Datenschutz

184 Millionen gestohlene Passwörter lagen offen im Netz

Daniel Weihmann · · 5 Min. Lesezeit

Ein Sicherheitsforscher hat eine riesige Datenbank mit über 184 Millionen Zugangsdaten im Internet gefunden. Die Passwörter lagen völlig ungeschützt auf einem Server - ohne Verschlüsselung, ohne Passwortschutz. Betroffen sind Konten bei Gmail, Facebook, Instagram, Online-Banking und vielen anderen Diensten.

Laptop mit roter Warnmeldung auf dem Bildschirm, daneben ein Smartphone

Was ist passiert?

Der Sicherheitsforscher Jeremiah Fowler hat im Mai 2025 eine frei zugängliche Datenbank im Internet entdeckt. Darin: rund 184 Millionen Benutzernamen und Passwörter. Die Datenbank war etwa 47 Gigabyte groß und lag auf einem sogenannten Elasticsearch-Server - völlig offen, ohne jede Absicherung.

Das bedeutet: Jeder, der die Adresse dieses Servers kannte, konnte die gesamte Sammlung herunterladen. Es war kein Hack nötig. Die Daten standen einfach frei lesbar im Internet.

Wem der Server gehört, ist bis heute unklar. Nach der Meldung an den Hosting-Anbieter wurde die Datenbank offline genommen.

Welche Konten sind betroffen?

Die Datenbank enthielt Zugangsdaten zu sehr vielen unterschiedlichen Diensten. Laut Fowlers Analyse waren unter anderem dabei:

  • E-Mail-Konten: Gmail, Microsoft-Konten (Outlook, Hotmail), Apple-IDs
  • Soziale Netzwerke: Facebook, Instagram, Snapchat
  • Finanzdienste: Online-Banking-Portale und Zahlungsdienste
  • Behörden-Portale: Logins von Regierungsstellen aus über 20 Ländern
  • Weitere Dienste: Online-Shops, Streaming-Anbieter, Gaming-Plattformen

Es handelt sich nicht um den Hack eines einzelnen Anbieters. Die Daten wurden von vielen verschiedenen Rechnern zusammengetragen - von jedem infizierten Computer einzeln.

Wie wurden die Passwörter gestohlen?

Die Zugangsdaten stammen aus sogenannten Infostealer-Angriffen. Infostealer sind eine Art Schadsoftware (Malware), die sich unbemerkt auf einem Computer einnistet. Dort liest sie alles aus, was der Browser gespeichert hat:

  • Gespeicherte Benutzernamen und Passwörter
  • Automatisch ausgefüllte Formulardaten
  • Cookies (kleine Dateien, die deine Anmeldung bei Websites speichern)
  • Teilweise auch Kreditkartendaten oder Krypto-Wallets

Die gestohlenen Daten werden dann an die Angreifer übertragen. Diese verkaufen die Datensätze weiter oder sammeln sie in großen Datenbanken wie der, die Fowler gefunden hat.

Wie gelangt Infostealer auf den Rechner?

In den meisten Fällen installieren Nutzer die Schadsoftware unwissentlich selbst. Typische Wege:

  • Phishing-Mails mit Anhängen oder Links zu schädlichen Websites
  • Illegale Software-Downloads - zum Beispiel geknackte Programme, Keygens oder angeblich kostenlose Vollversionen
  • Manipulierte Websites, die beim Besuch Schadsoftware herunterladen

Das Tückische: Infostealer arbeiten meist im Hintergrund. Du merkst nichts davon. Der Rechner wird nicht langsamer, es erscheint keine Warnung. Die Malware liest die Daten aus und verschwindet wieder.

Wichtig: Wer dasselbe Passwort bei mehreren Diensten verwendet, ist besonders gefährdet. Angreifer probieren gestohlene Zugangsdaten automatisch bei Hunderten von Websites aus. Ein einziges gestohlenes Passwort kann so den Zugang zu vielen Konten öffnen.

