Synthient-Datenleck: 2 Milliarden E-Mail-Adressen gefährdet

Ein beispielloser Datensatz mit fast zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörtern ist im Sicherheitsdienst „Have I Been Pwned” aufgetaucht. Die Brisanz: Dahinter steckt kein einzelner Hackerangriff, sondern eine gewaltige Zusammenführung von Tausenden früheren Datenlecks. Für Cyberkriminelle ist das eine Goldgrube – und für Millionen Nutzer eine ernste Bedrohung.

Die IT-Sicherheitsfirma Synthient hat diese Datenmasse zusammengetragen und an den Warndienst übergeben. Das Ergebnis ist alarmierend: Selbst von den 5,9 Millionen Abonnenten des Warndienstes – also ausgesprochenen Sicherheitsbewussten – fanden sich 2,9 Millionen in diesem Datensatz wieder. Die zentrale Gefahr? Credential Stuffing: automatisierte Angriffe, bei denen Bots gestohlene Login-Daten auf unzähligen Websites durchtesten.

Größter Datensatz aller Zeiten

Die Dimensionen sind beispiellos. Mit knapp zwei Milliarden E-Mail-Adressen handelt es sich um den umfangreichsten Datensatz, den „Have I Been Pwned” jemals verarbeitet hat. Noch beunruhigender: Von den 1,3 Milliarden Passwörtern waren 625 Millionen bisher völlig unbekannt.

Passend zum Thema: Credential-Stuffing und Passwort-Recycling eröffnen Cyberkriminellen riesige Angriffsflächen – besonders, wenn Sie Banking, PayPal oder Shopping-Apps auf Ihrem Smartphone nutzen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen für Android, inklusive Checkliste zu Updates, sicheren Einstellungen, App‑Prüfungen, Backup‑Tipps und 2‑FA‑Anleitungen, damit Sie Konten und Zahlungsdaten effektiv schützen können. Die Schritt‑für‑Schritt-Anleitungen sind leicht umsetzbar und schließen oft übersehene Lücken. Gratis-Sicherheitspaket für Android jetzt herunterladen

Troy Hunt, Gründer des Warndienstes, spricht von einem „deutlichen Sprung” in der Größenordnung. Die Daten stammen aus kriminellen Online-Quellen, wo Hacker das ganze Jahr 2025 über gestohlene Zugangsdaten gehandelt haben. Am 6. November wurden sie offiziell in die Datenbank aufgenommen – und machten das Ausmaß der latenten Bedrohung erstmals öffentlich sichtbar.

Warum Passwort-Recycling so gefährlich ist

Das Problem liegt in einer weit verbreiteten Unart: der Wiederverwendung von Passwörtern. Genau darauf setzen Credential-Stuffing-Angriffe. Cyberkriminelle nehmen riesige Listen aus E-Mail-Passwort-Kombinationen und feuern sie automatisiert auf Login-Seiten von Banken, Online-Shops, sozialen Netzwerken und Firmennetzwerken ab.

Jeder Treffer bedeutet Zugang zu einem Konto, das ursprünglich gar nicht gehackt wurde. Die Folgen? Identitätsdiebstahl, Datenklau, gestohlene Treuepunkte oder neue Phishing-Wellen gegen die Kontakte des Opfers. Besonders im Einzelhandel explodiert diese Bedrohung: Zwischen Januar und Oktober 2025 stiegen die Angriffe um 92 Prozent – rechtzeitig zum Black Friday.

KI macht Angriffe noch gefährlicher

Die Cyberkrime-Landschaft verändert sich radikal. Statt einzelne Dienste anzugreifen, können Kriminelle aus einem riesigen Pool bereits kompromittierter Daten schöpfen. Selbst weniger versierte Hacker können damit massenhaft Konten übernehmen.

Doch es kommt noch dicker: Künstliche Intelligenz revolutioniert diese Attacken. KI-gesteuerte Bots imitieren menschliches Verhalten immer besser und umgehen so CAPTCHAs und andere Schutzmechanismen. Experten prognostizieren für die Weihnachtssaison 2025 einen Anstieg KI-generierter Anfragen um 520 Prozent gegenüber dem Vorjahr. Erstmals könnte KI-gesteuerte Bot-Aktivität die Mehrheit des Web-Traffics ausmachen.

Was jetzt zu tun ist

Sicherheitsexperten mahnen zu sofortigen Gegenmaßnahmen. Die wichtigste Regel: Jedes Online-Konto braucht ein eigenes, komplexes Passwort. Passwort-Manager helfen dabei, diese Anforderung praktikabel umzusetzen.

Zusätzlich sollte überall Zwei-Faktor-Authentifizierung (2FA) aktiviert werden. Selbst wenn Angreifer an ein Passwort gelangen, blockiert diese zweite Sicherheitsebene den unbefugten Zugriff. Noch zukunftssicherer sind Passkeys – technische Lösungen, die Konten an physische Geräte koppeln und Passwörter komplett überflüssig machen.

Unternehmen stehen vor noch größeren Herausforderungen. Sie müssen betrügerische Login-Versuche erkennen, strikte Authentifizierungsregeln durchsetzen und Zero-Trust-Modelle implementieren. Bei dieser Sicherheitsarchitektur werden Nutzer und Geräte kontinuierlich überprüft, bevor sie Zugang zu sensiblen Daten erhalten.

Denn eines ist klar: Während Angreifer ihre Methoden industrialisieren, müssen sowohl Privatpersonen als auch Unternehmen ihre Verteidigung massiv verstärken. Das Synthient-Datenleck ist nicht das Ende der Bedrohung – sondern erst der Anfang einer neuen Dimension.

PS: Wer seine Konten wirklich schützen will, braucht konkrete, einfach umsetzbare Schritte – nicht nur theoretische Hinweise. Dieses Gratis‑Ratgeberpaket zeigt in klaren, bebilderten Anleitungen, wie Sie Ihr Android‑Smartphone für WhatsApp, Online‑Banking und PayPal absichern, welche Einstellungen sofort helfen und wie Sie verdächtige Apps erkennen. Zusätzlich erhalten Sie eine praktische Checkliste für regelmäßige Sicherheits‑Checks. Jetzt das kostenlose Android-Sicherheitspaket anfordern