Identitiy-Theft- und Credential-Stuffing-Angriffe nehmen nach Passwort-Leak zu – Aphos unterstützt bei Incident Response – Aphos » Ihr Next-Gen Dienstleister für Cybersecurity

: 17. Dezember 2025

Hacker nutzen die Credential-Daten aus dem Passwort-Leak für Identity Theft Angriff

Seit der Veröffentlichung des Datensatzes „Synthient Credential Stuffing Threat Data“ Anfang November 2025 verzeichnet die Branche eine deutliche Häufung von Angriffen, die auf gestohlene Zugangsdaten zurückgehen.

Zunahme von Kontoübernahmen nach globalem Passwort-Leak

Seit der Veröffentlichung des Datensatzes „Synthient Credential Stuffing Threat Data“ Anfang November 2025 verzeichnen wir bei Aphos eine deutliche Häufung von Angriffen, die auf gestohlene Zugangsdaten zurückgehen. Betroffen sind vor allem Organisationen, die über digitale Schnittstellen mit Partnern oder Dienstleistern verbunden sind. Die Angriffe reichen von einfachen Phishing-Versuchen bis hin zu gezielten Kontoübernahmen und Kompromittierungen administrativer Zugänge.

Der Datensatz, der rund 1,96 Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter enthält, wird derzeit in Have I Been Pwned (HIBP) geführt und gilt als eine der größten bekannten Sammlungen kompromittierter Anmeldedaten. Er zeigt eindrücklich, wie stark Passwort-Wiederverwendung und unzureichende Sicherheitsmaßnahmen reale Unternehmensprozesse gefährden können.

In den letzten Wochen hat Aphos mehrere Incident-Response-Einsätze begleitet, bei denen gestohlene Zugangsdaten zum Ausgangspunkt ernsthafter Sicherheitsvorfälle wurden. Dieser Artikel fasst die Hintergründe zusammen, beleuchtet aktuelle Angriffsmuster und gibt konkrete Empfehlungen, wie Organisationen auf den wachsenden Missbrauch kompromittierter Identitäten reagieren sollten.

Was hinter dem Synthient Credential Stuffing Threat Data steckt

Der sogenannte Synthient Credential Stuffing Threat Data-Datensatz wurde im Frühjahr 2025 von der Threat-Intelligence-Firma Synthient identifiziert. Er enthält keine neuen Daten aus einem einzelnen Angriff, sondern ist das Ergebnis einer Zusammenführung bereits kompromittierter Zugangsdaten aus unterschiedlichen Quellen. Ziel war es, das Ausmaß der im Umlauf befindlichen Login-Kombinationen zu erfassen und deren potenzielle Gefährdung zu analysieren.

Diese Daten wurden im November 2025 durch die Plattform Have I Been Pwned öffentlich überprüfbar gemacht. Damit wurde erstmals transparent, in welchem Umfang gestohlene E-Mail-Adressen und Passwörter weiterhin im Umlauf sind und aktiv für Angriffe eingesetzt werden.

Herkunft und Zusammensetzung der Daten

Die Sammlung umfasst Datensätze aus unterschiedlichen Quellen, darunter:

gestohlene Login-Daten aus älteren Leaks und Darknet-Foren
Protokolle von Infostealer-Malware, die Anmeldeinformationen aus Browsern und Anwendungen ausliest
öffentlich geteilte Passwortlisten auf Pastebin-ähnlichen Plattformen oder in Telegram-Kanälen

Synthient bereinigte die Daten, entfernte Dubletten und stellte fest, dass nahezu zwei Milliarden eindeutige E-Mail-Adressen und über 1,3 Milliarden Passwörter enthalten sind. Die schiere Menge dieser Informationen verdeutlicht, wie lange und wie unkontrolliert gestohlene Zugangsdaten in verschiedenen digitalen Ökosystemen zirkulieren.

Warum die Bedrohung so ernst ist

Die größte Gefahr liegt in der automatisierten Wiederverwendung dieser Login-Kombinationen, bekannt als Credential Stuffing. Angreifer testen bekannte Kombinationen systematisch auf anderen Diensten, in der Hoffnung, dass Nutzer dasselbe Passwort mehrfach verwenden. Dadurch können sie auf Cloud-Accounts, E-Mail-Systeme oder interne Anwendungen zugreifen, ohne auf technische Schwachstellen angewiesen zu sein.

Besonders kritisch ist, dass diese Angriffe häufig nicht sofort erkannt werden, da sie mit legitimen Zugangsdaten erfolgen. Erst bei ungewöhnlichen Aktivitäten oder internen Sicherheitsprüfungen werden solche Fälle entdeckt. Genau hier setzt die Incident-Response-Arbeit von Aphos an.

