Es ist schon wieder passiert: Millionen Passwörter, Nutzernamen und E-Mails sollen frei zugänglich im Netz gewesen sein, fast 150 Millionen Zugangsdaten. Ein vergleichsweiser Klacks gegen die 1,3 Milliarden vom November 2025, dafür sind fast alle großen Plattformen wie Gmail und Tiktok dabei, Kreditkartendaten – und Zugangsdaten zu offiziellen Regierungswebsites weltweit mit .gov-Domainendungen.
Wo waren die Daten einsehbar?
Entdeckt hat den Datensatz der Cyber-Sicherheitsexperte Jeremiah Fowler (externer Link). Er habe den Datensatz mit einem einfachen Browser durchsuchen können und in kleinen Daten-Patches angesehen. Dann habe er seinen Fund dem Hoster gemeldet, auf dessen Servern die knapp 100 GB Daten liegen. Einen Monat habe es dann aber gedauert, bis die Daten nicht mehr öffentlich zugänglich waren.
Wer sie mit welcher Absicht gesammelt hat, sei ebenso unklar geblieben wie die Frage, wie lange sie bereits öffentlich zugänglich waren. Offen ist auch, ob der Datensatz aus älteren Leaks zusammengetragen wurde oder neue, bislang nicht kompromittierte Daten enthält.
Ein „Risiko für die nationale Sicherheit“
Sorge macht Fowler aber noch etwas anderes: Denn neben den Zugangsdaten zu Privataccounts sind auch Daten zu offiziellen Regierungs-Websites geleakt worden. Das habe das Potenzial, zu einem Risiko für die nationale Sicherheit und die öffentliche Sicherheit zu werden. Allein in den USA gibt es rund 15.000 .gov-Website-Zugänge (externer Link). Der Leak sei ein „ein Weckruf nicht nur für Regierungsangestellte“, sagte Fowler BR24. Er sei schockiert gewesen, dass „so viele Accounts aus so vielen unterschiedlichen Ländern“ darunter gewesen seien – der Großteil außerhalb der Vereinigten Staaten.
In Deutschland gibt es noch keine einheitliche Domain-Endung, an der sich offizielle Regierungswebsites identifizieren lassen. Im November 2025 waren es lediglich eine Handvoll Websites (externer Link). Allerdings arbeitet das Digitalministerium an einer digitalen Dachmarke (externer Link), die dann auch durch .gov.de-Domainendungen erkennbar sein sollen.
Wie kamen die Kriminellen an die Zugangsdaten?
Um die Daten zu hacken, sei Infostealer-Malware zum Einsatz gekommen, sagt Fowler. Das ist eine Schadsoftware, die Passwörter und sensible Informationen stehlen kann, sobald ein Computer damit infiziert ist. Die Programme sammeln alle Passwörter aus Browsern und anderen Apps. Malware kann auf diversen Wegen auf einen Computer gelangen: Sie installiert sich in der Regel selbst, etwa beim unbedachten Klick auf den Anhang einer scheinbar vertrauenswürdigen E-Mail.
Von welchen Plattformen sind Daten geleakt worden?
Der Großteil der geleakten Daten aber stammt von Netzwerken und Plattformen:
- E-Mail: Gmail, Yahoo, Outlook, iCloud
- Social Media: Facebook, Instagram, TikTok, X (Twitter)
- Entertainment: Netflix, HBO, Disney, Roblox, OnlyFans
- Finanzen: Binance, Coinbase, weitere Krypto-Wallets und Finanzhandels-Accounts, Bank- und Kreditkarten-Logins
Schwaches Passwort = hohes Risiko
Ein Problem haben bei allen Daten-Leaks vor allem jene Nutzer, die das identische Passwort für mehrere Accounts nutzen. Denn dann probieren die Kriminellen automatisiert auf diversen Plattformen aus, ob sie sich dort vielleicht mit den gleichen Daten anmelden können – also zum Beispiel mit [email protected] und dem Passwort 1234567 bei Tiktok, Amazon und diversen anderen Plattformen. Credential Stuffing nennt sich diese Methode.
Was Sie jetzt tun sollten
Wie immer gilt: Selbst wenn Ihre E-Mail und Ihr Passwort Teil eines Datenleaks sind, heißt das noch nicht, dass Kriminelle sie bereits nutzen oder gekauft haben. Aber: Sie sind eben geleakt. Das erhöht die Wahrscheinlichkeit, dass sie irgendwann zum Cyber-Crime-Einsatz kommen. Deswegen: Prüfen Sie erstmal beim Hasso-Plattner-Institut oder auf Have I been pwned (externe Links), ob die eigenen Zugangsdaten öffentlich zugänglich waren oder sind.
Sicherheitsexperten raten zudem zu einer Reihe von Maßnahmen, die jeder beherzigen sollte, der in irgendeiner Form digital unterwegs ist. Auch wir rufen unsere Community regelmäßig dazu auf. Zum Standard zählt:
- Antivirus-Software installieren und aktiv nutzen, um Malware zu identifizieren und zu entfernen.
- Betriebssystem und Sicherheitssoftware regelmäßig aktualisieren.
- Für jeden Account ein eigenes, sicheres Passwort verwenden.
- Zwei-Faktor-Authentifizierung (2FA), Multi-Faktor-Authentifizierung (MFA), Passkeys oder Biometrie aktivieren.
- Ein Passwort-Manager hilft, Anmeldedaten verschlüsselt aufzubewahren.
- Apps nur aus offiziellen App-Stores downloaden.
