1,9 Milliarden E-Mail-Adressen im Netz: Größtes Passwort-Leck der Geschichte

Der größte jemals registrierte Datenbestand an kompromittierten Login-Daten ist jetzt öffentlich einsehbar. Fast zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter wurden Anfang November 2025 in die Datenbank von Have I Been Pwned (HIBP) integriert – ein düsterer Rekord, der Millionen Deutsche direkt betrifft. Was bedeutet das konkret für die Sicherheit unserer Online-Konten?

Wenn ein Passwort zum Generalschlüssel wird

Das Kernproblem liegt in einem gefährlichen Verhalten, das Sicherheitsexperten seit Jahren anprangern: der Wiederverwendung von Passwörtern. Wer dieselbe Kombination aus E-Mail und Passwort für sein Bankkonto, soziale Netzwerke und Online-Shopping verwendet, öffnet Kriminellen Tür und Tor. Ein einziges kompromittiertes Passwort wird so zum Generalschlüssel für sämtliche digitale Identitäten.

Die Angreifer nutzen automatisierte Programme, die systematisch Millionen von Login-Kombinationen bei verschiedenen Diensten durchprobieren. Der Erfolg dieser Methode basiert auf die Bequemlichkeit der Nutzer – und die Zahlen sprechen eine deutliche Sprache: 625 Millionen Passwörter in diesem Datensatz waren zuvor noch nie in der umfangreichen HIBP-Datenbank aufgetaucht. Ein besorgniserregender Zuwachs an Werkzeugen für digitale Einbrüche.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen, dabei bieten gerade Smartphones das Einfallstor für Credential‑Stuffing und Schadsoftware. Nach dem riesigen HIBP‑Datensatz mit Hunderten Millionen kompromittierter Passwörter ist es wichtiger denn je, Apps, Passwörter und Zwei‑Faktor‑Codes auf dem Handy zu schützen. Ein kostenloser Ratgeber erklärt leicht verständlich, welche Einstellungen sofort helfen – inklusive Checkliste für WhatsApp, Mobile‑Banking und App‑Berechtigungen. Gratis-Sicherheitspaket für Android jetzt herunterladen

123456: Das gefährlichste Passwort Deutschlands

Dass schwache Passwörter nach wie vor Alltag sind, zeigt eine Studie vom Februar 2025 mit erschreckender Klarheit. Die Zahlenfolge „123456″ führt weiterhin die Liste der meistgenutzten Passwörter an und taucht in über 50 Millionen Datenlecks auf. Auch „password”, „123456789″ und „admin” gehören zu den Spitzenreitern – Kombinationen, die Hacker mit simplen Programmen in Sekunden knacken können.

Für Unternehmen wird die Sache besonders brenzlig. Kompromittierte Mitarbeiter-Zugänge dienen als Einfallstor in Firmennetzwerke. Die Folgen können verheerend sein: Laut IBM kostet eine Datenpanne im Gesundheitssektor durchschnittlich 7,42 Millionen Euro. Deutsche Unternehmen stehen damit vor ähnlichen Risiken wie SAP oder die Telekom, die regelmäßig Millionen in Cybersicherheit investieren müssen.

Das zweite Leben gestohlener Daten

Die von der Threat-Intelligence-Plattform Synthient bereitgestellten Daten offenbaren eine beunruhigende Realität: Gestohlene Zugangsdaten haben ein langes, gefährliches Nachleben. Credentials, die vor Jahren erbeutet wurden, zirkulieren weiterhin in kriminellen Kreisen und werden für immer neue Angriffswellen recycelt.

Die Datenmasse speist sich aus zwei Hauptquellen: Stealer-Logs und Credential-Stuffing-Listen. Stealer-Logs entstehen durch Schadsoftware, die heimlich auf infizierten Computern läuft und gespeicherte Passwörter aus Browsern ausliest. Diese Informationen werden gebündelt, verkauft und auf dem Schwarzmarkt gehandelt – eine florierende Schattenwirtschaft, die täglich wächst.

Was Nutzer jetzt tun müssen

Die Dimension dieses Datenlecks erfordert sofortiges Handeln. Vier Schritte sind unverzichtbar:

Prüfen Sie Ihre Betroffenheit: Dienste wie Have I Been Pwned zeigen kostenlos, ob Ihre E-Mail-Adresse oder Passwörter kompromittiert wurden.

Ändern und diversifizieren: Betroffene Passwörter müssen sofort gewechselt werden – und zwar bei allen Diensten, wo Sie dieselbe Kombination verwendet haben.

Passwort-Manager nutzen: Diese Programme generieren und speichern komplexe, einzigartige Passwörter für jeden Account. Sie müssen sich nur noch ein Master-Passwort merken.

Zwei-Faktor-Authentifizierung aktivieren: Dies ist die wirksamste Verteidigung gegen Credential Stuffing. Selbst wenn Ihr Passwort gestohlen wird, benötigen Angreifer einen zusätzlichen Code von Ihrem Smartphone, um Zugriff zu erhalten.

Zwischen Reaktion und Vorbeugung

Troy Hunt, Gründer von Have I Been Pwned, bezeichnete die Integration dieser Daten als „die umfangreichste Verarbeitung in der Geschichte der Plattform”. Der Datensatz ist fast dreimal so groß wie der bisherige Rekordhalter. Was folgt daraus für die Zukunft der digitalen Sicherheit?

Die Branche arbeitet an passwortlosen Technologien wie biometrischen Verfahren und Passkeys. Doch die Realität sieht anders aus: Passwörter werden noch Jahre den Kern der Online-Sicherheit bilden. Bis wirklich sichere Alternativen flächendeckend verfügbar sind, liegt die Verantwortung bei jedem einzelnen Nutzer.

Kann eine Technologie, die auf einem Prinzip aus den 1960er-Jahren basiert, den raffinierten Angriffsmethoden von heute noch standhalten? Die Antwort lautet zunehmend: Nein – nicht ohne zusätzliche Schutzschichten. Die Ära des einzelnen Passworts als alleinigem Wächter unserer digitalen Identität neigt sich dem Ende zu. Wer jetzt nicht handelt, macht es Kriminellen unnötig leicht.

PS: Wenn Sie nicht nur Passwörter tauschen, sondern Ihre Konten nachhaltig schützen wollen, ist das Smartphone ein zentraler Hebel. Der kostenlose Guide zeigt fünf einfache Maßnahmen, die WhatsApp, Online‑Banking und gespeicherte Logins zuverlässig sichern – ganz ohne teure Zusatz‑Apps. Holen Sie sich die Schritt‑für‑Schritt‑Anleitungen und die praktische Checkliste. Jetzt Gratis‑Ratgeber: 5 Schutzmaßnahmen für Android sichern