19 Milliarden Gründe, dein Telefon nicht länger als Sicherheitsgerät zu benutzen

Über das Ausmaß der Credential-Katastrophe, die aktuelle Breach-Datenbanken darstellen, warum SMS-basierte Zwei-Faktor-Authentifizierung eine Sicherheitstheater-Vorstellung ist, der staatliche Angreifer seit Jahren gleichgültig zuschauen, und die Authentifizierungshierarchie, die 2025 tatsächlich schützt.

Irgendwann in den frühen 1990er Jahren saß ich an einem Schreibtisch in Deutschland mit einem grauen Wählscheibentelefon-Hörer, einem Gerät der damaligen Deutschen Bundespost, das gegen einen Akustikkoppler gedrückt war, der am seriellen Port meines Computers hing. Der Akustikkoppler wandelte digitale Signale in Töne um, die das Telefonmikrofon aufnahm und durch ein Netzwerk übertrug, das 1975 für Sprachanrufe konzipiert worden war. Was ich mit diesem Gerät tat, war die Verbindung zu Bulletin Board Systemen in den Vereinigten Staaten, was erforderte, zunächst den Anruf herzustellen und dann für die gesamte Dauer meiner Recherchen verbunden zu bleiben, zu internationalen Minutengebühren. Da ich 21 war, keine wesentlichen Vermögenswerte besaß und nicht vorhatte, internationale Ferngespräche zu bezahlen, hatte ich eine alternative Lösung erarbeitet: Ich hatte eine Methode entwickelt, ein bestimmtes Unterbrechungssignal an einen Telekommunikationssatelliten der damaligen Deutschen Bundespost zu senden, was die komfortable Wirkung hatte, das Gespräch auf Kosten eines US-amerikanischen Unternehmens verbunden zu halten.

Was ich entdeckt hatte, war die Überlappung zwischen Phreaking, der Kunst und Wissenschaft der Ausnutzung von Telekommunikationsinfrastruktur, und dem, was später unbefugter Zugang zu Computersystemen heißen würde. Die beteiligten Techniken nutzten das grundlegende Design eines Telekommunikationsnetzes aus, das mit der Annahme gebaut worden war, dass alle Nutzer entweder Mitarbeiter des Carriers oder zahlende Kunden seien. Der Grund, warum ich diese Geschichte erzähle, ist nicht die Selbstbeweihräucherung meines Einfallsreichtums mit 21, der beträchtlich war, sondern weil dieses Telekommunikationsnetz in seinen grundlegenden Sicherheitsannahmen noch immer unter uns ist. Und seine Schwächen werden noch immer ausgenutzt, heute, in einem Ausmaß, das meine Aktivitäten von vor 30 Jahren wie einen Rundungsfehler erscheinen lässt.

19 Milliarden ist keine Metapher

Im Juli 2024 veröffentlichten Forscher von Cybernews das, was sie RockYou2024 nannten: eine Zusammenstellung von ungefähr 10 Milliarden eindeutigen Klartext-Passwörtern, aus jahrelangen Breach-Datensätzen zusammengestellt, öffentlich in einem Hacking-Forum gepostet. Das war zum Zeitpunkt der Veröffentlichung die größte Credential-Zusammenstellung in der aufgezeichneten Geschichte. Bis Mitte 2025 war die Gesamtzahl kompromittierter Zugangsdaten in aktivem Umlauf auf 19 Milliarden gewachsen, mit laufend generierten zusätzlichen Daten durch Infostealer, also Programme wie RedLine, Raccoon, Lumma und Vidar, die speziell dazu entwickelt wurden, gespeicherte Zugangsdaten aus Browser-Datenbanken auf infizierten Geräten zu extrahieren.

Allein 2024 wurden 3,2 Milliarden Zugangsdaten gestohlen, ein Anstieg von 33 Prozent gegenüber dem Vorjahr, wobei Infostealer für etwa 75 Prozent verantwortlich waren. Im Januar 2024 dokumentierte das Cybernews-Forschungsteam die Mother of All Breaches, eine einzige freigestellte Datenbank mit 26 Milliarden Datensätzen, aus Hunderten früherer Breaches aggregiert. Das war kein Einbruch in eine einzelne Organisation; es war die Folge jahrelanger Credential-Anhäufung, nun in einem einzigen zugänglichen Repository freigelegt.

Im Jahr 2024 und 2025 hatten kompromittierte Zugangsdaten den einzelnen häufigsten initialen Angriffsvektor bei Datenschutzverletzungen dargestellt, mit 22 Prozent aller Vorfälle, mehr als Phishing, mehr als Schwachstellenausnutzung (IBM, 2024 Cost of a Data Breach Report). Die durchschnittliche Zeit zur Erkennung und Eindämmung betrug 292 Tage, die längste jedes Angriffsvektors, weil ein Angreifer, der sich mit gültigen Zugangsdaten anmeldet, von einem legitimen Nutzer nicht zu unterscheiden ist.

