Es handelt sich um einen der größten Datensätze gehackter Zugangsdaten, die jemals indiziert wurden – und höchstwahrscheinlich enthält er auch Ihre Anmeldedaten. Wenn Sie die nächsten beiden Fragen mit Ja beantworten können, sollten Sie Ihre Passwörter so schnell wie möglich ändern.
- Melden Sie sich bei mehreren Websites oder Apps mit derselben Kombination aus E-Mail-Adresse und Passwort an?
- Wenn Sie auf dieser Website Ihre E-Mail-Adresse eingeben (externer Link) Wenn Sie es eingeben, leuchtet Ihnen das rote Wort Data Breach auf – und der Hinweis zum „Synthient Credential Stuffing Threat Data Breach“ vom April 2025?
Wenn ja, dann sind die E-Mail-Adresse und das zugehörige Passwort Teil des größten Datensatzes, der vom Internet-Sicherheitsprojekt Have I been pwned (kurz HIBP) zusammengestellt wurde – externer Link) jemals in seinen Index aufgenommen. Das Synthient Credential Stuffing behandelt Datenschutzverletzungen (externer Link) umfasst 1,3 Milliarden Passwörter und fast 2 Milliarden E-Mail-Adressen aus verschiedenen Datenlecks.
Wer hat die Datensammlung veröffentlicht?
„Have I been pwned“ ist eine bekannte Website des australischen Internet-Sicherheitsexperten Troy Hunt. Dort können Nutzer prüfen, ob ihre E-Mail-Adressen oder Passwörter betroffen sind – und zu welchem Datensatz sie gehören. Das Projekt erhielt die Datenlisten des Credential-Stuffing-Verstoßes von der Firma Synthient, um Benutzer zu warnen. Synthient ist auf die Analyse von Cyber-Bedrohungen spezialisiert.
Was ist Credential Stuffing?
Credential Stuffing ist eine Cyber-Angriffsmethode. Die Kriminellen probieren die durchgesickerte Kombination aus E-Mail-Adresse und Passwort auf anderen Websites aus, meist automatisiert über Bot-Netzwerke. Denn sie wissen: Viele nutzen für alle Logins die gleiche Kombination, vom sozialen Netzwerk über den Onlineshop und die Gesundheits-App bis zur Bank.
Was Sie jetzt tun sollten
Zunächst einmal: Keine Panik! Nur weil Ihre E-Mail-Adresse und Ihr Passwort Teil des Datenlecks sind, heißt das nicht, dass Kriminelle sie bereits nutzen oder gekauft haben. Fakt ist: Sie sind im Dark Web verfügbar. Dies erhöht die Wahrscheinlichkeit, dass sie irgendwann in Cyberkriminalität verwickelt werden. Aus diesem Grund:
1. Überprüfen Sie: Ist Ihre E-Mail-Adresse oder Ihr Passwort betroffen? E-Mails können hier abgerufen werden, Passwörter hier (externe Links).
2. Änderung: Vergeben Sie ein neues Passwort – für jeden Online-Shop, jede App und jedes Netzwerk ein eigenes. Passwörter sollten möglichst komplex sein. Ein komplexes Passwort ist mindestens acht Zeichen lang (mehr ist besser), enthält mindestens vier verschiedene Arten von Zeichen (Zahlen, Groß- und Kleinbuchstaben, Sonderzeichen), die zufällig angeordnet sind (also bewusst keinen Sinn ergeben oder aus Geburtstagen bestehen). Beispiel: t!X^w3K&8DSr.
3. Hinzufügen: Da sich kaum jemand solche Passwörter für jeden einzelnen Login merken kann, gibt es Passwortmanager wie LastPass oder Bitwarden. Sie speichern nicht nur die Passwörter, sondern generieren diese mit einem Klick auch in beliebiger Länge. Das BSI empfiehlt solche Programme ausdrücklich – und warnt gleichzeitig vor den browserbasierten Varianten (externer Link). Sie sind für Kriminelle vergleichsweise leicht zu hacken. Wenn Sie noch einen Schritt weiter gehen möchten, können Sie auch die Zwei-Faktor-Authentifizierung aktivieren.
Und nicht vergessen: Generieren Sie zukünftig für jeden Login ein eigenes Passwort.