Synthient-Leak: Zwei Milliarden E-Mail-Adressen gefährden SaaS-Plattformen

Eine gigantische Datensammlung mit knapp zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörtern verschärft die Bedrohungslage für Cloud-Anwendungen dramatisch. Cybersecurity-Experten warnen: Die seit Anfang November öffentlich verfügbaren Zugangsdaten liefern Kriminellen eine perfekte Vorlage für automatisierte Angriffe auf Unternehmenskonten. Was jahrelang als chronisches Sicherheitsproblem galt – die Wiederverwendung von Passwörtern – wird nun zur akuten Gefahr für Unternehmen und ihre Mitarbeiter.

Die Daten stammen nicht aus einem einzelnen Hack, sondern wurden vom Sicherheitsunternehmen Synthient aus Jahren von Malware-Protokollen und historischen Datenlecks zusammengetragen. Am 6. November indexierte der Breach-Warndienst Have I Been Pwned die Sammlung. Analysen vom 14. und 15. November bestätigen: Die schiere Größe und systematische Aufbereitung senken die Einstiegshürde für Angreifer erheblich. Automatisierte Attacken auf Unternehmens-Software werden damit so einfach wie nie zuvor.

Credential Stuffing: Die Gefahr liegt in der Masse

Die neu analysierten Daten verändern das Spiel für Cyberkriminelle grundlegend. Beim Credential Stuffing feuern automatisierte Bots tausende gestohlener Nutzername-Passwort-Kombinationen pro Minute auf Login-Seiten ab. Da viele Menschen dasselbe Passwort für mehrere Dienste nutzen, erzielen diese Angriffe eine beunruhigend hohe Trefferquote. Die Synthient-Sammlung liefert Angreifern Milliarden neuer Kombinationen – eine Goldgrube für Attacken auf SaaS-Plattformen, wo Passwort-Recycling weit verbreitet ist.

Passend zum Thema Credential-Stuffing: Viele Mitarbeiter nutzen private Browser-Accounts und wiederverwendete Passwörter – das macht SaaS-Zugänge für Angreifer besonders verwundbar. Das kostenlose E‑Book “Mobiles Arbeiten & Home‑Office Sicherheit” zeigt konkrete Maßnahmen: klare Regeln zur Browser-Nutzung, Anleitungen zur SSO- und MFA-Konfiguration sowie editierbare Vorlagen für sichere Home‑Office-Richtlinien. Plus: praktische Checklisten für Geräteverwaltung und Compliance – ideal für IT-Verantwortliche, die schnell Schutzmaßnahmen umsetzen müssen. Mobiles Arbeiten rechtssicher einrichten – Gratis-Download

Laut einer Sicherheitswarnung von AppOmni vom 14. November verwandelt diese Aggregation jahrelange Datenleck-Trümmer in ein hochwirksames Werkzeug. Einmal erfolgreich eingeloggt, können Angreifer oft schwache Sicherheitskontrollen umgehen, auf sensible Unternehmensdaten zugreifen und sich quer durch vernetzte Cloud-Services bewegen. Ein Beispiel aus 2024: Die Hackergruppe “Midnight Blizzard” nutzte einen Password-Spray-Angriff auf ein altes Testkonto ohne Zwei-Faktor-Authentifizierung als Einstiegspunkt – mit weitreichenden Folgen für das betroffene Unternehmen.

Der Browser als blinder Fleck

Die Bedrohung durch Credential-Dumps wird durch ein weiteres Problem verstärkt: Browser sind zur primären Arbeitsfläche geworden – und gleichzeitig zum größten Sicherheitsrisiko. Der am 13. November veröffentlichte “2025 Browser Security Report” enthüllt alarmierende Zahlen: 43 Prozent der SaaS-Logins erfolgen über private Accounts, 26 Prozent der Nutzer verwenden Passwörter mehrfach.

Traditionelle Sicherheitstools haben kaum Einblick in Browser-Aktivitäten. Kopieren Mitarbeiter sensible Daten in private KI-Tools? Greifen sie auf Unternehmens-Software ohne Single Sign-on zu? Diese “SaaS-Wildwuchs” bedeutet: Ein einziges kompromittiertes, wiederverwendetes Passwort kann Angreifern Zugang zu einem Schatten-Ökosystem von Unternehmensdaten verschaffen – völlig unsichtbar für IT-Sicherheitsteams.