Die praktische Konsequenz: Wenn du jemals dasselbe Passwort bei 2 verschiedenen Diensten verwendet hast und einer dieser Dienste kompromittiert wurde, sind deine Zugangsdaten wahrscheinlich in einer dieser Datenbanken.

Warum das Passwort strukturell gebrochen ist

Ein Passwort ist ein gemeinsames Geheimnis. Du kennst es, und der Dienst kennt es. Der Dienst speichert eine Repräsentation davon, gehasht mit unterschiedlichen Sorgfaltsgraden. Wenn dieser Dienst kompromittiert wird, wird die Repräsentation deines Passworts freigelegt. Wenn 2 Dienste dasselbe Passwort teilen, kompromittiert ein Breach des weniger sicheren den sichereren. Multipliziert über die 100 bis 200 Online-Konten, die ein durchschnittlicher Erwachsener 2025 unterhält, bestimmt der schwächste Dienst, den du je genutzt hast, die Sicherheit deiner wichtigsten Konten.

Die Lösung ist die Nutzung eines eindeutigen, zufällig generierten Passworts für jeden Dienst, was ein Passwortmanager ermöglicht. Anwendungen wie Bitwarden, 1Password und KeePassXC generieren kryptografisch zufällige Zeichenketten, speichern diese verschlüsselt, und füllen sie automatisch aus. Das einzige Passwort, das du dir merken musst, ist das Master-Passwort als Passphrase aus mindestens 4 bis 5 zufälligen Wörtern. Das NIST-Leitfaden von 2024 betont Länge über Komplexität und empfiehlt mindestens 15 Zeichen, während es die frühere Anforderung zur periodischen Rotation entfernt (NIST SP 800-63B-4, 2024).

Bitwarden ist Open Source, kostenlos für Einzelpersonen, und die Verschlüsselungsarchitektur ist öffentlich geprüft. 1Password und das KeePassXC-Ökosystem sind solide Alternativen. Für Menschen mit erhöhtem Schutzbedarf, also Journalisten, Anwälte, Ärzte, Unternehmer mit sensiblen Daten, empfehle ich KeePassXC mit einer lokal verschlüsselten Datei. Das reduziert Bequemlichkeit und erhöht Sicherheit auf eine Weise, die für die meisten Menschen eine ungünstige Abwägung ist, aber für diese Gruppe kein Kompromiss ist, der sich rechtfertigen lässt.

Die Authentifizierungshierarchie: Vom Schlechtesten zum Besten

Nicht alle zweiten Faktoren sind gleich. Das ist die wichtigste Nuance, die die Marketingsprache rund um “2FA” konsistent verschleiert.

SMS-basierte Einmalcodes sind der am weitesten verbreitete zweite Faktor und der schwächste. Die Schwäche hat 2 unabhängige Ursprünge. Der erste ist SS7, das Signalling System No. 7, das SMS-Nachrichten zwischen Carrier-Netzwerken weltweit vermittelt und das in den 1970er Jahren ohne Verschlüsselung und ohne Sender-Authentifizierung entwickelt wurde. 2017 nutzten Kriminelle SS7-Schwachstellen aus, um 2FA-Codes abzufangen, die deutsche Banken per SMS sendeten, und räumten Konten durch Umleitung von SMS-Nachrichten auf Carrier-Netzwerkebene leer. Im Februar 2024 gaben das FBI und CISA gemeinsam eine Warnung heraus, die chinesische staatlich geförderte Akteure dokumentiert, die SS7-Zugang nutzen, um Authentifizierungsnachrichten abzufangen, nicht als theoretische Demonstration, sondern als aktive operative Fähigkeit.

Die zweite Schwäche ist SIM-Swapping, das überhaupt keine technische Infrastruktur erfordert, sondern nur ein Telefon und eine überzeugende Geschichte für einen Carrier-Mitarbeiter. 2024 stiegen SIM-Swap-Betrugsfälle um 1.055 Prozent gegenüber dem Vorjahr. Die Einführung von eSIM-Technologie reduzierte den durchschnittlichen Angriffszyklus von Stunden auf unter 5 Minuten.

Jeder, der ein hochwertiges Konto verteidigt, Geschäfts-E-Mail, Banking, Kryptowährungs-Bestände, Cloud-Infrastruktur-Zugang, sollte SMS-2FA als äquivalent zu keinem zweiten Faktor behandeln.

