68% der DACH-Unternehmen haben verifizierte Dark Web Leaks – Unsere Studie 2026
Wie verbreitet sind Credential Leaks bei Unternehmen im DACH-Raum wirklich? Um diese Frage zu beantworten, haben wir Anfang 2026 eine systematische Analyse durchgeführt – und die Ergebnisse sind ernüchternd. Mehr als zwei Drittel der analysierten Unternehmen haben nachweisbare Zugangsdaten im Umlauf auf dem Dark Web. Was wir herausgefunden haben.
Die wichtigsten Ergebnisse auf einen Blick
Dark Web Leaks
Datensätze gesamt
betroffenes Unternehmen
Adressen exponiert
Methodik: Wie wir 1.976 Unternehmen analysiert haben
Für diese Studie haben wir systematisch 1.976 mittelständische Unternehmen aus dem DACH-Raum (Deutschland, Österreich, Schweiz) geprüft – alle mit mehr als 50 Mitarbeitern.
Wir haben dabei bewusst strenge Suchkriterien angelegt: Als Fund zählen ausschließlich vollständige Kombinationen aus URL + Benutzername + Passwort. Teilbefunde – etwa Nutzername und Passwort ohne zugehörige URL – wurden absichtlich ausgeschlossen. Das bedeutet: Die tatsächliche Leak-Rate liegt wahrscheinlich noch höher als unsere Zahlen zeigen.
Entscheidend für die Relevanz der Ergebnisse: Wir haben ausschließlich Leaks aus den letzten 3 Monaten berücksichtigt. Der Scan-Zeitraum war bewusst auf aktuelle Funde begrenzt – keine historischen Gesamtarchive, keine Daten aus Jahren zurückliegenden Mega-Breaches. Eine Leak-Quote von 68,1% unter dieser Einschränkung bedeutet: Mehr als zwei Drittel der geprüften Unternehmen hatten zum Zeitpunkt der Analyse frisch kompromittierte, potenziell noch aktive Zugangsdaten im Dark Web.
Die Daten wurden über die Blackveil Dark Web Monitoring-Infrastruktur erhoben, die kontinuierlich Hacker-Foren, Telegram-Leakkanäle, Paste-Sites und Ransomware-Leak-Seiten nach exponierten Unternehmens-Zugangsdaten durchsucht.
Der Befund: 68% ist kein Ausreißer – es ist der Normalzustand
Von den 1.976 analysierten Unternehmen wiesen 1.344 mindestens einen bestätigten Dark Web Leak auf – das entspricht 68,1%. Nur 629 Unternehmen (31,9%) zeigten nach unseren strengen Kriterien keine Funde.
Noch aufschlussreicher: Betroffene Unternehmen hatten im Durchschnitt 7 separate geleakte Credential-Datensätze. Das sind keine Einzelvorfälle aus einem einmaligen Datenleck vor Jahren. In vielen Fällen handelt es sich um aktuelle Leaks aus mehreren Quellen – Infostealer-Malware, Phishing-Kampagnen oder Datenpannen bei Drittanbietern, deren Zugangsdaten Mitarbeiter wiederverwendet haben.
Insgesamt wurden 3.411 Unternehmens-E-Mail-Adressen in den Leak-Datensätzen identifiziert. Das sind die direkten Angriffsflächen für gezieltes Phishing, Account-Übernahmen und Business Email Compromise (BEC)-Angriffe.
„Die Frage ist nicht mehr ob ein Unternehmen Credentials im Dark Web hat – sondern ob es davon weiß und wie viele?"
Welche Branchen sind am stärksten betroffen?
Credential Leaks verteilen sich nicht gleichmäßig über alle Branchen. Unsere Analyse zeigt klare Muster: Einige Sektoren sind im Dark Web deutlich überrepräsentiert — vor allem aufgrund der Vielzahl genutzter SaaS-Tools, externer Partner und Remote-Access-Infrastrukturen.
Die zehn Branchen mit den meisten betroffenen Unternehmen in unserem Datensatz:
| Branche | Betroffene Unternehmen |
|---|---|
| Business Services | 170 |
| Maschinenbau | 96 |
| Informationstechnologie & Dienstleistungen | 70 |
| Beratung & Engineering | 64 |
| Maschinenbau & Anlagenbau | 58 |
| Immobilien | 48 |
| Elektronik & Elektrotechnik | 43 |
| Baugewerbe | 42 |
| Großhandel | 41 |
| Chemie & Pharma | 40 |
Business Services führt die Liste an — ein Sektor mit hoher Mitarbeiterfluktuation, starker Abhängigkeit von Drittanbieter-Plattformen und häufigem unternehmensübergreifendem Datenaustausch. Maschinenbau und IT-Dienstleistungen folgen dicht dahinter. Auffällig: Keine Branche in unserem Datensatz lag unter einer Leak-Rate von 50% — die Betroffenheit ist branchenübergreifend.
Welche Daten landen im Dark Web?
Unsere Analyse erfasst nur eine Kategorie geleakter Daten: aktive Zugangsdaten. Das Spektrum im Dark Web exponierter Unternehmensdaten ist jedoch deutlich breiter:
- Infostealer-Logs: Malware-Infektionen auf Mitarbeiter-Geräten, die alle gespeicherten Browser-Passwörter, Session-Cookies und Autofill-Daten extrahieren – einschließlich VPN-Zugängen, E-Mail-Konten und internen Tools.
