Anfang November 2025 wurde bekannt, dass in einem gewaltigen Datenleck rund 1,957 Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter öffentlich zugänglich gemacht wurden. Damit handelt es sich um den bislang größten Datensatz, den die Sicherheitsplattform „Have I Been Pwned“ (HIBP) jemals verarbeitet hat (New York Post).

Besonders alarmierend: etwa 625 Millionen der Passwörter tauchten erstmals in einer Datenliste auf und waren bislang unbekannt. Diese Dimension verdeutlicht die Dringlichkeit für Unternehmen und Privatpersonen, ihre digitalen Konten auf kompromittierte Zugangsdaten zu prüfen.

Die HIBP-Datenbank, die zuvor bereits Milliarden kompromittierter Datensätze enthielt, wuchs durch dieses Ereignis um rund 13 % auf über 17 Milliarden Einträge an (InfoQ). Die Veröffentlichung durch den australischen Sicherheitsexperten Troy Hunt dient als Warnsignal: Jeder­zeit können Datenlecks auftreten, deren Auswirkungen weit über bekannte Fälle hinausgehen. (Troy Hunt)

Was heißt das konkret für Unternehmen und Mitarbeitende?

• Wenn Ihre geschäftliche oder private E-Mail-Adresse in dieser Liste enthalten ist, besteht das Risiko, dass Zugangsdaten oder andere persönliche Daten kompromittiert sind.
• Dies eröffnet Angreifern Chancen für sogenannte Credential stuffing-Angriffe (Wiederverwendung abgegriffener Zugangsdaten auf anderen Systemen).
• Unternehmen sollten ihre Prozesse zur Überwachung und zum Management von Zugangsdaten, zur Multi-Faktor-Authentifizierung (MFA) und zur Sensibilisierung von Mitarbeitenden evaluieren und ggf. intensivieren.
• Mitarbeitende sollten kurzfristig ihre Passwörter ändern, idealerweise starke einzigartige Passwörter verwenden und MFA aktivieren.

Empfohlene Prüf- und Monitoring-Portale

Im Folgenden finden Sie eine nicht abschließende Auswahl von Websites, über die sowohl Privatpersonen als auch Unternehmen prüfen können, ob E-Mail-Adressen oder Zugangsdaten in bekannten Datenlecks enthalten sind:

1. „Have I Been Pwned“ (HIBP) – https://haveibeenpwned.com – das führende Portal zur Überprüfung von E-Mail-Adressen auf Datenlecks. (Have I Been Pwned)
2. Avast Hack Check – kostenloser Dienst zur Überprüfung, ob E-Mail und Passwort durch Leaks kompromittiert wurden. (avast.com)
3. Norton Data Breach Checker – prüft E-Mail-Adressen auf bekannte Leaks, bietet zusätzliche Identitätsschutz-Services. (uk.norton.com)
4. F‑Secure Identity Theft Checker – scannt, ob private Daten in bekannten Lecks erscheinen; keine Speicherung der geprüften E-Mail-Adresse. (f-secure.com)
5. Surfshark Data Leak Checker – kostenloser Leak-Check-Service für E-Mail, Kreditkarten oder Ausweisdaten. (Surfshark)
6. RoboForm Data Breach Checker – bietet Dark-Web-Scan inklusive Alert-Funktion für kompromittierte E-Mail-Konten. (roboform.com)
7. Mozilla Monitor – unterstützt Gratis-Checks und Benachrichtigungen, wenn Daten in Lecks gefunden werden. (Mozilla Monitor)
8. DataBreach.com – Suchfunktion für E-Mail-Adressen zur Ermittlung von Datenleck-Involvierung. (databreach.com)
9. HPI – Hasso-Plattner-Institut – HPI Identity Leak Checker: https://sec.hpi.de/ilc/search?lang=de

Fazit und Empfehlung

Die Enthüllung von fast 2 Milliarden E-Mail-Adressen in einem einzigen Leak zeigt deutlich, dass keine Organisation und keine Person völlig ausgenommen ist. Unternehmen sollten diese Entwicklung als Anlass nehmen, systematisch ihre Sicherheits-, Zugangs- und Monitoring-Prozesse auf den Prüfstand zu stellen. Die genannten Portale bieten schnelle und kostenfreie Einstiegsmöglichkeiten zur Risikoüberprüfung – jedoch ersetzen sie nicht die Notwendigkeit einer ganzheitlichen Strategie zur Zugangsdaten-Sicherheit und Cyber-Resilienz.