FBI stellt 635 Millionen gestohlene Passwörter sicher

Ein einzelner Verdächtiger hortete eine Datenmenge, die der Einwohnerzahl großer Nationen entspricht. Die Behörden übergaben die Masse an Kompromittierten Zugangsdaten an den Warnservice „Have I Been Pwned“ – ein beispielloser Schritt.

In einer beispiellosen Aktion hat das US-Bundeskriminalamt (FBI) über 635 Millionen gestohlene Passwörter beschlagnahmt und an den Datenleck-Meldedienst „Have I Been Pwned“ (HIBP) übergeben. Die gewaltige Sammlung von Zugangsdaten stammt nicht von einem neuen Unternehmenshack, sondern von den Geräten eines einzigen mutmaßlichen Cyberkriminellen. Die Enthüllung unterstreicht das erschreckende Ausmaß der Schattenwirtschaft für digitale Identitäten.

Die Datenmenge ist eine der größten Einzelzugaben in der Geschichte des HIBP-Dienstes. Troy Hunt, Gründer der Plattform, bestätigte den Vorgang am Mittwoch. Demnach übergab das FBI die Datensätze Anfang dieser Woche. Hunts Analyse vom 17. Dezember zeigt: Rund 7,4 Prozent der Passwörter – etwa 46 Millionen – waren dem Dienst bisher unbekannt und gelten nun als neu kompromittiert.

Viele Unternehmen und Privatnutzer unterschätzen, wie schnell gestohlene Zugangsdaten zu großflächigen Angriffen führen. Phishing‑Mails und Infostealer sind die häufigsten Verbreitungswege – wie der aktuelle Fall eindrücklich zeigt. Ein kostenloser Cyber‑Security‑Report erklärt praxisnahe Schutzmaßnahmen, von 2‑Faktor‑Authentifizierung über sichere Passwort‑Routinen bis zu Checklisten für Mitarbeiter und Familien, damit Sie Konten effektiv absichern. Jetzt kostenlosen Cyber-Security-Report herunterladen

„Dieser jüngste Datensatz erreichte uns, nachdem das FBI mehrere Geräte eines Verdächtigen beschlagnahmt hatte“, so Hunt. Die Implikationen sind gewaltig: Eine Einzelperson hatte eine Datenbank gestohlener Credentials angehäuft, die in ihrem Umfang der Bevölkerung großer Länder gleicht.

Die Daten sind nun in den „Pwned Passwords“-Service integriert, ein Tool, das von Millionen Nutzern, Regierungen und Konzernen genutzt wird, um die Sicherheit ihrer Passwörter zu prüfen. Die Weitergabe an die defensive Community macht die Waffe der Angreifer zu einem Schutzschild für potenzielle Opfer.

Die „Infostealer“-Epidemie: Wie die Daten zusammenkamen

Besonders alarmierend ist der Ursprung der Daten. Es handelt sich nicht um einen gezielten Hack einer Firma, sondern um eine Aggregation aus verschiedenen Quellen des Internets. Der Verdächtige sammelte die Zugangsdaten laut FBI und HIBP unter anderem auf:
* Dark-Web-Marktplätzen im Tor-Netzwerk.
* Telegram-Kanälen, die von Cyberkriminellen für den Vertrieb gestohlener Account-Listen genutzt werden.
* Durch Infostealer-Malware, die heimlich Login-Daten aus infizierten Browsern abschöpft.

Die Rolle von Infostealern prägt die Bedrohungslage 2025. Die Malware wird oft per Phishing-Mail oder über manipulierte Software verbreitet und erntet täglich millionenfach Credentials. Dass ein Einzelner fast zwei Drittel einer Milliarde Passwörter horten konnte, zeigt die Effizienz dieser Schattenwirtschaft.

„Auffallend ist nicht nur das Ausmaß, sondern die Erinnerung, dass kompromittierte Passwörter noch lange nach dem ursprünglichen Leck ein Risiko darstellen“, kommentiert Matt Mills, Präsident des Identitätssicherheits-Unternehmens SailPoint. Die Tatsache, dass die Daten von den Geräten einer Einzelperson stammten, unterstreiche, wie langlebig und wiederverwendbar Identitätsdaten in den Händen von Angreifern geworden seien.

