CRIF Cyber Observatory
- Es waren über 2'200'000 Warnmeldungen zu exponierten Daten im Dark Web zu verzeichnen
- Der Iran ist im Bereich der kompromittierten E‑Mail‑Adressen weltweit von Platz 124 auf Platz 3 vorgerückt
- KI fügt den Angriffen eine neue Qualität hinzu, wobei insbesondere Omni‑Phishing‑Kampagnen zu verzeichnen sind
- Kompromittierte Unternehmenskonten weisen einen Anstieg von 12.7% auf und machen damit fast 10% vom Gesamt aus
Bologna, 28. Mai 2026 – Im Jahr 2025 kam es zu einem tiefgreifenden Wandel im Ökosystem der Cyberrisiken, geprägt durch neue geopolitische Szenarien, stärker automatisierte Angriffstechniken sowie die Zunahme der im Dark Web und Open Web ausgetauschten Daten. Im Vergleich zum Vorjahr stieg die Zahl der versendeten Warnmeldungen zu Datenexpositionen im Dark Web um 5.8% und erreichte im Jahr 2025 eine Gesamtzahl von über 2'200'000 Fällen. Im Open Web hingegen verzeichnete die Zahl der Meldungen 55'000 Fälle und ging damit gegenüber dem Jahr 2024 um 6.6% zurück.
Im Vergleich zu 2024 waren die im Dark Web aufgefundenen Datensätze vollständiger, was zu einem Anstieg des durchschnittlichen Schweregrads der Warnmeldungen um 22% führte. Dieser Anstieg ist vor allem auf die Erkennung komplexerer und stark gefährdungsträchtiger Kombinationen zurückzuführen, bei denen E‑Mail‑Adressen mit Passwörtern und konkreten Verweisen auf kompromittierte Konten verknüpft sind.
Zu diesen Ergebnissen unter anderem gelangt das CRIF Cyber Observatory, das die Anfälligkeit von Einzelpersonen und Organisationen gegenüber Cyber‑Angriffen analysiert und aufkommende Trends im Zusammenhang mit den im Open Web und im Dark Web ausgetauschten Daten auswertet.
Die Entwicklung der globalen geopolitischen Lage spiegelt sich auch in der Zunahme von Cyber‑Bedrohungen wider: Ein symbolträchtiges Beispiel ist der Iran, der im weltweiten Ranking der kompromittierten E‑Mail‑Adressen vom 124. auf den dritten Platz vorgerückt ist.
Die Auswirkungen künstlicher Intelligenz auf die Cyberkriminalität
Das CRIF Observatory bestätigt, dass Cyberangriffe nicht nur zunehmen, sondern dank der Verfügbarkeit einer beispiellosen Datenmenge und immer ausgefeilterer Angriffstechniken auch immer schwieriger zu erkennen und abzuwehren sind. Zu den zunehmenden Bedrohungen zählen Smishing[1]-Kampagnen, die in Italien ausserordentlich glaubwürdig geworden sind: Das Spektrum reicht von gefälschten Nachrichten zu unbezahlten Autobahngebühren bis hin zu Meldungen über angebliche Probleme bei der Postzustellung – allesamt darauf ausgelegt, persönliche Daten und Zahlungsinformationen zu stehlen. Neben Smishing werden auch Phishing[2], Vishing[3] und Spear-Phishing[4] dank künstlicher Intelligenz immer effektiver. Diese ist in der Lage, makellose E‑Mails sowie Deepfake‑Audio‑ und Deepfake‑Videomaterial zu generieren, was strukturierte Verfahrensweisen wie das Omni‑Phishing begünstigt, bei dem mehrere Kanäle mit dem Ziel kombiniert werden, Betrugsversuche glaubwürdiger erscheinen zu lassen. Parallel dazu steigt – begünstigt durch die Kombination aus gestohlenen Zugangsdaten und hyper‑personalisiertem Social Engineering – das Risiko von Account‑Übernahmen[5]. Zum Gesamtbild gehört auch die rasante Verbreitung von Stealer-as-a-Service[6]-Diensten; diese sind in der Lage, vollständige Datenpakete zu erbeuten, die auf dem kriminellen Markt äusserst wertvoll sind und Nutzer einem erheblichen Risiko aussetzen.
