1,3 Milliarden Passwörter im Netz aufgetaucht

Das Besondere an diesem Fund: Es handelt sich nicht um das Ergebnis eines einzelnen spektakulären Hacks. Vielmehr haben Kriminelle über Jahre hinweg Login-Daten aus unzähligen Datenlecks und durch ausgefeilte Schadsoftware zusammengetragen. Die Sicherheitsfirma Synthient spürte diesen gewaltigen Datenschatz auf, nachdem sie zahlreiche Ecken des Internets durchforstet hatte, in denen Cyberkriminelle gestohlene Zugangsdaten handeln.

Die Sicherheitsexperten sprechen von sogenannten “Credential-Stuffing-Listen” – riesige Sammlungen von Nutzernamen und Passwörtern aus vergangenen Sicherheitsvorfällen. Für Kriminelle sind solche Listen pures Gold: Mit automatisierten Tools testen sie die erbeuteten Zugangsdaten auf unzähligen Webseiten, in der Hoffnung auf einen Treffer. Und die Chancen stehen gut – schließlich nutzen viele Menschen dasselbe Passwort für mehrere Dienste.

Viele Android-Nutzer übersehen genau die Sicherheitslücken, die Kriminelle bei Credential-Stuffing ausnutzen – von unsicheren Apps bis zu fehlender Zwei‑Faktor‑Authentifizierung. Ein kostenloses Sicherheitspaket erklärt die fünf wichtigsten Maßnahmen für Ihr Smartphone: sichere App‑Auswahl, automatische Updates, Passwort‑Manager einrichten, 2FA aktivieren und Trojaner erkennen. Mit klaren Schritt‑für‑Schritt‑Anleitungen und praktischen Checklisten schützen Sie WhatsApp, Banking‑Apps und PayPal-Konten effektiv. Jetzt kostenloses Android-Sicherheits-Paket herunterladen

Die Konsequenz? Ein einziges kompromittiertes Passwort kann Angreifern Zugang zu E-Mail-Konten, Bankverbindungen, Social-Media-Profilen und anderen sensiblen Bereichen verschaffen. Kein Wunder also, dass die Reaktionen in der IT-Sicherheitsszene heftig ausfallen.

Benjamin Brundage, Gründer von Synthient, stellte die Daten zusammen. Troy Hunt, Schöpfer des renommierten Warndiensts “Have I Been Pwned”, verifizierte anschließend das erschreckende Ausmaß. In einem Blogbeitrag bestätigte Hunt: Die Sammlung ist fast dreimal größer als die bisher umfangreichste Datenbank in seinem System. Besonders alarmierend: 625 Millionen der 1,3 Milliarden Passwörter tauchten noch nie zuvor in bekannten Datenlecks auf.

Die Zugangsdaten stammen aus zwei Hauptquellen: ältere Datenlecks und weit verbreitete “Infostealer”-Schadsoftware. Diese heimtückischen Programme durchsuchen infizierte Computer nach gespeicherten Login-Daten, Cookies und anderen sensiblen Informationen – und schicken alles direkt an die Server der Angreifer. Die erbeuteten Datensätze landen anschließend auf Hackerforen oder werden über Messaging-Kanäle verkauft.

Das enorme Volumen bedeutet: Auch Zugangsdaten zu großen E-Mail-Plattformen wie Gmail, Hotmail, Outlook und Yahoo finden sich in der Sammlung. Sicherheitsexperten betonen jedoch ausdrücklich, dass dies kein Versagen dieser Unternehmen darstellt. Vielmehr spiegelt es die breite Masse an Opfern wider, deren Daten über Jahre hinweg von weniger sicheren Webseiten oder direkt von ihren eigenen infizierten Geräten gestohlen wurden.

Das Risiko ist erheblich: Angreifer können diese Daten nun für massenhafte Kontoübernahmen, Identitätsdiebstahl und gezielte Phishing-Kampagnen einsetzen.

