Ein gigantisches Datenpaket mit 183 Millionen einzigartigen E-Mail-Adressen und Passwörtern ist öffentlich geworden - einer der größten Credential-Leaks des Jahres 2025. Die Daten stammen von unzähligen, mit Malware infizierten Computern und wurden über ein ganzes Jahr hinweg gesammelt.

Das Cybersecurity-Unternehmen Synthient hat die gestohlenen Informationen zusammengetragen und dem Datenleck-Service "Have I Been Pwned" (HIBP) zur Verfügung gestellt. Dort können Nutzer jetzt überprüfen, ob ihre Zugangsdaten betroffen sind.

Der Leak zeigt die wachsende Bedrohung durch sogenannte Infostealer-Malware, die Anmeldedaten direkt beim Eingeben auf Websites abfängt. Anders als herkömmliche Datenschutzverletzungen einzelner Unternehmen handelt es sich hier um eine kontinuierliche "Datenflut" aus verschiedensten illegalen Quellen. Das 3,5 Terabyte große Datenpaket belegt einen strategischen Wandel der Cyberkriminellen hin zu dauerhafter, flächendeckender Datensammlung.

So funktioniert der digitale Datenklau

Infostealer-Malware infiziert Computer meist über bösartige Werbung, manipulierte Software oder Phishing-E-Mails. Einmal aktiv, protokolliert die Schadsoftware Tastatureingaben und erfasst alle Daten, die in Webbrowser eingegeben werden - von Nutzernamen über Passwörter bis hin zu anderen sensiblen Informationen.

Laut Troy Hunt, Gründer von HIBP, enthält der "Synthient Stealer Log Threat Data"-Datensatz drei Hauptkomponenten: Website-Adresse, E-Mail des Nutzers und das dazugehörige Passwort. Für jeden erfassten Login - von Gmail über soziale Medien bis hin zu Online-Banking - wurden die Zugangsdaten im Klartext abgezapft.

Die Analyse ergab: Etwa 91 Prozent der E-Mail-Adressen waren bereits aus früheren Datenlecks bekannt. Dennoch waren 16,4 Millionen Adressen völlig neu in der HIBP-Datenbank - ein Zeichen für Millionen neu kompromittierter Nutzer.

Neue Bedrohung: Session-Cookies im Visier

Moderne Infostealer haben es zunehmend auf Session-Cookies abgesehen. Diese kleinen Datenpakete sorgen dafür, dass Nutzer auf Websites eingeloggt bleiben. Stehlen Angreifer solche gültigen Cookies, können sie diese in ihren eigenen Browser einschleusen und authentifizierte Sitzungen kapern.

Dieser "Pass-the-Cookie"-Angriff umgeht sowohl Passwörter als auch die Zwei-Faktor-Authentifizierung. Das FBI warnte bereits vor dieser Technik, die Kriminellen vollen Zugang zu E-Mail-, Finanz- und Firmenkonten verschafft. Während sich die Zwei-Faktor-Authentifizierung ausbreitet, passen sich Angreifer an und fokussieren sich auf Session-Token statt nur auf Anmeldedaten.

Cybercrime als Industrie

Der massive Leak ist kein Einzelfall, sondern Symptom industrieller Datendiebstahl-Operationen. Der von Forscher Benjamin Brundage zusammengestellte Synthient-Datensatz entstand durch die Überwachung des weitverzweigten Ökosystems, in dem gestohlene Daten gehandelt werden.

Das schiere Volumen - 23 Milliarden Datenreihen in der ursprünglich 3,5 Terabyte großen Sammlung - zeigt die Effizienz moderner Infostealer-Kampagnen. "Das ist nicht einfach nur ein weiterer Leak, sondern ein konstanter Strom gestohlener Informationen im Netz", warnt Hunt.

Was Nutzer jetzt tun müssen

Internetnutzer sollten sofort auf "Have I Been Pwned" prüfen, ob ihre E-Mail-Adressen von diesem oder anderen Datenlecks betroffen sind. Bei Kompromittierung ist es entscheidend, umgehend die Passwörter des betroffenen Dienstes und aller anderen Konten mit denselben Zugangsdaten zu ändern.

Sicherheitsexperten empfehlen universell FIDO2-kompatible Zwei-Faktor-Authentifizierung, die resistenter gegen Phishing und Session-Hijacking ist. Passwort-Manager für einzigartige, starke Passwörter bei jedem Online-Konto sind mittlerweile unverzichtbar. Die Bedrohung durch Infostealer wird sich weiter verschärfen - nur konsequenter Schutz hilft.