Ein neues Mega-Datenleck erschüttert die Netzgemeinde: Über 183 Millionen E-Mail-Adressen wurden gestohlen und kursieren bereits im Internet. In einer zunehmend digitalen Welt steigt die Gefahr durch solche Sicherheitsvorfälle dramatisch – höchste Zeit, eigene Schutzmaßnahmen auf den Prüfstand zu stellen. Dieser Artikel beleuchtet die Hintergründe des Angriffs, zeigt auf, welche Dienste betroffen sind, und bietet konkrete Strategien zur Abwehr zukünftiger Risiken.
Das Leck im Detail: Was wurde gestohlen und wie?
Im September 2025 wurde eines der größten öffentlich bekannt gewordenen Datenlecks des Jahres publik: Laut Sicherheitsforscher Troy Hunt wurden in einer frei zugänglichen Sammlung auf einem russischen Hacking-Forum insgesamt über 183 Millionen E-Mail-Adressen gefunden – viele davon mit zugehörigen Passwörtern. Die Sammlung trägt inzwischen den in IT-Kreisen bekannten Namen „ExposureCombo#5“ und ist Teil einer größeren Reihe von Aggregationen gestohlener Zugangsdaten.
Ersten Auswertungen zufolge stammen die Daten offenbar aus mehreren einzelnen Leaks, unter anderem von Plattformen wie LinkedIn, Adobe, X (ehemals Twitter) und Dailymotion. In vielen Fällen sind die Zugangsdaten nicht nur veraltet – einige stammen bereits aus früheren Leak-Wellen der Jahre 2017 bis 2023 –, sondern sie wurden von Angreifern zu einer umfassenden Passwort-Sammlung zusammengefügt.
Die Gefahr liegt dabei nicht allein in der Menge, sondern im Missbrauchspotenzial: Kombinierte Datenbanken wie diese werden häufig für sogenannte Credential Stuffing-Angriffe verwendet – ein Vorgehen, bei dem automatisiert geprüft wird, ob gestohlene Kombinationen von Nutzername und Passwort auch bei anderen Diensten funktionieren.
Bin ich betroffen? So überprüfen Sie Ihre Daten
Ob eigene Daten in dem Leak enthalten sind, lässt sich mit vertrauenswürdigen Werkzeugen herausfinden. Die Plattform Have I Been Pwned (https://haveibeenpwned.com/) ist in der Sicherheits-Community fest etabliert und wurde direkt nach Fund der neuen Datenbank aktualisiert.
Nutzer können ihre E-Mail-Adresse eingeben und erhalten einen detaillierten Report, ob diese in der neuen Sammlung oder früheren Leaks enthalten ist. Dabei wird auch angezeigt, aus welchen Quellen die Daten stammen – hilfreich, um das eigene Sicherheitsverhalten nachzuvollziehen und gezielt auf betroffene Dienste zu reagieren.
- Tipp 1: Verwenden Sie beim Prüfen Ihrer Adresse ausschließlich seriöse Anbieter wie Have I Been Pwned. Niemals auf beliebigen Websites sensible Daten eingeben.
- Tipp 2: Kombinieren Sie die Prüfung mit einem Passwortwechsel bei verdächtigen oder mehrfach genutzten Accounts.
- Tipp 3: Aktivieren Sie die Benachrichtigungsfunktion bei HIBP, um bei künftigen Leaks proaktiv informiert zu werden.
Welche Dienste sind besonders betroffen?
Die Quelle des Leaks ist zwar fragmentiert, doch die Verknüpfung mehrerer vorheriger Vorfälle macht deutlich, dass bestimmte Dienste immer wieder im Fadenkreuz stehen. Basierend auf der Auswertung von Sicherheitsforschern und Plattformbetreibern lassen sich folgende Plattformen mit hoher Trefferquote in den geleakten Datensätzen identifizieren:
- LinkedIn: Bereits 2021 durch ein Leak mit 700 Millionen Nutzerprofilen aufgefallen. Teile dieser Daten finden sich erneut in ExposureCombo#5.
- Adobe: Das ursprüngliche Adobe-Leck geht bis ins Jahr 2013 zurück. Dennoch sind selbst zwölf Jahre später noch Zugangsdaten auffindbar, die Nutzer offenbar nie geändert haben.
- X (ehemals Twitter): Diverse API-bezogene Sicherheitsprobleme führten mehrfach zu Datenabgriffen. Auch hier sind Millionen Datensätze wieder aufgetaucht.
- Dailymotion: Das französische Videoportal war bereits 2016 von einem kompromittierten Login-System betroffen. Daten daraus wurden nun aktualisiert in der neuen Sammlung erfasst.