- Drittanbieter-Datenpannen: Mitarbeiter, die Passwörter über mehrere Dienste hinweg wiederverwenden. Wird ein SaaS-Tool gehackt, gehen die Unternehmens-Credentials mit.
- Ransomware-Leak-Seiten: Wenn Ransomware-Gruppen Daten stehlen und veröffentlichen, bevor sie diese verschlüsseln, werden interne Dokumente, Verträge und Zugangsdaten öffentlich zugänglich.
- Paste-Sites und Telegram-Kanäle: Zugangsdaten werden in Echtzeit in Telegram-Leakgruppen und auf Paste-Sites wie Pastebin geteilt und verkauft.
Warum die meisten Unternehmen nichts davon wissen
Die unbequeme Wahrheit hinter diesen Zahlen: Die große Mehrheit der betroffenen Unternehmen hat keine Ahnung, dass ihre Zugangsdaten im Dark Web kursieren. Dafür gibt es mehrere Gründe:
1. Kein Monitoring vorhanden: Die meisten mittelständischen Unternehmen überwachen Dark Web-Quellen nicht aktiv. Ohne kontinuierliches Scanning bleiben Leaks auf unbestimmte Zeit unentdeckt.
2. Leaks tauchen Monate oder Jahre später auf: Daten, die heute bei einem Einbruch gestohlen werden, erscheinen oft erst sechs bis achtzehn Monate später auf Dark Web-Märkten – lange nach dem ursprünglichen Vorfall.
3. Geleakte Daten verbreiten sich über viele Quellen: Ein einzelner Credential-Datensatz kann im Laufe der Zeit in Dutzenden verschiedener Leak-Datenbanken, Telegram-Gruppen und Paste-Sites auftauchen. Eine Quelle zu prüfen reicht nicht aus.
4. Angreifer sind geduldig: Gestohlene Zugangsdaten werden häufig nicht sofort verwendet. Sie werden gesammelt, validiert und Monate später eingesetzt – für Account-Übernahmen, Ransomware oder als Einstiegspunkt für einen größeren Angriff.
Was IT-Verantwortliche jetzt tun sollten
Die Datenlage ist eindeutig. Zwei Drittel der mittelständischen DACH-Unternehmen haben jetzt gerade exponierte Zugangsdaten im Dark Web. Das sind die Maßnahmen mit der größten unmittelbaren Wirkung:
1. Erst Sichtbarkeit herstellen. Man kann nicht auf Bedrohungen reagieren, die man nicht sieht. Eine einmalige Dark Web-Prüfung – oder idealerweise ein kontinuierliches Monitoring – zeigt, welche Mitarbeiter und Systeme exponiert sind. Das ist der Ausgangspunkt.
2. Unternehmens-E-Mail-Adressen priorisieren. Jede geleakte Unternehmens-E-Mail-Adresse ist eine direkte Phishing-Angriffsfläche. Betroffene Konten sollten sofort Multi-Faktor-Authentifizierung aktivieren und Passwörter zurücksetzen.
3. Nicht auf Breach-Benachrichtigungen warten. Datenpanne-Meldepflichten gelten für Vorfälle, die einem bekannt sind. Die meisten Dark Web-Leaks erzeugen jedoch nie eine öffentliche Benachrichtigung – die Verantwortung, sie zu entdecken, liegt beim Unternehmen selbst.
4. Kontinuierlich monitoren, nicht nur einmalig. Eine Momentaufnahme ist ein Anfang, keine Lösung. Täglich entstehen neue Leaks. Nur kontinuierliches Monitoring stellt sicher, dass man benachrichtigt wird, sobald eigene Daten auftauchen – und nicht Monate später.
5. Mitarbeiter einbeziehen, nicht nur Domains. Viele Credential Leaks entstehen über private E-Mail-Adressen, die Mitarbeiter für berufliche Dienste verwendet haben. Ein robuster Monitoring-Ansatz deckt sowohl Unternehmensdomains als auch Schlüsselpersonen ab.
Fazit: Die Zahlen sprechen für sich
Unsere Studie 2026 mit 1.976 DACH-Unternehmen lässt wenig Raum für Optimismus beim Thema Credential-Sicherheit: 68,1% der analysierten Unternehmen haben nachweisbare Zugangsdaten im Dark Web im Umlauf – mit durchschnittlich 7 exponierten Datensätzen pro betroffenem Unternehmen.
Die gute Nachricht: Bewusstsein ist der erste Schritt. Unternehmen, die wissen, dass sie betroffen sind, können schnell handeln – Passwörter zurücksetzen, MFA aktivieren und Angriffsflächen schließen, bevor diese ausgenutzt werden. Die, die es nicht wissen, bleiben auf unbestimmte Zeit verwundbar.
Jetzt eine kostenlose Dark Web-Analyse für Ihr Unternehmen anfragen und innerhalb von 24 Stunden erfahren, ob Ihre Unternehmens-Zugangsdaten aktuell exponiert sind.