Kontext: Die LastPass-Affäre und anhaltende Risiken

Die FBI-Enthüllung fällt in eine Woche, die bereits von Schlagzeilen zur Passwortsicherheit geprägt war. Am 11. Dezember verhängte die britische Datenschutzbehörde ICO eine Geldstrafe in Höhe von 1,6 Millionen Euro gegen den Passwort-Manager LastPass.

Die Strafe betrifft einen Sicherheitsvorfall von 2022, der 1,6 Millionen britische Nutzer betraf. Die Aufsichtsbehörde sah es als erwiesen an, dass das Unternehmen „keine hinreichend robusten technischen und Sicherheitsmaßnahmen implementiert“ habe. Angreifer nutzten damals eine Schwachstelle in der Software eines Drittanbieters aus, die auf dem Rechner eines LastPass-Mitarbeiters installiert war.

Die Parallelität der Ereignisse – die Bestrafung eines Sicherheitsanbieters für ein historisches Versagen und die Sicherung aktueller Bedrohungen durch Strafverfolger – illustriert den anhaltenden Druck auf Systeme digitaler Identität. Die missbräuchliche Nutzung gültiger Zugangsdaten bleibt der primäre Angriffsvektor für Ransomware und Datendiebstahl.

Das können Nutzer jetzt tun

Angesichts von 46 Millionen neu als kompromittiert eingestuften Passwörtern raten Cybersicherheitsexperten zu sofortigen Maßnahmen.

Schritte zum Schutz:
1. Eigene Daten prüfen: Nutzer sollten auf Have I Been Pwned prüfen, ob ihre E-Mail-Adressen oder Telefonnummern im neuen Datensatz auftauchen.
2. Passwörter aktualisieren: Alle als kompromittiert markierten Passwörter müssen sofort geändert werden. Das gilt auch für alle anderen Konten, in denen dasselbe Passwort wiederverwendet wurde.
3. Zwei-Faktor-Authentifizierung (2FA) aktivieren: 2FA ist die wirksamste Verteidigung gegen Credential-Stuffing-Angriffe. Selbst mit einem korrekten Passwort aus der Liste kann ein Angreifer so am Login gehindert werden.
4. Auf Passkeys umsteigen: Der Branchentrend hin zu Passkeys – kryptografischen Schlüsseln, die Passwörter ersetzen – gewinnt an Fahrt. Experten raten, wo immer möglich auf Dienste mit Passkey-Unterstützung zu wechseln, um das Risiko phishbarer Credentials ganz zu eliminieren.

Ausblick: Neue Strategie der Strafverfolgung

Die Zusammenarbeit zwischen FBI und Privatsektor, verkörpert durch die Partnerschaft mit Troy Hunt, signalisiert einen Strategiewandel. Strafverfolgungsbehörden priorisieren zunehmend die flächenhafte Warnung potenzieller Opfer, anstatt beschlagnahmte Daten nur für Ermittlungen zu horten.

„Die gestohlenen und geleakten Daten, auf die das FBI in Ermittlungen stößt und die normalerweise geheim gehalten würden, können nun für die aktive Verteidigung gegen Account-Übernahmen genutzt werden“, so Hunt.

Das Volumen gestohlener Zugangsdaten im Umlauf nimmt auch Ende 2025 nicht ab. Doch die Geschwindigkeit, mit der Strafverfolger diese Daten nun identifizieren, beschlagnahmen und offenlegen können, macht Hoffnung. Für die Besitzer von 46 Millionen Konten könnte das Eingreifen des FBI gerade rechtzeitig gekommen sein, um eine digitale Katastrophe zu verhindern.

PS: Kurzfristig handeln lohnt sich. Der Gratis-Report enthält sofort umsetzbare Checklisten gegen Phishing, konkrete Anleitungen zur Erkennung von Infostealern und praxisnahe Hinweise, wie Sie Passwörter und Geräte sichern – ideal nach einem großen Leak wie diesem. Gratis Cyber-Security-Report anfordern