Die immer ausgefeilteren Strategien von Cyberkriminellen begünstigen in Verbindung mit künstlicher Intelligenz die Verbreitung extrem detailreicher Datenkombinationen im Dark Web, die in der Regel zusätzliche geschäftliche Informationen enthalten. Zwar zeigt die quantitative Analyse der mit im Dark Web offengelegten E‑Mail‑Konten verbundenen Domains eine deutliche Dominanz privater Konten (fast 90.2% vom Gesamt), doch ist im Jahr 2025 die Zahl der kompromittierten Unternehmenskonten um 12.7% gestiegen (9.8% vom Gesamt). Dieser Trend deutet darauf hin, dass private Nutzer der Online‑Sicherheit weiterhin nur begrenzte Aufmerksamkeit schenken, während Unternehmen zwar zunehmend Sicherheitsmassnahmen ergreifen, aber nach wie vor anfällig sind und hochgradig ins Visier genommen werden.
Die am häufigsten offengelegten Datenkombinationen
Die am häufigsten offengelegten und anfälligsten Datenkategorien im Dark Web sind Passwörter, E‑Mail‑Adressen, Benutzernamen, Wohnadressen und vollständige Namen. Ebenfalls häufig offengelegt und der Missbrauchsgefahr ausgesetzt sind Telefonnummern, persönliche Identifikatoren sowie Kreditkartendaten.
Die Analyse der im Jahr 2025 am häufigsten offengelegten Datenkombinationen zeigt, dass die Kombination aus Kreditkartennummer und vollständigem Namen in 94.2% der Fälle auftritt, was aufgrund des damit verbundenen hohen Finanzbetrugsrisikos besonders besorgniserregend ist. Die Kombination aus Passwort und E‑Mail‑Adresse bleibt nach wie vor sehr verbreitet, wobei das Passwort in 91.5% der Fälle gemeinsam mit der E‑Mail‑Adresse zu finden ist. Die Kombination aus Benutzername und Passwort, die 85.2% der Fälle ausmacht, steht hauptsächlich im Zusammenhang mit Unternehmenskonten und deutet auf potenzielle Schwachstellen in Unternehmen hin. Die Daten bestätigen, dass Kontodiebstahl nach wie vor ein Hauptziel von Hackern ist, was die Notwendigkeit sicherer Praktiken für die Passwortverwaltung einmal mehr verdeutlicht, etwa die Verwendung unterschiedlicher Passwörter für jedes Konto, regelmässige Passwortänderungen sowie Einsatz eines Passwortmanagers.
Eine weitere wertvolle Information für Cyberkriminelle ist die vollständige Wohnadresse, die in 44.5% der Fälle mit Telefonnummern verknüpft ist. Darüber hinaus erhöhen die häufige Kombination aus Reisepassnummer und Vor‑ und Nachnamen (64.6%) sowie – wenngleich seltener – die Verbindung von Reisepassnummer und vollständiger Wohnadresse (57.5%) das Risiko von Identitätsdiebstahl, Identitätsbetrug und differenzierter Profilerstellung.
|
Häufigste Datenkombinationen |
|
2025 |
% ggü. 2024 |
|
Kreditkartennummer + Vor‑ und Nachname |
|
94.2% |
+100.0% |
|
E-Mail-Adresse + Passwort |
|
91.5% |
+2.2% |
|
Benutzername + Passwort |
|
85.2% |
-2.6% |
|
Reisepassnummer + Vor- und Nachname |
|
64.6% |
+100.0% |
|
Reisepassnummer + Vollständige Wohnadresse |
|
57.5% |
+100.0% |
|
Vollständige Wohnadresse + Telefonnummer |
|
44.5% |
-32.1% |
|
Telefonnummer + Vor- und Nachname |
|
44.8% |
-15.2% |
Datenquelle: CRIF Cyber Observatory
Die im Dark Web am häufigsten vorkommenden Konten
Eine qualitative Analyse der Kontexte, in denen Daten zirkulieren, ergab, dass – abgesehen von E‑Mail‑Diensten – die im Dark Web gefundenen Benutzernamen überwiegend mit Online‑Diensten in Verbindung stehen (53.7%), gefolgt von Konten zu beliebten sozialen Netzwerken (15%) und Websites (10.4%). An vierter Stelle steht der Diebstahl von Konten im Zusammenhang mit Gaming (5.9%), mit einem Anstieg von 22.9%, gefolgt von staatlichen Diensten (5.2%), während E‑Commerce‑Plattformen den sechsten Platz einnehmen (5%).
