Die Auswertung zeigt: 625 Millionen Passwörter tauchen in diesem Leak zum ersten Mal auf. Sicherheitsexperten sprechen von einem „Rekord-Datenleck“, das alles bisher Dagewesene übertrifft.

Die Quelle: Eine gewaltige Datensammlung aus alten Leaks

Das neue Mega-Leck wurde von der Threat-Intelligence-Plattform Synthient entdeckt und ausgewertet. Anders als bei klassischen Hackerangriffen handelt es sich nicht um eine einzelne Datenpanne, sondern um eine gigantische Zusammenführung mehrerer bereits bekannter Leaks aus den letzten Jahren.

In dieser sogenannten Credential-Stuffing-Liste wurden Millionen von Login-Daten gebündelt – meist aus kompromittierten Onlinekonten großer Plattformen, Foren und Apps.
Genau hier liegt die Gefahr: Diese Listen werden von Cyberkriminellen genutzt, um sich automatisiert in fremde Konten einzuloggen. Besonders erfolgreich sind sie dann, wenn Nutzer das gleiche Passwort mehrfach verwenden – ein immer noch weit verbreitetes Verhalten.

Der Forscher, der das Leck bekannt machte

Der australische Sicherheitsforscher Troy Hunt – bekannt durch seine Plattform Have I Been Pwned (HIBP) – hat den Datensatz überprüft und in seine Datenbank aufgenommen.
Sein Ziel: Nutzerinnen und Nutzern weltweit die Möglichkeit zu geben, zu prüfen, ob ihre Daten betroffen sind.

Laut Hunt umfasst das Update exakt 1.957.476.021 E-Mail-Adressen und 1,3 Milliarden Passwörter. Es handelt sich damit um das größte Daten-Update in der Geschichte seiner Plattform. „Jede E-Mail-Adresse kommt nur einmal vor – der Datensatz enthält keine Duplikate“, erklärt der Forscher in einem Blogbeitrag.

625 Millionen neue Passwörter – viele davon noch aktiv

Besonders alarmierend: Rund 625 Millionen Passwörter waren bislang in keinem bekannten Leak enthalten.
Das bedeutet, sie stammen aus Quellen, die bisher nicht öffentlich gemacht wurden – oder sie wurden erst kürzlich in Umlauf gebracht.

Hunt testete stichprobenartig einige betroffene Nutzerkonten. Das Ergebnis: Viele der Passwörter werden noch aktiv verwendet, teilweise sogar für sensible Zugänge wie E-Mail, Cloud-Speicher oder Online-Shops.
Einige Nutzer berichteten, dass sie ihr Passwort seit über zehn Jahren nicht geändert hatten – und erst durch die Benachrichtigung auf HIBP aktiv wurden.

Warum dieses Datenleck so gefährlich ist

Das Problem liegt nicht nur in der schieren Masse, sondern in der Kombination der Daten.
E-Mail-Adresse und Passwort bilden zusammen den Schlüssel zu Onlinekonten. Wenn Angreifer beides kennen, können sie automatisierte Login-Versuche bei Hunderten von Diensten durchführen – etwa bei Amazon, PayPal, Netflix, Facebook oder Gmail.

Dieses Vorgehen nennt sich Credential Stuffing: Kriminelle füttern Bots mit riesigen Passwortlisten und testen systematisch, wo die Kombination funktioniert. Besonders gefährlich ist das, wenn Nutzer ein Passwort mehrfach verwenden.

Laut Studien nutzen noch immer über 60 Prozent der Internetnutzer dieselbe Kombination aus E-Mail und Passwort für mehrere Konten. Das macht sie zur leichten Beute.

So prüfen Sie, ob Sie betroffen sind

Die Plattform Have I Been Pwned ermöglicht es, kostenlos zu überprüfen, ob Ihre E-Mail-Adresse oder Ihr Passwort in dem neuen Datenleck enthalten ist.

So funktioniert es:

1. Rufen Sie die Webseite haveibeenpwned.com auf.
2. Geben Sie Ihre E-Mail-Adresse ein.
3. Innerhalb von Sekunden zeigt die Seite an, ob Ihre Daten in einem bekannten Leak auftauchen.

Auch Passwörter können Sie testen – über den Bereich Pwned Passwords. Dort wird geprüft, ob eine Zeichenfolge in den bekannten Datenbanken vorkommt. Die Eingabe erfolgt anonym und ohne Verbindung zu Ihrer E-Mail-Adresse.

Das sollten Sie jetzt unbedingt tun

Sicherheitsforscher empfehlen, nach Bekanntwerden eines solchen Leaks sofort aktiv zu werden:

• Passwörter sofort ändern: Nutzen Sie nie dieselbe Kombination für verschiedene Konten.
• Passwort-Manager verwenden: Programme wie Bitwarden, 1Password oder KeePass erzeugen sichere, lange Passwörter.
• Zwei-Faktor-Authentifizierung (2FA) aktivieren: So benötigen Angreifer neben dem Passwort auch einen Code vom Smartphone.
• Misstrauisch bei Phishing-Mails: Angreifer nutzen solche Leaks oft, um gezielte Betrugsversuche zu starten.
• Regelmäßige Passwort-Prüfung: Über HIBP oder andere Sicherheitsdienste können Sie regelmäßig testen, ob Ihre Daten erneut auftauchen.

Kein gezielter Hack – aber eine ernste Gefahr

Wichtig: Dieses Leck betrifft keinen einzelnen Anbieter wie Google oder Microsoft. Zwar sind laut Troy Hunt rund 394 Millionen Gmail-Adressen enthalten, doch stammen diese aus mehr als 30 Millionen verschiedenen Quellen.
Das bedeutet: Die Daten wurden über Jahre hinweg gesammelt, nicht in einem einmaligen Angriff.

Trotzdem gilt: Auch alte Daten werden gefährlich, wenn sie in neuen Listen auftauchen – denn sie werden kombiniert, erweitert und für automatisierte Angriffe auf aktuelle Dienste verwendet.

Fazit: Das größte Datenleck der Geschichte – jetzt handeln!

Das Datenleck Passwörter 2025 ist das bislang umfangreichste der Welt. Fast zwei Milliarden Nutzerinformationen sind im Umlauf – und jeder könnte betroffen sein.

Wer seine Konten schützen will, sollte sofort handeln: Passwörter ändern, Zwei-Faktor-Schutz aktivieren und regelmäßig prüfen, ob die eigene E-Mail-Adresse in neuen Leaks auftaucht.

Cyberkriminelle werten die Datensätze bereits aus – wer jetzt schnell reagiert, kann Schaden verhindern.
Das Internet vergisst nicht – aber Sie können dafür sorgen, dass Ihre Daten nicht länger Teil dieses gigantischen Lecks sind.