Es ist einer der größten je indexierten Datensätze mit gehackten Zugangsdaten – und er enthält mit einiger Wahrscheinlichkeit auch Ihre Login-Daten. Wer deshalb die beiden nächsten Fragen mit Ja beantworten kann, sollte schnellstens seine Passwörter ändern.
- Loggen Sie sich auf mehreren Websites oder Apps mit der identischen Kombination aus E-Mail-Adresse und Passwort ein?
- Wenn Sie Ihre E-Mail-Adresse auf dieser Website (externer Link) eingeben, leuchtet Ihnen dann das rote Wort Data Breach entgegen – und der Hinweis zum „Synthient Credential Stuffing Threat Data Breach“ von April 2025?
Wenn ja, dann sind E-Mail-Adresse und zugehöriges Passwort Teil des größten Datensatzes, den das Internet-Sicherheitsprojekt Have I been pwned (kurz: HIBP – externer Link) je in seinen Index aufgenommen hat. Der Synthient Credential Stuffing Treat Data Breach (externer Link) umfasst 1,3 Milliarden Passwörter und knapp 2 Milliarden E-Mail-Adressen aus verschiedenen Datenlecks.
Wer hat die Datensammlung publiziert?
„Have I been pwned“ ist eine bekannte Website des australischen Internet-Sicherheitsexperten Troy Hunt. Dort können Nutzer prüfen, ob ihre E-Mail-Adressen oder Passwörter betroffen sind – und Teil welches Datensatzes sie sind. Das Projekt hat die Datenlisten des Credential-Stuffing-Breachs von der Firma Synthient erhalten, um Nutzer zu warnen. Synthient ist auf die Analyse von Cyber-Bedrohungen spezialisiert.
Was ist Credential Stuffing?
Credential Stuffing ist eine Cyber-Angriffs-Methode. Die Kriminellen probieren die geleakte Kombination aus E-Mail-Adresse und Passwort auf anderen Websites aus, meist automatisiert mit Bot-Netzwerken. Denn sie wissen: Viele Menschen verwenden die identische Kombination für sämtliche Logins vom sozialen Netzwerk über den Online-Shop und die Gesundheitsapp bis zur Bank.
Was Sie jetzt tun sollten
Als Erstes: Nicht in Panik verfallen! Nur, weil Ihre E-Mail und Ihr Passwort Teil des Datenleaks sind, heißt das noch nicht, dass Kriminelle sie jetzt bereits nutzen oder gekauft haben. Fakt ist: Sie sind im Darknet verfügbar. Das erhöht die Wahrscheinlichkeit, dass sie irgendwann zum Cyber-Crime-Einsatz kommen. Deswegen:
1. Prüfen: Sind Ihre E-Mail-Adresse oder Ihr Passwort betroffen? E-Mails lassen sich hier prüfen, Passwörter hier (externe Links).
2. Ändern: Vergeben Sie ein neues Passwort – für jeden Online-Shop, jede App und jedes Netzwerk ein eigenes. Passwörter sollten möglichst komplex sein. Ein komplexes Passwort ist mindestens acht Zeichen lang (mehr ist besser), enthält mindestens vier verschiedene Zeichenarten (Zahlen, Buchstaben groß und klein, Sonderzeichen), die sich willkürlich aneinanderreihen (also bewusst keinen Sinn ergeben oder aus Geburtstagen bestehen). Beispiel: t!X^w3K&8DSr.
3. Ergänzen: Weil sich kaum jemand für jedes einzelne Login solche Passwörter merken kann, gibt es Passwort-Manager wie LastPass oder Bitwarden. Sie speichern die Passwörter nicht nur, sondern generieren sie auch mit einem Klick in beliebiger Länge. Das BSI empfiehlt ausdrücklich solche Programme – und warnt gleichzeitig vor den browser-basierten Varianten (externer Link). Die ließen sich nämlich vergleichsweise leicht von Kriminellen hacken. Wer noch eins draufsetzen will, aktiviert zudem die Zwei-Faktor-Authentifizierung.
Und nicht vergessen: Künftig für jedes Login ein eigenes Passwort generieren.