So prüfst du, ob du betroffen bist

  1. Have I Been Pwned aufrufen. Geh auf haveibeenpwned.com. Das ist eine kostenlose und seriöse Website des australischen Sicherheitsforschers Troy Hunt.
  2. E-Mail-Adresse eingeben. Trag deine E-Mail-Adresse in das Suchfeld ein und klick auf "pwned?". Die Seite zeigt dir, ob deine Adresse in bekannten Datenlecks aufgetaucht ist.
  3. Ergebnis prüfen. Wird deine Adresse als betroffen angezeigt, steht dort auch, aus welchem Datenleck die Daten stammen. Das hilft dir einzuordnen, welche Passwörter du ändern solltest.
  4. Passwörter sofort ändern. Ändere das Passwort bei jedem Dienst, der als betroffen gemeldet wird. Verwende für jeden Dienst ein eigenes, unterschiedliches Passwort.
Tipp: Zwei-Faktor-Authentifizierung aktivieren. Bei vielen Diensten kannst du einen zusätzlichen Schutz einschalten. Dann brauchst du beim Anmelden neben dem Passwort noch einen Code, der per App oder SMS an dein Handy geschickt wird. Selbst wenn jemand dein Passwort kennt, kommt er ohne diesen Code nicht in dein Konto.

Wie schütze ich mich vor Infostealern?

  • Keine Passwörter im Browser speichern. Verwende stattdessen einen Passwort-Manager wie Bitwarden (kostenlos) oder 1Password. Diese Programme verschlüsseln deine Zugangsdaten und sind deutlich sicherer als die Browser-Funktion.
  • Software nur aus offiziellen Quellen laden. Keine Cracks, keine Keygens, keine "kostenlosen Vollversionen" von dubiosen Websites.
  • Betriebssystem und Browser aktuell halten. Updates schließen Sicherheitslücken, die Schadsoftware ausnutzen kann.
  • Vorsicht bei E-Mail-Anhängen. Öffne keine Dateien von unbekannten Absendern. Auch bei bekannten Absendern: Im Zweifel nachfragen, ob die Mail wirklich von ihnen stammt.
  • Virenschutz aktuell halten. Der Windows Defender reicht in den meisten Fällen aus, muss aber aktiviert und aktuell sein.

Eine ausführliche Übersicht mit weiteren Tipps findest du in unserem Ratgeber Wie du dich vor Hacker-Attacken aus dem Internet schützt.

Einordnung: Warum dieser Fall wichtig ist

184 Millionen Datensätze - das klingt nach einer Zahl, bei der man selbst wohl nicht dabei ist. Aber Infostealer-Kampagnen laufen seit Jahren und treffen ganz normale Nutzer. Nicht Firmen, nicht Behörden. Sondern Menschen, die ein Programm heruntergeladen oder auf einen Link in einer Mail geklickt haben.

Dass diese riesige Sammlung offen im Netz stand, zeigt: Die gestohlenen Daten werden nicht nur von Profis genutzt. Sie kursieren, werden kopiert, weiterverkauft, liegen auf schlecht gesicherten Servern. Wer heute noch dasselbe Passwort für E-Mail, Facebook und Online-Banking nutzt, macht es Angreifern sehr leicht.

Offizielle Stellungnahmen der großen Plattformen oder deutscher Behörden wie dem BSI gibt es zu genau dieser Datenbank bisher nicht. Das BSI warnt aber seit Jahren generell vor Infostealer-Malware und empfiehlt dringend unterschiedliche Passwörter für jeden Dienst.

Quellen
Datenleck Passwort-Sicherheit Infostealer Malware
DW
Daniel Weihmann
Schreibt seit 2004 über Browser-Sicherheit und digitale Themen. Mehr über den Autor
Weitere Meldungen

Browser-Angriffe nehmen stark zu

Immer mehr Angriffe laufen direkt über den Browser. So schützt du dich.

Fake Google-Warnung: PC sei infiziert

Diese gefälschte Mail behauptet, dein Computer sei voller Viren.

Chrome-Update dringend

Sicherheitslücke in Chrome wird aktiv angegriffen. Sofort updaten.