Was ist die größte Datenschutzverletzung der Geschichte?

Der Yahoo-Verstoß von 2013–2014 ist nach wie vor der größte und betrifft alle 3 Milliarden Benutzerkonten. Die vollständige Offenlegung erfolgte erst 2017.

Wie viel kostet ein Datenverstoß ein Unternehmen?

Laut dem Bericht von IBM aus dem Jahr 2025 belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 4,88 Millionen US-Dollar. Verstöße im Gesundheitswesen kosten durchschnittlich 0,93 Millionen US-Dollar.

Werden Datenschutzverletzungen immer schlimmer?

Ja. Sowohl die Häufigkeit als auch das Ausmaß von Verstößen nehmen aufgrund wachsender Angriffsflächen, Cloud-Migration und immer raffinierterer Bedrohungsakteure weiter zu.

← Zurück zum Blog

Die größten Datenschutzverletzungen der Geschichte: Eine Zeitleiste digitaler Katastrophen

Q: Was soll ich tun, wenn meine Daten verletzt werden?

Ändern Sie sofort die Passwörter für den betroffenen Dienst und alle Konten, die dasselbe Passwort verwenden. Aktivieren Sie 2FA, überwachen Sie Finanzberichte und erwägen Sie einen Kreditstopp.

Q: Wie überprüfe ich, ob meine Daten verletzt wurden?

Nutzen Sie Dienste wie „Have I Been Pwned“ (haveibeenpwned.com), um zu überprüfen, ob Ihre E-Mail in bekannten Verstößen vorkommt.

Cybersicherheit 27. Februar 2026 · 12 Min. gelesen

Timeline of the biggest data breaches in history

16.7B+Seit 2013 offengelegte Datensätze

4,88 Mio. $Durchschnittliche Kosten für Sicherheitsverletzungen (2025)

277 TageDurchschnittliche Zeit bis zur Erkennung

Warum Datenschutzverletzungen immer schlimmer werden

Jedes Jahr stellt einen neuen Rekord auf. Die Angriffsfläche vergrößert sich, wenn Unternehmen in die Cloud migrieren, IoT-Geräte einführen und jahrzehntelange Benutzerdaten ansammeln. Mittlerweile sind Angreifer besser finanziert, besser organisiert und nutzen zunehmend KI. Das Ergebnis: Verstöße sind größer, kostspieliger und schwerer zu erkennen als je zuvor.

Die durchschnittliche Organisation benötigt 277 Tage, um einen Verstoß zu erkennen und einzudämmen. Das sind 9 Monate, in denen Angreifer stillschweigend Daten exfiltrieren, bevor es jemand bemerkt.

📅 Zeitleiste von 15 schwerwiegenden Verstößen

Yahoo2013–2014

3 Milliarden Konten

Angriff: Staatlich geförderter Hackerangriff, gefälschte Cookies

💡 Yahoo hat den Verstoß drei Jahre lang nicht entdeckt. Die Vertuschung kostete sie bei ihrem Verizon-Übernahmevertrag 350 Millionen US-Dollar. Lektion: Investieren Sie in die Erkennung von Sicherheitsverletzungen, nicht nur in die Prävention.

First American Financial2019

885 Millionen Datensätze

Angriff: Authentifizierungsfehler (IDOR)

💡 Auf sensible Dokumente (Kontoauszüge, Sozialversicherungsnummern) konnte durch einfaches Ändern der URL-Nummer zugegriffen werden. Lektion: Implementieren Sie immer die richtigen Zugriffskontrollen.

Facebook (Meta)2019

533 Millionen Benutzer

Angriff: API-Scraping-Schwachstelle

💡 Telefonnummern und persönliche Daten von 533 Millionen Benutzern aus 106 Ländern wurden gecrackt und kostenlos in einem Hacker-Forum durchgesickert. Lektion: Ratenbegrenzung und Überwachung des API-Zugriffs.

Marriott International2014–2018

500 Millionen Gäste

Angriff: Anhaltender Netzwerkeinbruch

💡 Angreifer waren vier Jahre lang im Starwood-Reservierungssystem tätig, bevor Marriott es erwarb – und niemand überprüfte es. Lektion: Sicherheitsaudits vor Fusionen und Übernahmen sind von entscheidender Bedeutung.

LinkedIn2021

700 Millionen Profile

Angriff: API-Scraping

💡 Daten von 93 % der LinkedIn-Nutzer wurden gelöscht und verkauft. LinkedIn argumentierte, es handele sich nicht um einen „Verstoß“, da kein Zugriff auf private Daten stattgefunden habe. Lektion: Öffentliche Daten in großem Umfang werden zu einer Bedrohung für die Privatsphäre.

