Die größte Datensammlung in der Geschichte von „Have I Been Pwned" schlägt Alarm: Fast zwei Milliarden E-Mail-Adressen samt Passwörtern sind öffentlich verfügbar – und damit eine tickende Zeitbombe für jeden, der sein Passwort mehrfach verwendet. Besonders brisant: Cyberkriminelle nutzen die frisch zugänglichen Daten gezielt für ihre Angriffe zur Weihnachtssaison.

Die Warnung von Sicherheitsexperten könnte kaum deutlicher sein. Die Anfang November veröffentlichten Zugangsdaten stammen zwar nicht aus einem einzigen neuen Hack, sondern sind eine gigantische Zusammenstellung aus tausenden früherer Datenlecks. Doch genau das macht sie so gefährlich: Automatisierte „Credential Stuffing"-Attacken testen diese Kombinationen systematisch bei unzähligen Online-Diensten. Jeder erfolgreiche Login bedeutet ein weiteres übernommenes Konto.

Rekord-Upload offenbart erschreckende Ausmaße

Am 6. November integrierte der Breach-Überwachungsdienst „Have I Been Pwned" die bislang größte Datenmenge seiner Geschichte. Die Threat-Intelligence-Firma Synthient hatte 2025 aus zahlreichen kriminellen Online-Quellen insgesamt 1,9 Milliarden einzigartige E-Mail-Adressen und 1,3 Milliarden Passwörter zusammengetragen. Besonders alarmierend: 625 Millionen dieser Passwörter tauchten erstmals in der umfangreichen HIBP-Datenbank auf.

HIBP-Gründer Troy Hunt betonte, es handle sich nicht um den Hack eines einzelnen Unternehmens, sondern um eine Zusammenstellung von Login-Daten aus tausenden früherer, unabhängiger Datenlecks. Solche Sammlungen kursieren in Untergrundforen, wo Kriminelle sie kaufen und für Credential-Stuffing-Kampagnen einsetzen. Die Analyse zeigte: Ein Teil der kompromittierten Zugangsdaten wird nach wie vor für aktive Konten verwendet.

Ein altes Passwort wird zum Generalschlüssel

Warum ist Passwort-Recycling so gefährlich? Ein einziges kompromittiertes Kennwort kann zum Generalschlüssel für das gesamte digitale Leben werden. Wer dasselbe Passwort für E-Mail, Social Media und Online-Shopping nutzt, riskiert bei einem einzigen Datenleck den Zugriff auf alle Dienste. Studien zeigen: Schwache oder wiederverwendete Passwörter spielen bei über 80 Prozent aller Sicherheitsvorfälle eine entscheidende Rolle.

Cyberkriminelle nutzen diese Nachlässigkeit systematisch aus. Bots testen in Credential-Stuffing-Angriffen millionenfach gestohlene Login-Kombinationen pro Stunde bei verschiedensten Webseiten. Selbst bei einer Erfolgsquote von nur 0,1 Prozent ergeben sich tausende kompromittierte Konten. Das bedeutet: Daten aus einem Jahre alten Hack eines kleinen Forums können plötzlich den Zugang zum Hauptpostfach oder Bankkonto ermöglichen – wenn das Passwort wiederverwendet wurde.

Weihnachtsgeschäft im Visier der Kriminellen

Das Timing dieser Warnung ist kein Zufall. Bereits jetzt laufen die Vorbereitungen für Betrugs-Kampagnen zur Weihnachtssaison auf Hochtouren. Die Sicherheitsfirma Kasada berichtete am 11. November, dass Angreifer ihre Aktivitäten 10 bis 14 Tage früher als in Vorjahren starten – noch vor Höhepunkten wie dem Black Friday.

Kriminelle testen ihre Methoden proaktiv und übernehmen Konten genau dann, wenn diese am wahrscheinlichsten gespeicherte Zahlungsinformationen, Geschenkgutscheine und Treuepunkte enthalten. Allein im vergangenen Monat registrierte Kasada über 1.100 Credential-Stuffing-Vorfälle bei 133 Online-Händlern, wodurch schätzungsweise 265.000 Konten kompromittiert wurden. Die frisch zirkulierenden Listen aus dem HIBP-Upload liefern neue Munition für diese saisonalen Betrugsoffensiven.

Datenlecks haben keine Verfallsdaten

Die Integration dieses gewaltigen Datensatzes in HIBP illustriert ein grundlegendes Problem: Die Lebensdauer eines Datenlecks ist unbegrenzt. Zugangsdaten verfallen nicht, und solange Nutzer sie recyceln, bleiben sie für Angreifer wertvoll. Sicherheitsexperten betrachten dies als überzeugendes Beispiel dafür, warum Passwort-Recycling eine der größten – und dennoch vermeidbarsten – Bedrohungen für die persönliche Cybersicherheit darstellt.

Die Daten umfassen 32 Millionen verschiedene E-Mail-Domains, wobei Gmail-Adressen nur 20 Prozent ausmachen. Diese Breite unterstreicht: Kein Dienst steht isoliert. Ein Datenleck irgendwo kann überall Auswirkungen haben, wenn Nutzer ihre Passwörter mehrfach verwenden.

Digitale Hygiene wird zur Pflicht

Die Handlungsempfehlung ist eindeutig: Passwort-Recycling muss aufhören. Nutzer sollten umgehend prüfen, ob ihre E-Mail-Adressen oder Passwörter bei „Have I Been Pwned" auftauchen.

Sicherheitsprofis raten zu drei sofortigen Maßnahmen: Erstens, einen Passwort-Manager nutzen, der für jeden Online-Dienst starke, einzigartige Kennwörter generiert und speichert. Zweitens, Zwei-Faktor-Authentifizierung (2FA) für alle kritischen Konten aktivieren – E-Mail, Banking, Social Media. 2FA bietet eine entscheidende zweite Verteidigungslinie, die Angreifer selbst bei korrektem Passwort blockieren kann. Angesichts zunehmend ausgefeilter Credential-Stuffing-Attacken sind diese grundlegenden Sicherheitspraktiken längst keine Option mehr, sondern überlebenswichtig für die digitale Identität.