Ein besonderes Risiko ergibt sich daraus, dass viele Nutzer identische oder ähnliche Login-Daten über mehrere Plattformen hinweg verwenden. Dritte können damit ganze digitale Identitäten übernehmen.
Die Täter: Organisierte Cyberkriminalität im Wandel
Derartige Massenleaks haben längst nicht mehr das Profil einzelner Hacker, sondern gehen häufig auf gut vernetzte Gruppen zurück, die ihre Beute für Phishing-Kampagnen, Spam-Verbreitung oder Identitätsdiebstahl einsetzen. Statistiken des Digitalverbandes Bitkom zeigen, dass neun von zehn Internetnutzern (89 Prozent) in Deutschland inzwischen von Cyberkriminalität betroffen waren – eine Zunahme um 17 Prozent im Vergleich zu 2020.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet in seinem Lagebericht 2024, dass sich die Anzahl gemeldeter Vorfälle in Deutschland auf über 210.000 Fälle pro Jahr summiert – Tendenz steigend. Der Marktwert gestohlener Zugangsdaten auf dem Darknet wird auf mehrere Milliarden Euro geschätzt.
Fast täglich entstehen neue Methoden zur Umgehung von Zwei-Faktor-Authentifizierungen oder zur Täuschung von Antibot-Systemen. Die Kombination technischer Raffinesse mit sozialer Manipulation (Social Engineering) macht Cybergruppierungen zu einer ernsthaften Bedrohung für private Anwender und Unternehmen gleichermaßen.
Proaktive Schutzmaßnahmen: Was kann man tun?
Um gegen künftige Leaks gerüstet zu sein, ist ein ganzheitliches Sicherheitskonzept entscheidend. Neben der klassischen Passwortänderung spielen auch moderne Schutzmechanismen und ein bewusster Umgang mit digitalen Identitäten eine zentrale Rolle.
- Verwenden Sie starke, einzigartige Passwörter – idealerweise in Kombination mit einem Passwortmanager wie Bitwarden, KeePass oder 1Password.
- Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle wichtigen Konten. Authenticator-Apps gelten als sicherer als SMS-basierte Codes.
- Überwachen Sie regelmäßig Logins und Gerätezugriffe – etwa über die Sicherheitseinstellungen Ihres Google-, Apple- oder Microsoft-Kontos.
Besonders lohnenswert ist die Einrichtung eines „digitalen Sicherheitsplans“, bei dem regelmäßig alle kritischen Konten auf Aktualität und Integrität kontrolliert werden – ähnlich wie ein IT-Audit im Unternehmenskontext.
Verantwortung der Plattformen: Was muss sich ändern?
Doch nicht allein Nutzer tragen die Verantwortung für Datensicherheit. Unternehmen, die Benutzerdaten verarbeiten, stehen ebenfalls in der Pflicht – gerade vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO). Die Realität zeigt jedoch Defizite: Noch immer setzen viele Plattformen auf veraltete Verschlüsselungsmechanismen oder bieten keine Zwei-Faktor-Authentifizierung an.
Eine Kernforderung von Datenschützern ist deshalb: Security by Design – Sicherheitsprinzipien schon bei der Planung von Plattformen systematisch zu integrieren. Dazu zählt z. B.:
- der verpflichtende 2FA-Standard bei Kontoerstellung,
- automatisierte Warnsysteme bei auffälligen Zugriffen,
- Transparenz bei Vorfällen (offene Kommunikation über Sicherheitslücken oder Datenpannen).
In Deutschland kann die Bundesnetzagentur zusammen mit der Datenschutzaufsicht bei Verstößen Sanktionen aussprechen – jedoch nur, wenn Vorfälle auch gemeldet werden. Laut BSI werden viele kleinere Lecks erst durch externe Sicherheitsforscher dokumentiert – ein Zustand, der dringend reformiert gehört.
Ausblick: Datensicherheit beginnt bei uns allen
Die beunruhigende Zunahme massiver Datenlecks ist ein Weckruf – nicht nur für Tech-Plattformen, sondern auch für jeden Einzelnen. Der Schutz eigener Identitätsdaten ist heute genauso grundlegend wie Türschloss oder Rauchmelder. Doch viele digitale Haushalte sind noch immer ungesichert.
Wer sich schützt, schützt nicht nur sich selbst, sondern auch sein soziales und berufliches Netzwerk. Die Kette ist nur so stark wie ihr schwächstes Glied – das gilt online mehr denn je. Teilen Sie diesen Artikel, tauschen Sie sich mit Freunden und Kollegen über Passwortsicherheit aus – und machen Sie gemeinsam das Netz ein Stück sicherer.