Adobe2013

153 Millionen Konten

Angriff: Netzwerkeinbruch, schlechte Verschlüsselung

💡 Passwörter wurden mit 3DES verschlüsselt (nicht gehasht), sodass sie leicht zu knacken sind. Auch Quellcode für Photoshop und Acrobat wurde gestohlen. Lektion: Passwörter immer hashen, niemals verschlüsseln.

Equifax2017

147 Millionen Menschen

Angriff: Ungepatchte Apache Struts-Schwachstelle

💡 Sozialversicherungsnummern, Geburtsdaten und Adressen der Hälfte der US-Bevölkerung wurden offengelegt, weil eine bekannte Sicherheitslücke zwei Monate lang nicht behoben wurde. Lektion: Patch-Management rettet Imperien.

Capital One2019

106 Millionen Kunden

Angriff: Falsch konfigurierte WAF, SSRF

💡 Ein ehemaliger AWS-Mitarbeiter nutzte eine falsch konfigurierte Firewall aus, um auf auf S3 gespeicherte Kreditkartenanwendungen zuzugreifen. Lektion: Cloud-Fehlkonfigurationen sind die neuen offenen Türen.

T-Mobile2021

77 Millionen Kunden

Angriff: Brute-Force über ungeschützten Router

💡 Ein ungeschützter Router stellte den ersten Einstiegspunkt bereit. Bei T-Mobile kam es seit 2018 mehr als achtmal zu Sicherheitsverletzungen. Lektion: Wiederholte Sicherheitsverletzungen deuten auf systemische Fehler in der Sicherheitskultur hin.

SolarWinds2020

18.000 Organisationen

Angriff: Kompromittierung der Lieferkette

💡 Russische Staatshacker haben eine Hintertür in das Orion-Update von SolarWinds eingefügt und damit US-Regierungsbehörden und Fortune-500-Unternehmen gefährdet. Lektion: Ihre Lieferkette ist Ihre Angriffsfläche.

Colonial Pipeline2021

Ransomware – 4,4 Millionen US-Dollar bezahlt

Angriff: Kompromittiertes VPN-Passwort (kein 2FA)

💡 Ein einziges durchgesickertes VPN-Passwort ohne Multi-Faktor-Authentifizierung lahmlegte die Treibstoffversorgung der US-Ostküste. Lektion: Aktivieren Sie 2FA auf jedem einzelnen Remote-Zugriffspunkt.

LastPass2022

25 Millionen Benutzertresore

Angriff: Kompromittierung der Entwicklermaschine

💡 Angreifer haben den Heimcomputer eines Entwicklers kompromittiert und dann mit gestohlenen Anmeldeinformationen auf verschlüsselte Passwort-Tresore zugegriffen. Lektion: Selbst Sicherheitsunternehmen sind nicht immun. Verwenden Sie starke Master-Passwörter.

23andMe2023

6,9 Millionen Benutzer

Angriff: Credential Stuffing

💡 Wiederverwendete Passwörter verschafften Angreifern Zugriff auf Konten, die über die Funktion „DNA-Verwandte“ genetische Daten von Millionen preisgaben. Lektion: Niemals Passwörter wiederverwenden – insbesondere auf Websites mit sensiblen persönlichen Daten.

MOVEit2023

2.700+ Organisationen

Angriff: Zero-Day-SQL-Injection

💡 Die Ransomware-Bande Cl0p nutzte einen Zero-Day-Angriff im MOVEit-Dateiübertragungstool von Progress Software aus und betraf Fluggesellschaften, Banken und Regierungsbehörden weltweit. Lektion: Gefährdung durch Dateiübertragungsdienste minimieren.

Nationale öffentliche Daten2024

2,9 Milliarden Datensätze

Angriff: Offenlegung ungeschützter Datenbank

💡 Sozialversicherungsnummern, Namen und Adressen fast aller Amerikaner wurden von einem Unternehmen für Hintergrundüberprüfungen praktisch ohne Sicherheit offengelegt. Lektion: Datenbroker stellen ein massives, unreguliertes Risiko dar.

Aufschlüsselung der Angriffsmethoden

Welche Techniken führten zu den größten Verstößen? Hier ist das Muster:

🔓 Anmeldedaten-Angriffe

Credential Stuffing, Brute Force, gestohlene Passwörter. Hinter Colonial Pipeline, 23andMe und vielen mehr. Fix: Eindeutige Passwörter + 2FA.