Ransomware-Banden setzen auf gestohlene Zugangsdaten

Die Gefahr ist keineswegs theoretisch. Eine aktualisierte Warnung der US-Cybersicherheitsbehörde CISA, des FBI und internationaler Partner vom 13. November zeigt: Die Akira-Ransomware-Gruppe nutzt exakt diese Techniken. Die Angreifer verschaffen sich Erstzugang zu Opfernetzwerken durch Password Spraying – automatisierte Anmeldeversuche mit häufig genutzten oder bereits kompromittierten Passwörtern.

Diese direkte Verbindung zwischen einer berüchtigten Ransomware-Bande und der Ausnutzung schwacher Passwörter unterstreicht die realen Konsequenzen. Die Täter zielen oft auf VPNs und andere Fernzugriffspunkte ohne robuste Mehrfaktor-Authentifizierung. Ein simples, wiederverwendetes Passwort wird zum Schlüssel für verheerende Ransomware-Attacken. Die Behörden empfehlen dringend: Unternehmen müssen sofort phishing-resistente Mehrfaktor-Authentifizierung durchsetzen.

Identität als neue Verteidigungslinie

Die Kombination aus massenhaft verfügbaren Zugangsdaten und der Explosion von Cloud-Anwendungen hat Identität endgültig zur neuen Sicherheitsgrenze gemacht. Daten und Anwendungen verteilen sich über unzählige Cloud-Umgebungen – das traditionelle Modell einer verteidigbaren Netzwerkgrenze ist obsolet. Die primäre Verteidigung besteht heute darin sicherzustellen, dass nur autorisierte Nutzer auf spezifische Daten zugreifen können. Eine Verteidigung, die durch Passwort-Wiederverwendung vollständig ausgehebelt wird.

Diese Verschiebung prägt auch den Arbeitsmarkt im Cybersecurity-Bereich. Eine Branchenanalyse vom 16. November zeigt: Personalverantwortliche suchen nicht mehr nach Kandidaten, die einfach Sicherheitstools auflisten können. Gefragt sind Profis mit nachweisbarer Wirkung – etwa solche, die einen aktiven Credential-Stuffing-Angriff erkannt und eingedämmt haben. Die Branche erkennt klar: Die proaktive Verteidigung gegen identitätsbasierte Angriffe ist zur Kernkompetenz geworden.

Was Unternehmen jetzt tun müssen

Organisationen sollten mit einem deutlichen Anstieg automatisierter Credential-Stuffing- und Password-Spray-Kampagnen rechnen. Die Leichtigkeit, mit der Angreifer nun Milliarden von Zugangsdaten nutzen können, bedeutet: Jeder Dienst, der nur durch ein Passwort geschützt ist, trägt ein hohes Kompromittierungsrisiko.

Sicherheitsexperten drängen auf eine mehrschichtige Verteidigungsstrategie mit modernen Identitätsprotokollen. Die unmittelbaren Prioritäten: Durchsetzung phishing-resistenter Mehrfaktor-Authentifizierung wie FIDO2 oder Security Keys für alle Dienste, vollständige Deaktivierung veralteter Authentifizierungsprotokolle, die MFA umgehen können, und Implementierung von Tools, die Nutzer daran hindern, bereits kompromittierte Passwörter zu verwenden. Kontinuierliche Überwachung auf verdächtige Login-Muster – etwa hohe Fehlerraten von einer einzelnen IP-Adresse über viele Konten hinweg – ist entscheidend für frühzeitige Erkennung.

Die Ära, in der man sich auf Passwortkomplexität allein verlassen konnte, ist vorbei. Die Zukunft der SaaS-Sicherheit hängt davon ab, Identität zu verifizieren – nicht nur die Kenntnis eines geheimen Worts.

PS: Sie wollen sofort handeln? Das kostenlose Paket “Mobiles Arbeiten & Home‑Office Sicherheit” liefert Schritt-für-Schritt-Anleitungen, editierbare Vorlagen und Checklisten, mit denen Sie MFA durchsetzen, veraltete Authentifizierungsprotokolle deaktivieren und sichere Browser‑ und Home‑Office-Richtlinien einführen. Ideal, um kurzfristig Angriffspunkte zu schließen und Compliance-Anforderungen zu erfüllen. Jetzt Home-Office-Sicherheits-Paket anfordern