Die bekannte Sicherheitsplattform HaveIbeenPwned (HIBP) hat ihre Passwortdatenbank kürzlich um 625 Millionen kompromittierte Login-Daten erweitert. Dieser Meilenstein hat erhebliche Auswirkungen für Nutzer weltweit und rückt das Thema Passwortsicherheit wieder in den Fokus der IT-Sicherheitsbranche.
HaveIbeenPwned: Ein Update mit Tragweite
Im Oktober 2025 gab Troy Hunt, der Gründer der Plattform HaveIbeenPwned, bekannt, dass das System um weitere 625 Millionen kompromittierte Passwörter ergänzt wurde. Diese stammen aus verschiedenen, bisher nicht katalogisierten Quellen – darunter sogenannte combo lists aus Untergrundforen, Leaks von Malware-Operatoren und unstrukturierte Datensätze aus vergangenen Sicherheitsvorfällen.
Mit diesem Update wächst die gesamte Pwned Passwords-Datenbank auf aktuell über 15 Milliarden Einträge. Laut Hunt wurden die neuen Datensätze dedupliziert und auf eindeutige Passwörter geprüft, sodass sie nicht mehrfach gezählt werden.
Was genau ist HaveIbeenPwned?
HIBP ist eine in der IT-Sicherheitswelt etablierte Plattform, die seit 2013 Nutzern einen kostenlosen Dienst zur Überprüfung bietet, ob ihre E-Mail-Adresse oder Accountdaten in einem bekannten Datenleck kompromittiert wurden. Sie zieht ihre Informationen aus öffentlich verfügbaren Leaks und ermöglicht es mit wenigen Klicks zu prüfen, ob man betroffen ist.
Ein besonders wertvolles Feature ist die Pwned Passwords API, die Unternehmen und Entwickler nutzen können, um Passwörter gegen die Datenbank zu prüfen, ohne sensible Informationen weiterzugeben. Microsoft, Okta und Mozilla Firefox sind nur einige Beispiele für Dienste, die HIBP aktiv einsetzen.
625 Millionen neue Gründe für mehr Passworthygiene
Die Aufnahme der neuen kompromittierten Passwörter ist keine reine Datenflut – sie weist auf ein ernstes Problem hin: Viele Nutzer verwenden nach wie vor unsichere, leicht erratbare oder mehrfach genutzte Passwörter. Laut einem aktuellen Report von Verizon Data Breach Investigations Report (DBIR) 2024 gehen über 81 % aller erfolgreichen Datenpannen auf gestohlene oder schwache Zugangsdaten zurück. Das unterstreicht, wie zentral gutes Passwortmanagement zur Cybersicherheit beiträgt.
Eine Analyse der neuen Datensätze zeigte, dass viele der kompromittierten Passwörter noch immer gängige Muster wie „123456“, „password“ oder auch Variationen davon enthalten. Auch Passwörter, die in den letzten Jahren bereits mehrfach geleakt wurden, tauchen erneut auf – ein deutlicher Hinweis darauf, dass viele Anwender ihre Zugangsdaten auch nach einem Vorfall nicht ändern.
So nutzen Unternehmen und Privatpersonen HIBP effektiv
HIBP hilft nicht nur bei der Identifikation kompromittierter E-Mail-Konten, sondern bietet auch konkrete Handlungsoptionen:
- Pwned Passwords API nutzen: Entwickler können die API einbinden, um Nutzerpasswörter beim Anlegen oder Ändern auf Sicherheitsrisiken zu prüfen – DSGVO-konform und ohne Speicherung der Eingaben.
- Benachrichtigungen aktivieren: Über die „Notify Me“-Funktion lassen sich E-Mails registrieren, um automatisiert über neue Leaks informiert zu werden.
- Firmenweite Überprüfungen: Sicherheitsverantwortliche können durch die Domain-Suchfunktion ganze Unternehmensbereiche regelmäßig auf Kompromittierungen durchsuchen lassen.