|
|
Am häufigsten vorkommende Konten |
|
2025 |
Veränd. % ggü. 2024 |
|
1 |
Online-Dienste |
|
53.7% |
+56.6% |
|
2 |
Soziale Netzwerke |
|
15.0% |
-37.2% |
|
3 |
Websites |
|
10.4% |
+4.0% |
|
4 |
Gaming |
|
5.9% |
+22.9% |
|
5 |
Behördendienste |
|
5.2% |
-24.6% |
|
6 |
E-Commerce-Plattformen |
|
5.0% |
-35.1% |
|
7 |
Finanzdienstleistungen |
|
4.7% |
+9.3% |
Datenquelle: CRIF Cyber Observatory
Gestohlene Zugangsdaten können für eine Vielzahl von Aktivitäten genutzt werden. Dazu zählen der Zugriff auf Konten der Opfer, die missbräuchliche Nutzung von Diensten, das Versenden von Nachrichten mit Geldforderungen oder Phishing‑Links, die Verbreitung von Malware oder Ransomware sowie allgemein Erpressung und Gelddiebstahl. Für diese Form des Datendiebstahls spielt der «menschliche Faktor» eine wesentliche Rolle: Nachlässigkeit seitens der Nutzer gehört ebenso zu den häufigsten Ursachen wie die Wahl schwacher oder für mehrere Konten identischer Passwörter.
Neben dieser Entwicklung breiten sich Account‑Takeover‑Angriffe (ATO) zunehmend aus: Diese betreffen nicht nur herkömmliche Konten, sondern auch Messaging‑Dienste wie etwa WhatsApp. Ein weiteres gemeinsames Merkmal bestimmter Kontotypen (z. B. soziale Netzwerke, Streaming‑ und Gaming‑Plattformen) ist die Bereitschaft der Nutzer, ihre Zugangsdaten an scheinbar harmlose Dienste weiterzugeben, die Gratisangebote oder Zusatzfunktionen versprechen, obwohl es sich dabei häufig um blosse Tools zur Sammlung von Zugangsdaten handelt.
Schweiz
Betrachtet man die häufigsten Passwörter in der Schweiz, die im Dark Web gefunden wurden, so stehen ganz oben auf der Liste „newsletter“, einfache Zahlenfolgen wie «123456789» und „password“.
CRIF Cyber Observatory
CRIF Cyber Observatory untersucht die Anfälligkeit von Einzelpersonen und Unternehmen für Cyberangriffe im Open und Dark Web und zeigt auf, welche Daten am meisten exponiert sind, welche Informationen im Web zu finden sind und wo sich der Datenverkehr konzentriert. Diese Erhebung wurde für das Jahr 2025 vorgenommen.
[1] Smishing: Cyberbetrug über SMS oder Messaging-Apps wie WhatsApp.
[2] Phishing: Cyberbetrug mit dem Ziel, persönliche Daten mithilfe betrügerischer E-Mails zu stehlen.
[3] Vishing: Cyberbetrug, bei dem Telefonanrufe oder Sprachnachrichten zur Erbeutung von Daten bestimmter Opfer genutzt werden.
[4] Spear-Phishing: Cyberbetrug unter Verwendung personalisierter Nachrichten zwecks Erbeutung von Daten bestimmter Opfer.
[5] Account-Übernahme: Unbefugtes Einloggen in ein digitales Konto, um das Konto zu übernehmen oder Daten zu stehlen.
[6] Stealer-as-a-Service: Malware, die zum Diebstahl von Informationen wie Anmeldedaten und Finanzdaten verwendet wird.