Datenpannen

19 Milliarden Passwörter geleakt: Was RockYou2024 bedeutet

13. April 20265 Min. LesezeitZuletzt aktualisiert 15. Apr. 2026

Von Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

19 Milliarden Passwörter geleakt: Was RockYou2024 bedeutet

19 Milliarden Passwörter geleakt: Was RockYou2024 für Sie bedeutet

Cybersicherheitsforscher haben die bislang größte öffentlich indexierte Sammlung gestohlener Zugangsdaten aufgedeckt, die je erfasst wurde. Das unter dem Namen RockYou2024 bekannte Repository enthält über 19 Milliarden kompromittierte Passwörter, die aus mehr als 200 aktuellen Datenpannen zusammengestellt wurden. Die Datei kursiert aktiv in Hackerforen, wo sie eingesetzt wird, um Credential-Stuffing-Angriffe auf Bankingplattformen, Social-Media-Konten und Unternehmensnetzwerke anzutreiben.

Wenn Sie irgendwo ein Online-Konto besitzen, ist dieser Leak für Sie relevant.

Was ist RockYou2024 und woher stammt es?

Der Name „RockYou" hat in der Sicherheitsgemeinschaft Gewicht. Er bezieht sich auf einen Datenschutzverstoß aus dem Jahr 2009 bei der Spieleplattform RockYou, bei dem 32 Millionen Klartextpasswörter offengelegt wurden – eine Datei, die zu einer grundlegenden Referenzliste für Passwort-Cracking-Tools wurde. RockYou2024 ist eine weitaus ambitioniertere und gefährlichere Weiterentwicklung dieses Konzepts.

RockYou2024 stammt nicht aus einem einzigen Datenleck, sondern ist ein zusammengestellter Datensatz, der aus mehr als 200 separaten Vorfällen schöpft. Das bedeutet, dass er nicht das Versagen eines einzigen Unternehmens widerspiegelt. Er steht für jahrelange, angesammelte Datenpannen aus verschiedenen Branchen, Ländern und Plattformen – alles zusammengeführt in einem einzigen, durchsuchbaren Fundus, den Kriminelle nun systematisch einsetzen können.

Die Zahl von 19 Milliarden bezieht sich auf einzelne Passworteinträge, nicht auf einzigartige Konten. Viele Datensätze tauchen mehrfach in verschiedenen Datenpannen auf. Doch Forscher warnen, dass selbst unter Berücksichtigung von Duplikaten das schiere Volumen und die Breite des Datensatzes ihn außerordentlich gefährlich machen.

Warum Credential Stuffing die eigentliche Bedrohung ist

Das primäre Risiko, das RockYou2024 darstellt, besteht nicht darin, dass jemand Ihr Passwort durch Brute-Force knacken wird. Es besteht darin, dass er es möglicherweise bereits besitzt.

Credential-Stuffing-Angriffe funktionieren folgendermaßen: Ein Angreifer nimmt eine bekannte Kombination aus Benutzername und Passwort aus einem geleakten Datensatz und probiert sie bei Dutzenden oder Hunderten anderer Dienste aus. Wenn Sie dasselbe Passwort, das Sie vor Jahren für ein Forenskonto verwendet haben, heute auch für Ihr Bankkonto nutzen, muss ein Angreifer Ihre Bank nicht hacken. Er muss lediglich die Zugangsdaten ausprobieren, die er bereits hat.

Die Wiederverwendung von Passwörtern bleibt eine der verbreitetsten und am häufigsten ausgenutzten Gewohnheiten in der persönlichen Sicherheit. Studien zeigen konsistent, dass ein erheblicher Anteil der Nutzer Passwörter für mehrere Konten recycelt. RockYou2024 verwandelt diese Gewohnheit in eine direkte, skalierbare Schwachstelle.

Da der Datensatz offen in Foren kursiert, anstatt von einem einzigen Bedrohungsakteur privat gehalten zu werden, ist die Angriffsfläche nicht auf versierte Hacker beschränkt. Auch Angreifer mit vergleichsweise geringen Kenntnissen können nun Credential-Stuffing-Kampagnen mit weit verbreiteten Tools und diesem Datensatz als Grundlage durchführen.

Was das für Sie bedeutet

Wenn Ihre Zugangsdaten in einer der mehr als 200 Datenpannen auftauchen, die diesen Datensatz gespeist haben, befinden sie sich potenziell in den Händen jedes Einzelnen, der die Datei heruntergeladen hat. Doch selbst wenn Sie glauben, dass Ihre Konten nicht direkt betroffen waren, macht das Ausmaß von RockYou2024 das Risiko alles andere als theoretisch.

Hier ist, was jetzt am wichtigsten ist:

Passwortwiederverwendung ist die zentrale Schwachstelle. Ein starkes, einzigartiges Passwort für ein Konto nützt nichts, wenn Sie dasselbe Passwort woanders verwendet haben und dieses andere Konto kompromittiert wurde. Jedes Konto sollte sein eigenes, unverwechselbares Passwort haben.

Ein VPN schützt Ihre Passwörter nicht. Ein VPN verschlüsselt Ihren Internetverkehr und verschleiert Ihre IP-Adresse, was für die Privatsphäre echten Wert hat. Es tut jedoch nichts, um Credential Stuffing zu verhindern. Wenn ein Angreifer bereits Ihren Benutzernamen und Ihr Passwort kennt, muss er Ihre Verbindung nicht abfangen. Er muss lediglich versuchen, sich einzuloggen. Mehrschichtige Sicherheit bedeutet, Datenverkehrsschutz mit einer sorgfältigen Verwaltung Ihrer Zugangsdaten zu kombinieren.

