Hier im Blog berichte ich ja gefühlt täglich über Sicherheitsvorfälle (Cyberangriffe, Datenlecks, Sicherheitslücken). Mir ist vor einiger Zeit eine Übersicht von den Cybersicherheitsleuten von Surfshark untergekommen. Deutschland ist in Bezug auf geknackte Online-Konten auf den vorderen Plätzen dabei.

Ich nehme es mal als Kurzbeitrag mit auf. In Deutschland wurden im dritten Quartal 2024 durchschnittlich jede Sekunde 2 Benutzerkonten geknackt.

• In Deutschland gab es in 2024 bis Ende Oktober 21,2 Mio. gehackte Benutzerkonten.
• 14,6 Millionen deutsche Konten wurden im 3. Quartal 2024 angegriffen, was einen Anstieg von 404,2% im Vergleich zum Q2 2024 bedeutet.
• Zum Vergleich: In Italien gab es im letzten Quartal nur die Hälfte davon (7,8 Millionen) offengelegten Benutzerkonten, jedoch in Frankreich etwas mehr – insgesamt 17,2 Millionen.

• Weltweit wurden im 3. Quartal 2024 insgesamt 423 Millionen Konten angegriffen, wobei die USA mit 22 % aller Datenverstöße auf Platz 1 liegen (Zeitraum von Juli bis September). Frankreich liegt auf Platz 2, während Russland auf Platz 3, gefolgt von Deutschland und Japan.

Das geht aus einer globalen Surfshark-Studie in Bezug auf die Datenschutzverletzungen hervor. Surfshark hat mir nachfolgende Grafik zukommen lassen, die Deutschland bei solchen Sicherheitsverletzungen weltweit auf Rang 4 bis 5 sieht.

Nordamerika ist aber weiterhin “führend” bei Datenschutzverletzungen. Im Q3 2024 verzeichnete Nordamerika mit 101 Millionen Konten die höchste Anzahl von Datenschutzverletzungen. Dies ist zwar ein leichter Rückgang im Vergleich zum 2. Quartal 2024 mit 129 Millionen Benutzerkonten, aber die Anzahl von gehackten  Konten in Nordamerika macht immer noch ein Viertel aller weltweit betroffenen Konten aus.

Nordamerika rückte von Platz 2 in Q1 2024 auf Platz 1 im Q2 auf und blieb weiterhin in der führenden Position im 3. Quartal 2024. Wie bereits erwähnt, blieben die USA mit den meisten Sicherheitslücken und für die überwiegende Mehrheit (93 %) der verletzten nordamerikanischen Konten verantwortlich.

“Gehackte Benutzerkonten und geleakte Daten sind nach wie vor ein riesiges Problem, wobei sich die Zahl der Datenschutzverletzungen im Q3 2024 im Vergleich zum Q2 2024 verdoppelt hat. Eine Analyse der jahrzehntelangen Datenpannen zeigt, dass seit 2004 insgesamt 68 Milliarden Datenpunkte offengelegt wurden, davon 18 Milliarden sind die E-Mail-Adressen. Im Durchschnitt sind zu jeder E-Mail-Adresse drei weitere Datenpunkte wie Passwörter oder Telefonnummern offengelegt. Die Veröffentlichung personenbezogener Informationen erhöht das Risiko, ins Visier von Cyberkriminellen zu geraten”, sagt Emilija Kucinskaite, Senior Researcher bei Surfshark dazu.

Passkeys als Rettung?

Mir geht dabei natürlich das Thema Passkey durch den Kopf, was ja derweil propagiert wird. Passkeys sind eine Alternative zu Passwörtern, da die Anmeldung des Benutzers ohne ein Passwort erfolgt. Unter Umständen kann dieser passwortlose Login sicherer als der Umgang mit Passwörtern sein, schreibt das BSI hier. Vorteile der Technologie für Nutzerinnen und Nutzer liegen darin, dass Sie in Zukunft zum einen keine Passwörter mehr erstellen und verwalten müssen. Zum anderen sind Passkeys immun gegen die breite Masse bekannter Phishing-Angriffe, so das BSI. Im betreffenden Beitrag des BSI finden sich weitere Hinweise zum Thema.

Mir steht immer noch der Golem-Artikel von April 2024 mit dem Titel Webauthn-rs-Entwickler hält Passkeys für geplatzten Traum vor Augen. William Brown ist der Entwickler von webauthn-rs, eine Webauthn-Bibliothek für Rust. Brown hat einen Blog-Beitrag veröffentlicht, in dem er Passkeys als “geplatzten Traum” bezeichnet – die Chance, das breit durchzusetzen, wurde seiner Meinung nach vertan. Die Verfahren sind wohl zu komplex, um Passkeys auf einfache Weise verwenden zu können.