Mit der neuen Massendaten-Erweiterung steigen auch die Trefferwahrscheinlichkeiten – was wiederum bedeutet, dass Sicherheitsbeauftragte und Endnutzer schneller gewarnt werden können.
Was bedeutet das für regulative Anforderungen?
Gerade im Kontext der EU-weiten NIS2-Richtlinie, die ab Oktober 2024 verbindlich angewendet werden muss, gewinnen Tools wie HIBP weiter an Bedeutung. Unternehmen, insbesondere aus kritischen Sektoren wie Energie, Finanzen oder Gesundheit, sind verpflichtet, ihre Cyberresilienz nachweislich zu stärken. Dazu gehört auch die systematische Überwachung von Credential-Leaks.
Ein faktischer Sicherheitsstandard ist auch Zero Trust, wo jede Zugriffsanfrage unabhängig geprüft wird. Die Integration kompromittierter-Passwort-Prüfungen bei Login-Prozessen entspricht dieser Philosophie. Eine einfache API-Verknüpfung von HIBP kann hier eine schnelle und kosteneffiziente Maßnahme sein.
Statistische Einordnung und aktuelle Bedrohungslage
Gemäß der aktuellen IBM Cost of a Data Breach Study 2024 belaufen sich die durchschnittlichen Kosten einer Datenpanne weltweit auf 4,45 Millionen US-Dollar – ein Anstieg um 15 % gegenüber 2020. In 19 % der Fälle konnten gestohlene oder kompromittierte Zugangsdaten als Initialvektor identifiziert werden.
Ein weiteres Problem stellt der Schwarzmarkt dar: Untersuchungen von Digital Shadows zeigen, dass pro Monat durchschnittlich 24 Milliarden Zugangsdaten auf Untergrundmärkten angeboten werden. Darunter auch sogenannte Stealer Logs, die per Malware abgegriffene Credentials mitsamt Browserverlaufsdaten, Cookies und Autofill-Daten enthalten.
Best Practices zur Passwortsicherheit – jetzt aktueller denn je
Die Erweiterung von HIBP ist ein Warnsignal und Aufruf zugleich. Hier sind drei zentrale Maßnahmen, die Nutzer sofort ergreifen sollten:
- Passwörter regelmäßig prüfen: Mit einem kostenlosen HIBP-Check können sowohl E-Mail-Adressen als auch Passwörter überprüft werden. Wenn ein Treffer erfolgt, sollte das Passwort unverzüglich geändert werden.
- Starke, individuelle Passwörter verwenden: Vermeiden Sie identische Passwörter für verschiedene Dienste. Passwortmanager wie Bitwarden, KeePass oder 1Password helfen beim Erstellen und Verwalten starker Zugangsdaten.
- Multi-Faktor-Authentifizierung (MFA) aktivieren: MFA ist eine der wirksamsten Schutzmaßnahmen gegen Account-Übernahmen. Selbst bei geleakten Passwörtern schützt die zweite Faktorprüfung vor unbefugtem Zugriff.
Fazit: Mehr Sichtbarkeit, mehr Verantwortung
Die 625 Millionen neuen Datensätze in der HIBP-Datenbank spiegeln nicht nur das Ausmaß aktueller Cyberbedrohungen wider, sondern bieten gleichzeitig die Möglichkeit, Sicherheitsrisiken frühzeitig zu erkennen und zu eliminieren. Die Technologie steht zur Verfügung – Verantwortungsträger in Unternehmen wie auch Privatnutzer sollten sie konsequent einsetzen.
Jetzt ist der Zeitpunkt, aktiv zu werden: Prüfen Sie Ihre Zugangsdaten, sensibilisieren Sie Ihr Unternehmen und teilen Sie dieses Wissen mit Ihrem Netzwerk. Diskutieren Sie mit der Community: Wie nutzen Sie Pwned Passwords in Ihren Anwendungen? Welche weiteren Tools zur Credential Security haben sich bewährt?
