14. November 2025, 18:33 Uhr | Lesezeit: 3 Minuten
Mehr als eine Milliarde neue Passwörter und Milliarden E-Mail-Adressen kursieren aktuell frei im Netz – ein massiver Fund, der selbst erfahrene IT-Experten alarmiert. Die Datenbank „haveibeenpwned.com“ hat die kompromittierten Datensätze nun übernommen. Wer wissen will, ob seine eigenen Log-ins betroffen sind, sollte jetzt handeln.
Die bekannte Website für gehackte Log-in-Daten „haveibeenpwned.com“ hat ihre Datenbank um einen gewaltigen neuen Datensatz ergänzt. Insgesamt wurden 1,3 Milliarden Passwörter und 2 Milliarden E-Mail-Adressen integriert. Gefunden hatte diese Daten das IT-Sicherheitsunternehmen Synthient, das sie frei zugänglich im Netz entdeckt hatte.
Besonders betroffen sind Passwörter, die Nutzer mehrfach für verschiedene Konten verwenden – ein gefährlicher Fehler. Sicherheitsexperten raten dringend dazu, für jeden Dienst ein individuelles Passwort zu nutzen.
So einfach funktioniert die Abfrage
Wer wissen möchte, ob seine eigenen Daten Teil eines Leaks sind, kann auf „haveibeenpwned.com“ kostenlos seine E-Mail-Adresse eingeben. Anschließend zeigt das Portal sofort an, ob kompromittierte Passwörter zur eingegebenen Adresse gefunden wurden.
Der Name der Plattform ist Programm: „Have I been pwned?“ (HIBP) bedeutet sinngemäß „Hat es mich erwischt?“. Betreiber Troy Hunt, ein australischer IT-Sicherheitsforscher, erweitert die Datenbank kontinuierlich mit neuen Funden aus Leaks und Hacks.
Zweite Meinung vom Hasso-Plattner-Institut einholen
Zusätzlich empfiehlt es sich, den Identity Leak Checker des Hasso-Plattner-Instituts (HPI) zu nutzen. Auch dieses kostenlose Tool gleicht eingegebene E-Mail-Adressen mit einer eigenen, umfangreichen Datenbank geleakter Identitätsdaten ab. Trotz möglicher Überschneidungen kann ein zusätzlicher Check wertvolle Hinweise liefern.
Wenn eine der Abfragen ergibt, dass Passwörter kompromittiert wurden, sollten Betroffene das betroffene Kennwort sofort ändern. Wichtig ist, ein starkes, einzigartiges Passwort für jeden Dienst zu wählen. Wird dasselbe Passwort für mehrere Konten genutzt, können Angreifer im schlimmsten Fall alle Zugänge übernehmen.
Da sich komplexe Passwörter nur schwer merken lassen, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Nutzung von Passwortmanagern. Alternativ können Nutzer mit einem Passwortmerkblatt arbeiten – eine vom BSI empfohlene Methode.
Datenleck mit 16 Milliarden Passwörtern? Was wirklich hinter den Berichten steckt
Großes Datenleck bei Ticketmaster! Kunden müssen handeln
Für mehr Sicherheit: 2FA aktivieren
Für zusätzliche Sicherheit sollten SIe Online-Dienste, wo möglich, mit Zwei-Faktor-Authentisierung (2FA) absichern. Durch Abfrage eines zweiten Codes beim Login ist selbst bei gestohlenem Passwort kein Zugriff auf das Konto möglich.
Auch interessant: Bundesamt für Sicherheit warnt vor Tastenkürzel-Trick
Passkeys statt Passwörter nutzen
Immer mehr Dienste bieten bereits Passkeys an – den Nachfolger klassischer Passwörter. Dabei handelt es sich um ein kryptografisches Schlüsselpaar, das ein passwortloses Anmelden ermöglicht.
Zur Anmeldung wird ein beim Nutzer gespeicherter privater Kryptoschlüssel mit dem öffentlichen Schlüssel des Dienstes abgeglichen. Die Freigabe erfolgt etwa per Fingerabdruck oder PIN – und schon ist man sicher eingeloggt.
Sie könne Passkeys auf FIDO2-Sicherheitssticks, in Betriebssystemen wie Android, iOS/MacOS oder Windows sowie in kompatiblen Passwortmanagern speichern. Bestehende Passwortmanager, die Passkeys unterstützen, erlauben eine parallele Nutzung beider Systeme – ideal für den Übergang.