Milliarden Mail-Adressen und Passwörter geleakt – was jetzt zu tun ist

17. November 2025
 

• In einem der größten Datenleaks der Geschichte sind rund zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter im Netz öffentlich geworden.
• Internetuser und Userinnen können auf der Website Have I been Pwned (übersetzt: Bin ich erwischt worden) kostenlos checken, ob sie betroffen sind.
• Sollte die E-Mail-Adresse oder das eigene Passwort geleakt worden sein, ist schnelles Handeln angesagt. 

„Diese Daten stammen von zahlreichen Orten, an denen Cyberkriminelle sie veröffentlicht hatten. Synthient (von Ben (Benjamin Brundage, Anm. des Autors) während seines letzten Studienjahres geführt) indizierte diese Daten und stellte sie Have I Been Pwned ausschließlich zum Zweck der Benachrichtigung der Opfer zur Verfügung.“

Troy Hunt, Gründer und Betreiber der Service-Website Have I been Pwned in einem aktuellen Blogbeitrag zu dem Datenleak 

Datenleak unfassbaren Ausmaßes 

1.957.476.021 eindeutigen E-Mail-Adressen und 1,3 Milliarden Passwörter „von denen wir auch noch nie 625 Millionen gesehen haben“ - diese schockierenden Angaben zum konkreten Umfang des aktuellen Datenlecks veröffentlicht der Australier Troy Hunt in seinem Blog. Hunt ist ein anerkannter Sicherheitsexperte und Gründer sowie Betreiber der Website “Have I been Pwned” (HIBP). Hier können Nutzerinnen und Nutzer schon seit 2013 checken, ob ihre E-Mail-Adressen und Passwörter in einem Datenleck aufgetaucht sind. Der aktuelle riesige Datensatz wurde von der Online-Plattform Synthient zusammengetragen. Sie befasst sich generell mit Bedrohungen von Internetuserinnen und -usern. Gesammelt wurden die Daten über das ganze Jahr hinweg und stammen aus den unterschiedlichsten Quellen – „von illegalen Marktplätzen bis zu Hackerforen“. Troy Hunt hat diesen Datensatz in seine Service-Plattform integriert – eine Mammutaufgabe, wie er selbst schreibt: „Zwei Milliarden Datensätze zu nehmen und diejenigen hinzuzufügen, die wir noch nicht im bestehenden 15 Milliarden Korpus gesehen hatten, ohne das Live-System, das Millionen von Besuchern pro Tag zu bedienen, beeinträchtigt, war überhaupt nicht trivial.“ 

E-Mail-Adresse oder Passwort geleakt? 

Wer checken möchte, ob sein Passwort oder seine E-Mail-Adresse betroffen ist, klickt die kostenlose Website von Have I been Pwned an. Die Seite wird auch beispielsweise vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen. Auf HIBP existieren für den Check der E-Mail-Adressen bzw. Passwörter zwei unterschiedliche Seiten: Hier können Nutzerinnen und Nutzer ihre E-Mail-Adresse prüfen, hier geht es zum Check der Passwörter. 

Wer prüft und betroffen ist, bekommt dieses nach wenigen Sekunden angezeigt: „Oh nein – pwned! Diese E-Mailadresse wurde bei einer Datenschutzverletzung gefunden. Überprüfen Sie die Details unten, um zu sehen, wo Ihre Daten offengelegt wurden“. So poppt es in roten Buchstaben auf dem Screen auf. Weiter unten auf der Seite können Betroffene nachlesen, in welchem Leak die eigene E-Mail-Adresse enthalten war und welche Daten damals generell geleakt wurden.

Was tun?

„Tauchen Ihre Accounts dort in Übersichten auf, heißt das nicht, dass Sie frisch Opfer einer Straftat geworden sind oder noch werden können,“ schreibt das BSI beruhigend zum Fall einer aufgedeckten Datenschutzverletzung. Panik ist also nicht angesagt, aber klar ist trotzdem, die betroffene E-Mail-Adresse oder das Passwort sind „in Hackerkreisen“ bekannt. Experten empfehlen vier Schritte:

1. Die Passwörter sollten schnellstmöglich geändert werden. Der Rat für ein sicheres, neues Passwort -  mindestens acht besser zwölf Zeichen lang, eine willkürliche Kombination aus Buchstaben (groß und klein), Zahlen und Sonderzeichen – siehe die Empfehlungen des BSI. Ein mögliches Beispiel: ?8-klPxv7/g).
2. Sollte das Passwort auch für ein weiteres Konto genutzt werden, gilt das gleiche. Es braucht auch hier ein neues Passwort. Generell sollte pro Account nur ein eigenes Passwort vergeben werden.
3. Experten empfehlen die Einrichtung eines Passwort-Managers. Dieser unterstützt uns, die Benutzernamen und verschiedenen Passwörter einfach zu verwalten. Mittels Verschlüsselung und eines komplexen Masterpassworts verwahren Passwort-Manager dann unsere sensiblen Einwahl-Daten.

Das BSI bietet Betroffenen einen „Notfallplan gehacktes E-Mail-Konto – Hilfe für Betroffene“ an. Hier finden sich auch Ratschläge, wenn die geleakten Daten genutzt wurden und Betroffene möglicherweise keinen Zugriff mehr auf ihren Account haben.