Die 1,3 Milliarden neu identifizierten Passwörter wurden in den “Pwned Passwords”-Dienst integriert – ein kostenloses Tool von Have I Been Pwned. Damit können Betroffene prüfen, ob ihre aktuellen Passwörter kompromittiert wurden, ohne E-Mail-Adresse oder das Passwort selbst preiszugeben. Die Überprüfung erfolgt lokal im Browser des Nutzers – ein wichtiger Datenschutzaspekt.

Diese fünf Schritte sollten Sie jetzt unternehmen:

1. Passwörter überprüfen: Besuchen Sie die Have I Been Pwned Passwords-Seite und testen Sie, ob Ihre aktiven Passwörter in diesem oder früheren Leaks auftauchen.

2. Kompromittierte Passwörter sofort ändern: Taucht ein Passwort in der Datenbank auf, ändern Sie es unverzüglich auf allen Seiten, wo Sie es verwenden. Priorisieren Sie kritische Konten wie E-Mail, Bankverbindungen und Passwort-Manager.

3. Schluss mit Passwort-Recycling: Dieser Vorfall unterstreicht die Gefahr, dasselbe Passwort für mehrere Dienste zu nutzen. Verwenden Sie für jeden Online-Account ein einzigartiges, starkes Passwort.

4. Passwort-Manager einsetzen: Tools wie Bitwarden, LastPass oder Proton Pass generieren und speichern komplexe, individuelle Passwörter für alle Ihre Konten – ein deutlicher Sicherheitsgewinn.

5. Zwei-Faktor-Authentifizierung aktivieren: Wo immer möglich, schalten Sie die Zwei-Faktor-Authentifizierung (2FA) ein. Diese zweite Sicherheitsebene – meist ein Code aufs Smartphone – verhindert unbefugten Zugriff selbst dann, wenn Ihr Passwort gestohlen wurde.

Diese Mega-Sammlung markiert einen grundlegenden Wandel in der Cyberkriminalität. Statt sich ausschließlich auf spektakuläre Einzelangriffe auf prominente Ziele zu konzentrieren, bündeln Kriminelle jetzt historische Daten zu Superlisten – effizient, mächtig und bereit für großflächige Attacken.

Die Verfügbarkeit solch umfangreicher Zugangsdaten-Listen im Darknet befeuert eine gigantische Schattenwirtschaft. Selbst weniger versierte Kriminelle können damit erheblichen Schaden anrichten. Das dürfte spannend werden – im negativen Sinne.

Die Arbeit von Firmen wie Synthient und Diensten wie Have I Been Pwned ist unverzichtbar, um solche Bedrohungen öffentlich zu machen. Doch die ultimative Verteidigung liegt bei jedem Einzelnen: Solange das Wiederverwenden von Passwörtern gängige Praxis bleibt, werden diese gewaltigen Sammlungen gestohlener Zugangsdaten eine ernsthafte Gefahr für private und geschäftliche Sicherheit darstellen.

In den kommenden Wochen ist mit einer Welle von Credential-Stuffing-Angriffen zu rechnen, wenn Kriminelle beginnen, diesen frisch kompilierten Datensatz zu nutzen. Bleiben Sie wachsam gegenüber Phishing-Versuchen und überwachen Sie Ihre Konten auf verdächtige Aktivitäten.

PS: Wenn in den nächsten Wochen viele Credential‑Stuffing‑Angriffe starten, sollte Ihr Smartphone keine leichte Beute sein. Das gratis Sicherheitspaket für Android erklärt praxisnah, wie Sie Passwort‑Manager korrekt einrichten, verdächtige Apps erkennen, automatische Updates und Backups konfigurieren sowie 2FA für Banking‑ und Shopping‑Apps aktivieren. Ideal für alle, die PayPal, Online‑Banking oder Messenger mobil nutzen und ihre Konten sofort schützen wollen. Gratis‑Sicherheitsratgeber für Android jetzt anfordern