Zeitbasierte Einmalpasswörter, TOTP, generiert von Apps wie Authy, Google Authenticator oder dem Open-Source Aegis unter Android, stellen eine erhebliche Verbesserung dar. TOTP-Codes werden vollständig auf dem Gerät generiert und durchqueren kein Netzwerk. SIM-Swapping ist irrelevant, weil der Besitz der Telefonnummer keinen Zugang zum im Gerät gespeicherten Geheimnis gewährt. Die primäre verbleibende Schwachstelle ist Echtzeit-Phishing. TOTP ist deutlich besser als SMS, ist aber nicht phishing-resistent.

FIDO2, der Standard hinter Hardware-Sicherheitsschlüsseln wie YubiKey und NitroKey sowie Passkeys, repräsentiert den aktuellen Stand der Technik. Bei der Registrierung generiert das Gerät ein Schlüsselpaar, registriert den öffentlichen Schlüssel beim Dienst und behält den privaten Schlüssel auf dem Gerät. Der Credential ist während der Registrierung an die spezifische Dienst-Domain gebunden: eine Phishing-Seite unter böse-bank-login.de kann keinen Credential erhalten, der für bank.de registriert wurde, weil die Domain-Bindung kryptografisch und durch die Hardware erzwungen ist. Echtzeit-Phishing ist strukturell unmöglich.

Die praktische Empfehlung: Nutze App-basiertes TOTP als minimale Verbesserung gegenüber SMS, und nutze FIDO2-Hardware-Schlüssel oder Passkeys wo möglich. Ein Hardware-Schlüssel kostet zwischen 30 und 60 Euro und bietet für jedes Konto, das er schützt, mehr Sicherheit als jede software-basierte Lösung.

Have I Been Pwned und die Intelligenz des Monitorings

Troy Hunts Have I Been Pwned unter haveibeenpwned.com ist die zugänglichste öffentliche Schnittstelle zum Intelligence-Problem der Credential-Exposition. Der Dienst aggregiert Breach-Daten aus Tausenden veröffentlichter Vorfälle und ermöglicht jedem Nutzer zu prüfen, ob seine E-Mail-Adresse oder Telefonnummer in den indizierten Datensätzen erscheint. Der Dienst bietet auch ein kostenloses Benachrichtigungs-Abo: Die Registrierung deiner E-Mail-Adresse bedeutet, dass du eine Benachrichtigung erhältst, wenn diese Adresse das nächste Mal in einem neuen Breach erscheint.

Mehrere ergänzende Dienste sind empfehlenswert:

• Mozilla Monitor: Kostenloser Dienst von Mozilla zur Prüfung bekannter Datenschutzverletzungen.
• HPI Identity Leak Checker: Das Hasso-Plattner-Institut an der Universität Potsdam bietet geprüfte Leak-Erkennung.
• Leak Checker der Universität Bonn: Zugang zu über 30 Milliarden Identitätsdatensätzen mit aktiver Dark-Web-Überwachung.
• Intelligence X: Suchmaschine für Deep-Web- und Dark-Web-Daten, E-Mail-Adressen, Domains und IP-Adressen.
• DeHashed: Umfangreiche Suchmaschine für Datenschutzverletzungen, kostenlos nutzbar.

Die Nutzung dieser Dienste sollte als Vorfallreaktion, nicht als Prävention verstanden werden. Sie sagen dir, wenn Exposition bereits stattgefunden hat, was die Voraussetzung für das Ändern von Zugangsdaten ist, bevor ein Angreifer sie nutzt.

Das deutsche Problem mit dem Hacker, den es nicht findet

Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, hat jahrelang Stellen für Cybersicherheitsprofis ausgeschrieben und erhebliche Schwierigkeiten gehabt, sie mit Menschen zu besetzen, die tatsächlich auf dem erforderlichen Niveau operieren können. Die Bundeswehr hat mit ähnlichen Schwierigkeiten nach qualifizierten Penetrationstestern gesucht.

Das strukturelle Problem ist, dass die Menschen, die tatsächlich in der Lage sind, relevante Systeme zu durchdringen, diese Fähigkeit nicht in einem universitären Cybersicherheitsprogramm erlernt haben. Die Entwicklung echter Angriffsfähigkeit erfordert praktisches Engagement unter adversarialen Bedingungen, die kein Universitätslehrplan sicher replizieren kann. Die besten Penetrationstester auf dem Markt haben Biografien, die nicht mit einem Hochschulabschluss beginnen, sondern mit einem Fundus praktischer Erfahrung in Systemen, in die sie nicht hätten dürfen.

Deutschlands Umgang mit diesem Problem war, Informatik-Absolventen einzustellen und ihnen den Titel Sicherheitsexperte zu geben. Ein Informatikstudium zertifiziert jemanden als Penetrationstester genauso verlässlich wie ein Studium der Musikwissenschaft jemanden als Jazzmusiker ausweist. Die Theorie kann man lernen. Das Instrument muss man spielen, vorzugsweise unter Bedingungen, die nicht vollständig sanktioniert waren. Die USA sind in dieser Pipeline-Frage pragmatischer und betreiben Programme für Menschen mit relevanten aber problematischen Hintergründen. Die deutsche Bürokratie hat keinen gleichwertigen Umgang mit dieser Ambiguität entwickelt.

