Credential, Stuffing

Credential Stuffing: Zwei Milliarden E-Mail-Adressen kompromittiert

15.11.2025 - 11:39:12

Credential Stuffing: Zwei Milliarden E-Mail-Adressen kompromittiert - Foto: über boerse-global.de
Credential Stuffing: Zwei Milliarden E-Mail-Adressen kompromittiert - Foto: über boerse-global.de

Kriminelle setzen massenhaft gestohlene Login-Daten ein. Anfang November tauchte eine der größten Sammlungen kompromittierter Zugangsdaten auf – fast zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter. Sicherheitsexperten warnen vor einer neuen Angriffswelle auf Online-Dienste. Millionen Nutzer in Deutschland sind gefährdet.

Die Bedrohung ist real: Cyberkriminelle nutzen die geleakten Daten bereits aktiv für sogenannte Credential-Stuffing-Angriffe. Dabei testen automatisierte Bots die E-Mail-Passwort-Kombinationen bei unzähligen Plattformen – von Social Media über Online-Shops bis zu Bankportalen. Jeder Treffer bedeutet eine Kontoübernahme.

Die Threat-Intelligence-Firma Synthient hat die Daten zusammengetragen, der Dienst „Have I Been Pwned” (HIBP) veröffentlichte sie Anfang November. Der Datensatz umfasst 1,96 Milliarden einzigartige E-Mail-Adressen und 1,3 Milliarden Passwörter aus unzähligen früheren Datenlecks und Malware-infizierten Systemen.

Anzeige

Viele Android-Nutzer unterschätzen, wie leicht Kriminelle mit geleakten Zugangsdaten Konten kapern – gerade bei WhatsApp, Online‑Shops und Mobile‑Banking. Unser kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen Schritt für Schritt: sichere Passwortverwaltung, Zwei‑Faktor‑Authentifizierung, verdächtige Apps erkennen, System‑Updates und App‑Berechtigungen prüfen. Praktische Anleitungen, Checklisten und sofort umsetzbare Einstellungen helfen, Kontoübernahmen zu verhindern. Gratis-Sicherheitspaket für Android jetzt herunterladen

Besonders alarmierend: Rund 625 Millionen Passwörter waren in der HIBP-Datenbank zuvor nicht erfasst. HIBP-Gründer Troy Hunt prüfte Stichproben und stellte fest: Viele dieser Zugangsdaten werden noch immer aktiv genutzt, obwohl sie teils Jahre alt sind.

Es handelt sich nicht um einen neuen Hack eines einzelnen Dienstes, sondern um eine massive Sammlung, die Kriminelle gezielt für automatisierte Angriffe aufbereitet haben.

Wie Credential Stuffing funktioniert

Kriminelle setzen automatisierte Skripte ein, um die geleakten Kombinationen bei Hunderten populärer Webseiten auszuprobieren. Die Erfolgsquote ist erschreckend hoch – denn viele Nutzer verwenden aus Bequemlichkeit dasselbe Passwort für mehrere Dienste.

Was passiert bei einer erfolgreichen Kontoübernahme?

  • Zugriff auf persönliche Daten und private Nachrichten
  • Einkäufe im Namen des Opfers
  • Versand betrügerischer Nachrichten an Kontakte
  • Missbrauch der „Passwort-vergessen”-Funktion bei weiteren Diensten

Selbst eine Erfolgsquote unter einem Prozent könnte bei dieser Datenmenge Millionen Konten betreffen.

BSI warnt vor digitaler Sorglosigkeit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschärft den Alarm in seinem Lagebericht 2025. Demnach sinken sowohl die Bekanntheit als auch die Nutzung essenzieller Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung (2FA) und Passwort-Manager – im zweiten Jahr in Folge.

Viele Bürger empfinden diese Werkzeuge als „zu kompliziert”. Diese Nachlässigkeit öffnet Cyberkriminellen Tür und Tor. Der BSI-Bericht betont: Der Faktor Mensch bleibt die entscheidende Schwachstelle.

Warum so viele Nutzer gefährdet sind

Das Problem der Passwort-Wiederverwendung ist nicht neu, doch der „Synthient”-Datensatz hebt die Bedrohung auf eine neue Stufe. Studien zeigen: Eine Mehrheit der Internetnutzer verwendet identische Passwörter für mehrere oder alle Logins.

Die Gründe sind nachvollziehbar: Die schiere Anzahl an Online-Konten macht es unmöglich, sich für jeden Dienst ein einzigartiges, komplexes Passwort zu merken. Genau hier setzen Angreifer an. Ein bei einem kleinen Onlineshop erbeutetes Passwort öffnet mit hoher Wahrscheinlichkeit auch E-Mail-Konten, Social-Media-Profile und möglicherweise Finanzdienstleistungen.

Was Nutzer jetzt tun müssen

Experten raten zu sofortigem Handeln. Der erste Schritt: Überprüfe deine E-Mail-Adressen über „Have I Been Pwned”. Unabhängig vom Ergebnis gelten diese Maßnahmen:

Sofort umsetzen:

  • Passwörter ändern: Ersetze alle mehrfach verwendeten Passwörter durch einzigartige, komplexe Alternativen
  • Passwort-Manager einsetzen: Diese Tools erstellen sichere Passwörter und speichern sie verschlüsselt
  • 2FA aktivieren: Schalte die Zwei-Faktor-Authentifizierung bei allen wichtigen Diensten ein

Selbst wenn Angreifer das korrekte Passwort erbeuten, benötigen sie mit aktivierter 2FA einen zweiten Faktor – etwa einen Code vom Smartphone. Erst dann erhalten sie Zugriff auf das Konto.

Langfristig setzt die Branche auf passwortlose Technologien wie Passkeys, die auf biometrischen Merkmalen oder physischen Sicherheitsschlüsseln basieren. Bis diese sich durchsetzen, bleiben gute Passworthygiene und 2FA die wichtigsten Verteidigungslinien.

Anzeige

PS: Sie möchten sofort handeln, bevor Angreifer Ihre Zugangsdaten missbrauchen? Der kostenlose Ratgeber zeigt in klaren Schritten, wie Sie Ihr Smartphone ohne teure Zusatz‑Apps schützen, 2FA richtig einrichten und verdächtige Aktivitäten erkennen. Ideal, wenn Sie WhatsApp, PayPal oder Mobile‑Banking nutzen – inklusive Checkliste für die wichtigsten Einstellungen. Jetzt Android-Sicherheitscheck anfordern

@ boerse-global.de