Multi-Faktor-Authentifizierung ist Ihre wirksamste Schutzbarriere. Selbst wenn ein Angreifer Ihren richtigen Benutzernamen und Ihr Passwort kennt, stoppt ein zweiter Authentifizierungsfaktor – sei es ein Code aus einer App, ein Hardware-Schlüssel oder eine biometrische Prüfung – den Anmeldeversuch sofort. Aktivieren Sie ihn überall, wo er angeboten wird, und priorisieren Sie dabei Finanzkonten, E-Mail und alle Konten, die mit Zahlungsmethoden verknüpft sind.

Prüfen Sie Ihre Betroffenheit. Kostenlose Dienste wie Have I Been Pwned ermöglichen es Ihnen, Ihre E-Mail-Adresse einzugeben und zu sehen, in welchen bekannten Datenpannen Ihre Zugangsdaten enthalten waren. Es ist eine schnelle und lohnende Überprüfung.

Verwenden Sie einen Passwort-Manager. Für jedes Konto ein einzigartiges, komplexes Passwort zu generieren und zu merken, ist ohne entsprechende Werkzeuge nicht realistisch. Passwort-Manager erledigen das automatisch, erstellen starke Zugangsdaten und speichern sie sicher, sodass Sie sich nur ein einziges Master-Passwort merken müssen.

Den Schutz Ihrer digitalen Identität auf ein einzelnes Tool zu beschränken, reicht nicht aus

RockYou2024 ist eine Erinnerung daran, dass digitale Sicherheit kein Produkt ist, das man einmal kauft und dann vergisst. Es ist eine Reihe sich überschneidender Praktiken. Die Verschlüsselung Ihres Datenverkehrs, eine sorgfältige Verwaltung Ihrer Zugangsdaten, die Aktivierung der Multi-Faktor-Authentifizierung und Wachsamkeit gegenüber Phishing-Versuchen wirken alle zusammen. Entfernt man eine dieser Schutzschichten, entsteht eine Lücke, die Angreifer bereit sind auszunutzen.

Das Ausmaß dieses Leaks ist alarmierend, aber die Reaktion darauf muss nicht panisch sein. Sie muss methodisch sein. Beginnen Sie mit Ihren wichtigsten Konten, ändern Sie alle wiederverwendeten Passwörter, aktivieren Sie die Multi-Faktor-Authentifizierung und verwenden Sie künftig einen Passwort-Manager. Diese Schritte machen Sie nicht gegen jede Bedrohung immun, aber sie bringen Sie den meisten Zielen, auf die Credential-Stuffing-Angriffe ausgelegt sind, weit voraus.

// FAQ

Was ist RockYou2024?

RockYou2024 ist die bislang größte öffentlich indexierte Sammlung gestohlener Zugangsdaten, die je erfasst wurde. Sie enthält über 19 Milliarden kompromittierte Passwörter, die aus mehr als 200 separaten Datenpannen zusammengestellt wurden. Die Datei kursiert aktiv in Hackerforen und wird für Angriffe auf Bankingplattformen, Social-Media-Konten und Unternehmensnetzwerke genutzt.

Woher stammt der RockYou2024-Datensatz?

Im Gegensatz zu einem einzelnen Datenleck wurde RockYou2024 aus mehr als 200 separaten Datenpannenvorfällen aus verschiedenen Branchen, Ländern und Plattformen zusammengestellt. Er ist nicht das Ergebnis des Versagens eines einzigen Unternehmens, sondern das Resultat jahrelanger angesammelter Datenpannen, die in einem einzigen Datensatz konsolidiert wurden.

Bedeutet die Zahl von 19 Milliarden, dass 19 Milliarden einzigartige Konten kompromittiert wurden?

Nein, die Zahl von 19 Milliarden bezieht sich auf einzelne Passworteinträge, nicht auf einzigartige Konten, und viele Datensätze tauchen mehrfach in verschiedenen Datenpannen auf. Forscher warnen jedoch, dass selbst unter Berücksichtigung von Duplikaten das Volumen und die Breite des Datensatzes nach wie vor außerordentlich gefährlich sind.

Was ist ein Credential-Stuffing-Angriff und warum verschlimmert RockYou2024 die Situation?

Ein Credential-Stuffing-Angriff besteht darin, bekannte Kombinationen aus Benutzername und Passwort aus geleakten Datensätzen zu nehmen und sie bei vielen anderen Diensten auszuprobieren – unter Ausnutzung der weit verbreiteten Gewohnheit der Passwortwiederverwendung. RockYou2024 verschlimmert dies, weil der Datensatz offen in Foren kursiert, was bedeutet, dass selbst Angreifer mit geringen Kenntnissen diese Kampagnen mit weit verbreiteten Tools durchführen können.

Muss man ein versierter Hacker sein, um den RockYou2024-Datensatz auszunutzen?

Nein, da der Datensatz offen in Hackerforen kursiert, anstatt privat gehalten zu werden, können Angreifer mit vergleichsweise geringen Kenntnissen Credential-Stuffing-Kampagnen mit weit verbreiteten Tools und dem Datensatz durchführen. Dies erweitert die potenzielle Angriffsfläche erheblich über versierte Hacker hinaus.