Ein australischer Sicherheitsexperte lässt die Alarmglocken läuten: Er hat im Netz eine sorgfältig zusammengestellte Liste mit 773 Millionen E-Mail-Adressen samt Passwörtern gefunden. Das größte jemals entdeckte Paket mit Zugangsdaten aus der Zeit vor 2020. Für die User ist das ein Weckruf, der heute noch relevant ist.
Auch wenn dieser Fall aus 2019 stammt, ist er heute relevanter denn je. Der Daten-Leak „Collection#1“ war nur der Anfang einer Serie von Mega-Breaches, die seitdem die Cybersecurity-Welt erschüttert haben. Der australische Sicherheitsexperte Troy Hunt fand damals im Netz ungeheuer große Datenbanken mit Nutzerdaten, die mehr oder weniger jeder laden und nutzen konnte. Insgesamt 773 Millionen unterschiedliche Mail-Adressen waren in dieser Datenbank gespeichert.
Was damals passierte – und warum es heute noch wichtig ist
Es handelte sich nicht um einen neuen Hack, sondern um eine Sammlung von erbeuteten Zugangsdaten aus verschiedenen Hackaktionen der Vergangenheit. „Collection#1“ war das Paket überschrieben – ausdrücklich eine Sammlung. Troy Hunt entdeckte das ungeheuer große Paket in Untergrund-Foren im Netz.
Irgend jemand hatte sich die Mühe gemacht, öffentlich kursierende Zugangsdaten aus Hackangriffen fein säuberlich in einer Datenbank zusammenzutragen. 773 Millionen Mail-Adressen und 21 Millionen unterschiedliche Passwörter – alle in Klartext! Das war alarmierend, denn solche Sammlungen sind ein Leckerbissen für jeden, der im großen Stil Mail-Konten übernehmen oder andere Straftaten begehen will.
Seitdem hat sich die Lage dramatisch verschärft. Große Breaches wie bei Equifax (2017), Facebook/Cambridge Analytica (2018), Capital One (2019), SolarWinds (2020), Colonial Pipeline (2021) und zuletzt die Medibank-Attacke (2022) sowie die LastPass-Breaches (2022) haben Milliarden weitere Datensätze in Umlauf gebracht.
Was Cyberkriminelle heute damit anrichten
Cyberkriminelle bekommen praktisch auf dem Silbertablett valide Zugangsdaten übergeben: E-Mail-Adresse und Passwort. 773 Millionen Mal war das schon 2019 der Fall – heute sind es Milliarden. So ist es kinderleicht, diese Zugangsdaten automatisiert auszuprobieren. In Mail-Diensten, Cloud-Diensten, bei sozialen Netzwerken, Banking-Apps, überall.
Besonders gefährdet sind alle, die ihr Passwort selten ändern und vor allem jene, die dasselbe Passwort in mehreren Diensten verwenden. Moderne Angreifer nutzen sophisticated Credential Stuffing-Attacken, bei denen Millionen von Kombinationen automatisiert getestet werden. KI-gestützte Tools machen diese Angriffe heute noch effizienter.
Neu hinzugekommen sind Ransomware-Attacken, bei denen gestohlene Daten nicht nur verkauft, sondern als Druckmittel für Lösegeldforderungen genutzt werden. Social Engineering wird immer raffinierter – mit den gestohlenen Daten können Angreifer sehr überzeugende Phishing-Mails oder sogar Deepfake-Anrufe erstellen.
Bin auch ich betroffen?
Das ist heute einfacher denn je zu prüfen. Der Dienst „Have I Been Pwned“ (haveibeenpwned.com) von Troy Hunt hat sich zum Standard entwickelt. Einfach die eigene Mail-Adresse eingeben und ihr erfahrt schnell, in welchen Hackangriffen bereits Daten erbeutet wurden – und auch welche.
Mittlerweile sind über 12 Milliarden Accounts in der Datenbank erfasst. Wenn hier „Collection#1“ auftaucht, stehen die eigenen Zugangsdaten in dieser gigantischen Datenbank. Es gibt auch eine deutsche Version des Dienstes unter sec-research.com.
Neu sind auch Browser-integrierte Warnungen: Chrome, Firefox, Safari und Edge warnen automatisch, wenn ihr ein kompromittiertes Passwort verwendet. Diese Features nutzen die Have I Been Pwned-Datenbank im Hintergrund.
Was heute unternehmen?
Die Ratschläge der Experten sind aktueller denn je: Nie dasselbe Passwort in mehreren Diensten verwenden. Komplexe, einzigartige Passwörter für jeden Dienst wählen. Passwort-Manager sind heute unverzichtbar geworden.
Die Auswahl an Passwort-Managern hat sich erweitert und verbessert: Bitwarden (Open Source), 1Password, Dashlane, LastPass (trotz der Breaches noch populär) oder auch die in Browsern integrierten Manager von Google, Apple und Microsoft bieten heute deutlich bessere Funktionen als 2019.
Wenn ihr in der Liste steht, unbedingt alle Passwörter ändern – zumindest aber bei Mail-Postfach, Cloud-Diensten, Banking und sozialen Netzwerken. Die Zwei-Faktor-Authentifizierung (2FA) ist heute Standard und sollte überall aktiviert werden.
Zwei-Faktor-Authentifizierung heute
Hier hat sich seit 2019 viel getan. Praktisch alle großen Onlinedienste bieten heute 2FA an: Apple, Amazon, Google, Twitter (jetzt X), Meta (Facebook/Instagram), Microsoft, Netflix, PayPal, alle großen Banken und viele mehr.
Auch GMX, Web.de und die Telekom bieten mittlerweile 2FA an – wenn auch später als angekündigt. Die Deutsche Telekom führte es 2020 ein, GMX und Web.de folgten 2021.
Neben SMS-Codes (die als weniger sicher gelten) gibt es heute bessere Optionen: Authenticator-Apps wie Google Authenticator, Microsoft Authenticator oder Authy, Hardware-Token wie YubiKey oder biometrische Verfahren wie Windows Hello oder Touch ID.
Passkeys, der neue Standard von Apple, Google und Microsoft, sollen Passwörter langfristig komplett ersetzen. Sie nutzen biometrische Daten oder Hardware-Keys und sind praktisch unknackbar.
Fazit: Cybersecurity ist Dauerthema
Collection#1 war nur der Anfang. Inzwischen gibt es Collection#2 bis #5 und unzählige weitere Mega-Breaches. Die Bedrohungslage hat sich verschärft, aber auch unsere Verteidigungsmöglichkeiten sind besser geworden. Passwort-Manager, 2FA und bald Passkeys machen uns deutlich sicherer – aber nur, wenn wir sie auch nutzen.
Regelmäßige Überprüfung der eigenen Daten bei Have I Been Pwned, einzigartige Passwörter für jeden Dienst und aktivierte 2FA sind heute Pflicht, nicht Kür. Der nächste große Breach kommt bestimmt – aber mit den richtigen Vorsichtsmaßnahmen müsst ihr euch keine Sorgen machen.
Zuletzt aktualisiert am 06.03.2026