Eine Warnung vor den falschen Gewissheiten

Es gibt 2 Fehlschlüsse, die in Gesprächen über digitale Sicherheit regelmäßig auftauchen. Der erste ist, dass die hier beschriebenen Maßnahmen vollständigen Schutz bieten. Sie tun das nicht. FIDO2 schützt nicht gegen Malware, die auf dem Gerät bereits aktiv ist. Ein Passwortmanager schützt nicht gegen einen Angreifer mit physischem Zugang zu einem entsperrten Gerät. Was diese Maßnahmen tun, ist die praktischen Kosten eines Angriffs so weit zu erhöhen, dass ein opportunistischer Angreifer dich überspringt.

Der zweite Fehlschluss ist, dass diese Maßnahmen für normale Menschen nicht relevant sind, weil man nichts zu verbergen hat. Das ist strukturell falsch. Credential-Stuffing-Angriffe sind vollautomatisch und unterscheiden nicht nach dem Wert des einzelnen Ziels, sondern nach der Verfügbarkeit gültiger Zugangsdaten. Dein Konto ist kein Ziel wegen dir, sondern wegen dem, was damit erreichbar ist: deine Kontakte für weitere Phishing-Angriffe, dein E-Mail-Postfach für Identitätsmissbrauch, deine Online-Shopping-Konten mit gespeicherten Zahlungsmitteln.

Schlusswort

Der Akustikkoppler am Beginn dieses Artikels ist keine Kuriosität aus einer fernen Ära. Er ist ein Gerät, das dazu verwendet wurde, eine Telekommunikationsinfrastruktur auszunutzen, deren grundlegende Sicherheitsannahmen sich in 50 Jahren nicht verändert haben, und deren hauptsächlicher Schutzmechanismus noch immer das gemeinsame Geheimnis ist, das Passwort, mit allen strukturellen Schwachstellen, die das impliziert.

Die 19 Milliarden kompromittierten Zugangsdaten im Umlauf 2025 sind kein Zeichen, dass das Internet ungewöhnlich gefährlich ist. Sie sind ein Zeichen, dass wir Systeme betrieben haben, deren Sicherheitsmodell für ein Forschungsnetz von 1975 in dem Ausmaß der globalen Wirtschaft von 2025 ausreichend war, und dass die Lücke zwischen diesen beiden Kontexten eine sich ansammelnde Schuld generiert hat, die Angreifer automatisch, rund um die Uhr eintreiben, zu Raten, die sich jährlich um etwa ein Drittel erhöhen.

Nutze eine Authentifizierungs-App. Nutze einen Hardware-Schlüssel wo möglich. Nutze einen Passwortmanager. Prüfe deine E-Mail-Adressen bei Have I Been Pwned. Tu diese Dinge in dieser Reihenfolge, heute, und nicht weil ich sie empfehle, sondern weil 19 Milliarden gestohlene Zugangsdaten und ein Anstieg von SIM-Swap-Betrug um 1.055 Prozent in einem einzigen Jahr einen Datensatz darstellen, dessen Empfehlungen überzeugender sind als die jedes einzelnen Menschen.

Quellen

• Authn8. (2026). Why CISA and the FBI say stop using SMS for 2FA. https://authn8.com/blog/sms-2fa-risks-why-authenticator-apps-are-safer
• BlackFog. (2025). The world’s largest credential leak hits 16 billion records. https://www.blackfog.com/worlds-largest-credential-leak-hits-16-billion/
• Cybernews Research Team. (2024). RockYou2024: 10 Milliarden Passwörter freigelegt. Cybernews.
• Deepstrike.io. (2026). Password statistics 2026: Reuse, breaches, MFA & passkeys. https://deepstrike.io/blog/password-statistics-2025
• Deepstrike.io. (2025). Compromised credential statistics 2025. https://deepstrike.io/blog/compromised-credential-statistics-2025
• IBM Security. (2024). 2024 Cost of a data breach report. IBM Corporation.
• Keepnet Labs. (2026). SIM swap fraud 2025: Stats, legal risks and defenses. https://keepnetlabs.com/blog/what-is-sim-swap-fraud
• NIST. (2024). Digital identity guidelines (NIST SP 800-63B-4, 2nd public draft). National Institute of Standards and Technology.
• Psono. (2025). SMS-based 2FA is insecure. https://psono.com/blog/sms-based-2fa-insecure
• Trustle. (2025). 60 essential cybersecurity statistics for 2025. https://www.trustle.com/post/2025-cybersecurity-statistics