Das Bundesamt für Cybersicherheit BACS schreibt am 21. April 2026: «Das BACS erhält regelmässig Meldungen von Personen, deren Online-Konten unbefugt übernommen wurden, obwohl sie ihr Passwort nie weitergegeben haben. Was viele dabei nicht wissen: Oft reicht bereits ein einziges kompromittiertes Passwort aus, um nicht nur ein, sondern gleich mehrere Konten zu gefährden. Wer dasselbe Passwort für verschiedene Dienste verwendet, ermöglicht es Cyberkriminellen, mit einem einzigen Treffer eine ganze Kettenreaktion auszulösen. Besonders folgenschwer wird es, wenn darüber weitere Konten über die Funktion «Passwort vergessen» zurückgesetzt und übernommen werden können.»

Das sind «Credential Stuffing»-Angriffe

Im Internet kursieren Millionen von gestohlenen Zugangsdaten aus früheren Datenlecks. Diese sind oft frei zugänglich in Foren oder im Darknet. Die Cyberkriminellen nutzen diese Daten gezielt für «Credential-Stuffing-Angriffe»: Grosse Mengen bekannter Benutzernamen-Passwort-Kombinationen werden automatisiert bei vielen Plattformen ausprobiert. Der Aufwand ist gering, da eine Software, beziehungsweise ein Bot, diese Arbeit übernimmt. Wer dasselbe Passwort bei mehreren Diensten verwendet, riskiert eine Kettenreaktion: Man läuft Gefahr, dass gleich mehrere Konten mit seinem Passwort auf diese Weise übernommen werden.

Besonders kritisch ist das E-Mail-Konto

Die Folgen eines einzigen Passworts für viele Konten sind besonders weitreichend, wenn die Angreifer Zugriff auf das E-Mail-Konto haben. Da die meisten Plattformen eine Passwortrücksetzung per Link an die hinterlegte E-Mail-Adresse ermöglichen, können so auch alle anderen Konten übernommen werden. Mit einem einzigen übernommenen E-Mail-Konto können Cyberkriminelle mithin nach und nach sämtliche damit verknüpften Konten einer Person übernehmen: von sozialen Netzwerken bis hin zu Online-Shops.

Auch ähnlich aufgebaute Passwörter sind problematisch

Nicht nur identische, sondern auch ähnlich aufgebaute Passwörter stellen ein Risiko dar. Wer ein Passwortmuster verwendet, das sich nur durch eine Zahl oder einen kleinen Zusatz unterscheidet, schafft eine scheinbare Ordnung, aber keine echte Sicherheit. Wenn ein Passwort bekannt wird, können Angreifer oft mit wenig Aufwand ähnliche Varianten erraten. Deshalb reicht es nicht aus, Passwörter nur leicht zu verändern. Entscheidend ist, für jeden Dienst ein eigenes Passwort zu verwenden.

Die Cyberkriminellen nutzen fiese Tricks

Damit die Betroffenen möglichst lange nichts bemerken, nutzen die Cyberkriminellen fiese Tricks. Beispielsweise richten sie in einem übernommenen E-Mail-Konto eine stille Weiterleitungsregel ein. Dadurch werden eingehende Nachrichten automatisch an eine Adresse der Kriminellen weitergeleitet, ohne dass das Opfer dies bemerkt. Oder das Postfach der betroffenen Person wird mit einer Flut von Spam-E-Mails überschwemmt. Dadurch gehen wichtige Benachrichtigungen, wie etwa Bestätigungs-E-Mails über Passwortänderungen oder Kontoübernahmen bei anderen Diensten in der Masse unter und bleiben dem Opfer verborgen. Bis die betroffene Person dann erkennt, was geschehen ist, haben die Cyberkriminellen bereits mehrere Konten übernommen.

Nach Datenlecks werden Zugangsdaten veröffentlicht

Nach Datenlecks werden gestohlene Zugangsdaten oft in grossen Mengen veröffentlicht oder verkauft. Dienste wie «Have I Been Pwned» oder Identity Leak Checker des Hasso Plattner Instituts ermöglichen es, die eigene E-Mail-Adresse zu überprüfen und herauszufinden, ob sie in einem bekannten Datenleck aufgetaucht ist. Oftmals wissen Betroffene nicht, dass ihre Daten bereits seit Jahren im Umlauf sind und dass ihr Passwort längst in den Händen von Cyberkriminellen liegt.

Das sind die sechs Empfehlungen des Bundesamts für Cybersicherheit BACS

1. Verwenden Sie für jeden Online-Dienst ein einzigartiges, starkes Passwort. Ein Passwort, das nur einmal verwendet wird, kann auch nur einmal kompromittiert werden.

2. Nutzen Sie einen Passwortmanager: Diese Tools erstellen und speichern komplexe, einzigartige Passwörter für jeden Dienst. Sie müssen sich nur noch ein einziges Masterpasswort merken.

3. Aktivieren Sie wo immer möglich die Zwei-Faktor-Authentisierung: Selbst wenn ein Passwort in fremde Hände gerät, verhindert ein zweiter Sicherheitsfaktor den unbefugten Zugriff.

4. Überprüfen Sie regelmässig, ob Ihre E-Mail-Adresse in einem Datenleck aufgetaucht ist: Das können Sie bei Have I Been Pwned oder beim Identity Leak Checker des Hasso Plattner Instituts machen.

5. Ändern Sie Passwörter umgehend, wenn Sie erfahren, dass ein Dienst, den Sie nutzen, Opfer eines Datenlecks geworden ist.

6. Achten Sie besonders auf die Sicherheit Ihres E-Mail-Kontos, da dieses als Schlüssel zu allen anderen Konten dient: Das E-Mail-Konto sollte mit einem einzigartigen, starken Passwort sowie einer Zwei-Faktor-Authentisierung geschützt sein.