🐛 Ungepatchte Schwachstellen

Bekannte CVEs blieben wochen- oder monatelang ungepatcht. Equifax und MOVEit sind Beispiele aus dem Lehrbuch. Fix: Automatisiertes Patchen und Schwachstellenscannen.

⚙️ Fehlkonfigurationen

Offene Datenbanken, öffentliche S3-Buckets, offengelegte APIs. First American und Capital One sind auf diese Weise gefallen. Fix: Verwaltung der Cloud-Sicherheitslage.

🔗 Lieferkette

Kompromittierung vertrauenswürdiger Software-Updates oder Tools von Drittanbietern. SolarWinds und MOVEit nutzten Vertrauensketten aus. Fix: Software-Stückliste und Lieferantenprüfungen.

Was mit Ihren Daten nach einem Verstoß passiert

Sobald Ihre Daten gestohlen werden, folgen sie einem vorhersehbaren Weg:

Erstverkauf: Der Hacker verkauft den Datensatz innerhalb von Stunden bis Tagen auf Dark-Web-Märkten
Credential Stuffing: Automatisierte Bots testen Ihre E-Mail-/Passwort-Kombination auf Hunderten anderer Websites
Identitätsbetrug: Vollständige Identitätsdaten (SSN, Geburtsdatum, Adresse) werden für Kreditanträge und Steuerbetrug verwendet
Phishing-Kampagnen: Ihre persönlichen Daten machen gezielte Phishing-E-Mails besonders überzeugend
Permanente Verbreitung: Verletzliche Daten verschwinden nie – sie werden neu verpackt und jahrelang weiterverkauft

So schützen Sie sich

🔐 Eindeutige Passwörter verwenden – Ein Passwortgenerator erstellt sichere, zufällige Passwörter für jedes Konto

🛡️ 2FA überall aktivieren – Lesen Sie unseren vollständigen 2FA-Leitfaden

🔍 Überwachen Sie Ihre Exposition – Überprüfen Sie haveibeenpwned.com regelmäßig

❄️ Frieren Sie Ihr Guthaben ein – Verhindert die Eröffnung betrügerischer Konten in Ihrem Namen

📧 E-Mail-Aliase verwenden – Geben Sie jedem Dienst eine eindeutige E-Mail, um den Explosionsradius zu begrenzen

Häufig gestellte Fragen

Was ist die größte Datenschutzverletzung in der Geschichte?

Der Yahoo-Verstoß (2013-2014) betraf alle 3 Milliarden Konten und war damit der größte, gemessen an der Benutzerzahl. Durch den Verstoß gegen nationale öffentliche Daten im Jahr 2024 wurden 2,9 Milliarden Datensätze offengelegt, darunter auch Sozialversicherungsnummern.

Wie viel kostet ein Datenschutzverstoß ein Unternehmen?

Laut IBMs Bericht 2025 belaufen sich die durchschnittlichen Kosten auf 4,88 Millionen US-Dollar. Verstöße im Gesundheitswesen belaufen sich durchschnittlich auf 0,93 Millionen US-Dollar – der höchste Wert aller Branchen seit 14 Jahren in Folge.

Was soll ich tun, wenn meine Daten verletzt werden?

Ändern Sie Passwörter sofort, aktivieren Sie 2FA, überwachen Sie Finanzberichte auf unbefugte Aktivitäten und erwägen Sie, Ihr Guthaben bei allen drei Banken einzufrieren.

Wie überprüfe ich, ob meine Daten verletzt wurden?

Verwenden Sie Verwenden Sie Have I Been Pwned, um zu überprüfen, ob Ihre E-Mail in bekannten Verstößen vorkommt. Melden Sie sich für Benachrichtigungen an, um über zukünftige Verstöße benachrichtigt zu werden.

>Wurde ich pwned, um zu überprüfen, ob Ihre E-Mail bei bekannten Verstößen vorkommt? Melden Sie sich für Benachrichtigungen an, um über zukünftige Verstöße benachrichtigt zu werden.

Werden Datenschutzverletzungen schlimmer?

Ja. Sowohl die Häufigkeit als auch der Umfang nehmen weiter zu. Im Jahr 2023 gab es einen Anstieg der Verstöße um 72 % gegenüber dem bisherigen Rekord im Jahr 2021, und 2024–2025 setzte sich dieser Trend fort.