Du hast Dich vor sechs Jahren bei einem Forum für Hobby-Köche angemeldet. Hast es seither vergessen, das Forum längst nicht mehr besucht. Dein Passwort dort: Vreneli2019!. Und vor sechs Jahren hattest Du dasselbe Passwort beim Online-Banking, beim Mail-Provider, bei einer Online-Apotheke und beim Steuerportal.
Im Februar 2026 wurde das Hobby-Köche-Forum gehackt. 187’000 E-Mail-Adressen mit Klartext-Passwörtern landen im Internet. Drei Wochen später – im April – probiert ein automatisiertes Skript Deine Mail-Adresse plus Vreneli2019! bei den 200 grössten Schweizer Online-Diensten durch. Beim Mail-Provider Treffer. Damit hat der Angreifer auch das Banking, weil er den Banking-Reset-Link an Dein Mail-Konto schicken kann.
Das BACS hat am 20. April 2026 deutlich gemacht, was schon lange Realität ist: wiederverwendete Passwörter sind 2026 das mit Abstand grösste Endanwender-Risiko. Nicht das schwache Passwort. Nicht die fehlende 2FA. Sondern dasselbe Passwort an 87 Stellen.
Warum es so verbreitet ist
Die Mathematik ist erbarmungslos: ein durchschnittlicher Erwachsener hat 70-100 Online-Konten. Niemand merkt sich 100 verschiedene komplexe Passwörter. Praktisch jeder verwendet drei bis fünf «Stamm-Passwörter» mit kleinen Variationen für alles. Das ist keine Faulheit, das ist Realität.
Drei häufige Muster:
- «Sommer2024»-Variation: ein Wort plus Jahr plus Sonderzeichen. Der Klassiker.
- Domainspezifische Anhängung:
Hauptpasswort_Amazon,Hauptpasswort_Mail. Schein-Variation, im Datenleck sofort durchschaubar. - Zwei-Tier-System: ein «kritisches» Passwort für Banking und Mail, ein «egales» Passwort für alles andere. Funktioniert lange gut – bis das egale Passwort versehentlich für etwas Wichtiges verwendet wurde.
Was die Sache 2026 verschärft: Datenlecks sind häufig, gross und schnell ausgewertet. Have-I-Been-Pwned, die bekannte Datenbank kompromittierter Logins, listet aktuell über 13 Milliarden Einträge. Die meisten davon sind in Underground-Foren binnen Tagen verfügbar – mit Such-Tools, die «alle Passwörter dieser Mail-Adresse» in Sekunden ausspucken.
Was Credential Stuffing wirklich tut
Was Angreifer mit den geleakten Daten machen, heisst Credential Stuffing: automatisierte Login-Versuche an Hunderten oder Tausenden von Diensten gleichzeitig, mit den geleakten Mail-Passwort-Kombinationen. Pro kompromittiertes Datenleck gibt es Skripte, die das in wenigen Stunden auf die Top-1000-Online-Dienste durchprobieren.
Treffer-Quote: oft 1-3% der Logins funktionieren. Klingt wenig, ist aber bei Millionen Datensätzen ein gigantisches Volumen. Pro 100’000 Datenpaare aus einem Leak: 1’000-3’000 erfolgreich kompromittierte Folge-Konten. Und die werden dann monetarisiert – durch Mail-Konto-Übernahme (für Banking-Reset), Shop-Konto-Übernahme (für betrügerische Bestellungen), Streaming-Konto-Übernahme (verkauft im Underground für 5-10 Franken).
Drei Schritte, die wirklich helfen
1. Have-I-Been-Pwned-Check. Geh auf haveibeenpwned.com, gib Deine Mail-Adresse ein. Du siehst eine Liste der Datenlecks, in denen Deine Adresse aufgetaucht ist. Bei jedem dieser Dienste: Passwort sofort ändern. Wenn Du das Passwort eines dieser Dienste auch woanders verwendet hast: dort auch ändern. Sofort.
2. Passwort-Manager als unbequeme, aber notwendige Investition. Bitwarden, 1Password, KeePassXC. Eines davon installieren, ein gutes Master-Passwort merken, und in den nächsten zwei Wochen für jedes wichtige Konto ein neues, manager-generiertes Passwort setzen. Beginnen mit den fünf wichtigsten: Mail, Online-Banking, Steuerportal, Cloud-Speicher, Mobilfunkanbieter.
Was viele falsch machen: einen Passwort-Manager installieren, aber dann doch das alte Passwort für alles weiter benutzen. Der Manager wirkt nur, wenn jedes Konto sein eigenes neues, generiertes Passwort hat.
3. 2FA für die kritischen Konten. Mail, Banking, Cloud, alles, was zur Recovery anderer Konten führt. App-basiert, nicht SMS. Damit reicht ein gestohlenes Passwort nicht mehr aus – der Angreifer braucht zusätzlich physischen Zugriff auf Dein Smartphone.
Was Du heute Abend in 30 Minuten tun kannst
- 15 Minuten: haveibeenpwned.com aufrufen, Mail-Adresse prüfen. Liste der Lecks ansehen, einen ersten Überblick bekommen.
- 5 Minuten: Bitwarden installieren (kostenlos,
bitwarden.com), Account anlegen, Master-Passwort setzen (vier zufällige Wörter mit Sonderzeichen reichen, mindestens 16 Zeichen). - 10 Minuten: Mail-Konto und Online-Banking durchgehen. Bei beiden: neues, vom Manager generiertes Passwort setzen, im Manager speichern, 2FA aktivieren falls noch nicht aktiv.
Die anderen Konten kommen über die nächsten Wochen. Bei jedem nächsten Login auf irgendeiner Webseite fragt der Manager: «Soll ich speichern?» Sag ja, ändere die Gelegenheit das Passwort auf eines, das er generiert.
Warum 2026 das Jahr für diesen Schritt ist
Drei Entwicklungen treffen aufeinander: Datenlecks werden häufiger, Credential Stuffing ist vollständig automatisiert, und die Folgekosten von Konto-Übernahmen sind 2026 hoch (Banking-Schaden, Identitätsdiebstahl, Schäden in der eigenen Lieferkette wenn das Mail-Konto gehackt wird).
Wer 2026 mit demselben Passwort an verschiedenen Stellen unterwegs ist, hat keine «Sicherheitslücke» – sondern einen statistisch garantierten Vorfall, der nur eine Frage der Zeit ist. Die Frage ist nicht «ob», sondern «wann mein Passwort in welchem Leak war und wie lange es bis zum Konto-Kompromittierung dauert».
Drei Sätze zum Mitnehmen
Wiederverwendete Passwörter sind 2026 das grösste Endanwender-Risiko, weil Datenlecks und automatisiertes Stuffing zur Routine geworden sind. haveibeenpwned.com prüfen, Passwort-Manager installieren, 2FA bei Mail und Banking. 30 Minuten heute Abend, 15 Jahre Ruhe danach.
Quellen: NCSC – BACS Bundesamt für Cybersicherheit, Meldungen vom 20.04.2026 («Wenn ein Passwort mehrere Konten gefährdet») und 21.04.2026 («Ein Passwort für viele Konten – dies birgt hohe Risiken») (ncsc.admin.ch). Plus: Have I Been Pwned (haveibeenpwned.com).