique, starke Passwörter zu sich zu merken ist unmöglich — Sie müssen einen Passwort-Manager verwenden. Das ist ein verschlüsseltes Programm (auf Ihrem Gerät oder online gehostet), das zufällige, 20-stellige Passwörter für jede Website speichert. Sie müssen sich nur ein Master-Passwort merken, das Zugriff darauf gibt.
Aber selbst starke Passwörter sind nicht genug. Multi-Faktor-Authentifizierung (oder MFA) bedeutet, dass Sie nicht nur etwas wissen (das Passwort), sondern auch etwas haben (typischerweise Ihr Telefon). Wenn Angreifer Ihr Passwort kennen, können sie sich immer noch nicht anmelden, es sei denn, sie haben auch physischen Zugriff auf Ihren Telefon oder einen anderen Authentifizierungsfaktor. Hardware-Sicherheitsschlüssel — kleine USB-Geräte — sind noch besser, da sie nicht remote gehackt oder per SIM-Swap (ein Angreifer übernimmt Ihre Telefonnummer) manipuliert werden können.
Die Realität ist einfach: Die meisten Passwortlecks sind nicht das Ergebnis brillanter Hacker-Mathematik. Sie sind das Ergebnis von Datenlecks, Phishing, Geräte-Malware und Passwortwiederverwendung. Ein Passwort-Manager für eindeutige Passwörter plus MFA schließt praktisch alle diese Angriffsvektoren ab. Kein System ist vollkommen sicher, aber diese Kombination bringt Sie von "hohem Risiko" zu "praktisch unmöglich zu kompromittieren, ohne erhebliche physische oder technische Ressourcen einzusetzen". Das ist im echten Internet gut genug.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ REDAKTIONSEMPFEHLUNG
★★★★★ 9.5/10 · 6,000+ servers · Funktioniert in China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.