Zwei Milliarden E-Mail-Adressen geleakt: Warum jetzt handeln?

Erschreckende Dimension: Der Warndienst Have I Been Pwned hat Anfang November die bislang größte Sammlung kompromittierter Zugangsdaten in seine Datenbank aufgenommen. Die Aggregation enthält fast zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter – ein gewaltiges Arsenal für Cyberkriminelle.

Was zunächst nach einem spektakulären Hack klingt, ist in Wahrheit noch beunruhigender: Die vom Sicherheitsunternehmen Synthient zusammengestellte Datensammlung vereint Informationen aus Tausenden früherer Datenlecks und Malware-Protokollen, manche davon Jahre alt. Das macht die Gefahr nicht kleiner – im Gegenteil.

Credential Stuffing als industrialisierte Bedrohung

Die unter dem Namen “Synthient Credential Stuffing Threat Data” seit dem 6. November durchsuchbare Sammlung offenbart die düstere Realität moderner Cyberkriminalität. Mit automatisierten Tools testen Angreifer massenhaft gestohlene Kombinationen aus E-Mail und Passwort auf unzähligen Websites. Nutzt jemand dasselbe Passwort für mehrere Dienste, öffnet ein einziger Treffer die Tür zu zahlreichen Accounts.

Diese Angriffsmethode hat bereits prominente Opfer gefordert. Unternehmen wie Uber und der DNA-Testanbieter 23andMe gerieten so in die Schlagzeilen. Die Betrugsindustrie hat sich längst professionalisiert: Auf Darknet-Foren und in Telegram-Kanälen werden nicht nur Datensätze gehandelt, sondern auch fertige Automatisierungs-Tools für jedermann.

Viele Android-Nutzer übersehen genau die Einstellungen, die Infostealer und Credential-Stuffing-Angriffe abwehren. Aktuelle Fälle wie die Synthient-Sammlung zeigen, wie Schadsoftware Zugangsdaten von Geräten abzieht und Konten öffnet. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Smartphone mit klaren Schritt-für-Schritt-Anleitungen – von App-Rechteprüfung und sicheren Updates bis zu Backup- und Verschlüsselungs-Empfehlungen. Ideal, wenn Sie WhatsApp, Online-Banking oder PayPal auf dem Handy nutzen. Jetzt kostenloses Android-Sicherheitspaket anfordern

Kein Gmail-Hack – aber trotzdem gefährlich

Die schiere Menge erschreckt: 1.957.476.021 eindeutige E-Mail-Adressen fanden ihren Weg in die Datenbank. Die Informationen stammen aus verschiedenen Quellen, die Synthient das gesamte Jahr 2025 über im Internet aufgespürt hat – von illegalen Marktplätzen bis zu Hackerforen.

Besonders alarmierend: Von den 1,3 Milliarden Passwörtern waren 625 Millionen bisher nicht im Dienst “Pwned Passwords” erfasst. Das bedeutet, dass eine gewaltige Anzahl neu kompromittierter Zugangsdaten plötzlich im Umlauf ist. Tests bestätigten, dass viele dieser Kombinationen noch immer aktiv genutzt werden.

Troy Hunt, Gründer von Have I Been Pwned, stellt klar: Dies ist kein Angriff auf einen einzelnen Dienst. Zwar tauchen Gmail-Adressen mit 394 Millionen Einträgen am häufigsten auf – doch das entspricht nur 20 Prozent der Gesamtmenge. Das Problem liegt nicht bei einzelnen Anbietern, sondern in unserem Umgang mit Passwörtern.

Die zweite Warnung binnen weniger Wochen

Bereits im Oktober hatte Have I Been Pwned einen Datensatz von Synthient aufgenommen: 183 Millionen Zugangsdaten, die direkt von Geräten stammten, die mit Infostealer-Malware infiziert waren. Die aktuelle Sammlung ist weitaus umfangreicher und zeigt, wie vielfältig die Methoden der Angreifer geworden sind.

Fast die Hälfte der sicherheitsbewussten Abonnenten von Have I Been Pwned fand sich in diesem Datensatz wieder. Selbst wachsame Nutzer sind betroffen – ein deutliches Zeichen dafür, dass alte Gewohnheiten nicht mehr ausreichen.

Was jetzt zu tun ist

Die Einbindung der Daten in Have I Been Pwned ermöglicht jedem, die eigene Betroffenheit zu prüfen. Sicherheitsexperten drängen auf sofortiges Handeln:

Überprüfen Sie Ihre E-Mail-Adresse auf haveibeenpwned.com. Sind Sie betroffen, sollten Sie umgehend tätig werden.

Schluss mit Passwort-Recycling: Jeder Account benötigt ein eigenes, starkes Passwort. Passwort-Manager wie 1Password, Bitwarden oder KeePass nehmen Ihnen die Last ab, sich Dutzende komplexe Kombinationen zu merken.

Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA): Selbst wenn Ihr Passwort kompromittiert ist, verhindert eine zweite Sicherheitsebene unbefugten Zugriff. Nutzen Sie wo möglich App-basierte Verfahren statt SMS.

Setzen Sie auf Passkeys: Die passwortlose Authentifizierung bindet Ihre Accounts an physische Geräte und bietet deutlich mehr Sicherheit. Immer mehr Dienste – von Apple über Google bis Microsoft – unterstützen diese Technologie.

In einer Welt, in der Cyberkriminelle auf Milliarden kompromittierter Zugangsdaten zurückgreifen können, reicht Vorsicht allein nicht mehr aus. Wer jetzt nicht handelt, macht es Angreifern unnötig leicht. Die Werkzeuge für besseren Schutz existieren – es liegt an uns, sie auch zu nutzen.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine häufig unterschätzte Lücke, die Infostealer ausnutzen. Der Gratis-Ratgeber liefert praktische Checklisten, erklärt, wie Sie Apps prüfen, 2FA richtig einsetzen und Passwörter sicher verwalten, damit ein kompromittiertes Passwort nicht gleich mehrere Konten öffnet. Perfekt für alle, die ihre Mobilgeräte gegen Datendiebstahl und Kontoübernahmen schützen wollen. Gratis-Ratgeber mit den 5 Schutzmaßnahmen herunterladen