Zunahme gezielter Angriffe bei unseren Kunden

Seit der Veröffentlichung des Synthient-Datensatzes verzeichnen wir eine deutliche Zunahme an sicherheitsrelevanten Vorfällen, die auf kompromittierte Benutzerkonten zurückzuführen sind. Besonders betroffen sind Unternehmen mit verteilten Standorten, Cloud-Zugängen oder externen Partneranbindungen. In mehreren Fällen gelang es Angreifern, über wiederverwendete Passwörter Zugriff auf interne Systeme oder E-Mail-Konten zu erlangen.

Ein besonders häufiger Angriffsvektor sind Phishing-Kampagnen, die gezielt auf bestehende Geschäftsbeziehungen abzielen. Über kompromittierte Konten werden täuschend echte Nachrichten an Partnerunternehmen versendet – oft mit gefälschten Zahlungsaufforderungen, Freigabeanfragen oder Links zu manipulierten Dokumenten. Da diese Mails aus legitimen Postfächern stammen, werden sie nur selten von klassischen Spamfiltern blockiert.

Darüber hinaus beobachten wir eine wachsende Zahl von Angriffen auf administrative Konten. Gestohlene oder mehrfach genutzte Zugangsdaten ermöglichen es Angreifern, sich über VPN- oder Cloud-Zugänge anzumelden und anschließend lateral im Netzwerk zu bewegen. In einzelnen Fällen wurden dadurch weitere Systeme kompromittiert, bevor der Angriff erkannt wurde. Diese Vorfälle zeigen, wie kritisch ein konsequentes Identitäts- und Zugriffsmanagement ist.

Incident Response aus der Praxis

Unser Incident-Response-Team ist aktuell regelmäßig im Einsatz, um genau diese Art von Angriffen zu analysieren und einzudämmen. Zu den häufigsten Sofortmaßnahmen gehören die Isolation betroffener Konten, die forensische Untersuchung der Ereignisse und die Wiederherstellung sicherer Authentifizierungsmechanismen. In mehreren Fällen konnten wir durch frühzeitiges Eingreifen aktive Angriffe stoppen und erhebliche Folgeschäden verhindern.

Besonders entscheidend ist dabei eine enge Abstimmung mit den internen IT-Teams und externen Partnern. Nur durch klare Kommunikationswege und abgestimmte Reaktionspläne lässt sich verhindern, dass kompromittierte Konten weiterhin für Angriffe auf andere Organisationen genutzt werden. Unsere Erfahrung zeigt: Incident Response ist heute kein Ausnahmefall mehr, sondern ein fester Bestandteil einer modernen Sicherheitsstrategie.

Weitere Hinweise zum Schutz vor datenbasierten Angriffen und zur sicheren E-Mail-Kommunikation finden Sie im Beitrag E-Mail-Sicherheit und Prävention auf Firewalls24.de.

Empfehlungen für Organisationen

Die Analyse der aktuellen Angriffe zeigt deutlich, dass die größte Schwachstelle häufig nicht in der Technik, sondern im Umgang mit Zugangsdaten liegt. Viele Vorfälle hätten verhindert werden können, wenn kompromittierte Passwörter frühzeitig erkannt oder konsequent geändert worden wären. Unternehmen sollten daher sofort Maßnahmen ergreifen, um ihre Belegschaft zu informieren und interne Kontrollen zu verstärken.

Kommunikation und Datenprüfung

Wir empfehlen, kurzfristig eine unternehmensweite Information an alle Mitarbeitenden zu versenden. Diese sollte darauf hinweisen, dass sie ihre geschäftliche E-Mail-Adresse über Have I Been Pwned prüfen und betroffene Passwörter unverzüglich ändern sollen. Besonders wichtig ist, dass Passwörter, die auch privat verwendet wurden, konsequent ersetzt werden. Damit wird verhindert, dass Angreifer über dieselben Anmeldedaten auf interne Systeme zugreifen.

Darüber hinaus sollten IT-Verantwortliche prüfen, ob im Active Directory, in Cloud-Umgebungen oder in VPN-Zugängen Auffälligkeiten erkennbar sind. Häufig deuten wiederholte Anmeldeversuche, Anmeldungen aus ungewöhnlichen Regionen oder neue Geräteverbindungen auf automatisierte Credential-Stuffing-Aktivitäten hin. Eine systematische Protokollanalyse ist daher essenziell, um versteckte Angriffe frühzeitig zu erkennen.

Prävention und Awareness

Ein wesentlicher Faktor für nachhaltigen Schutz ist die Sensibilisierung der Mitarbeitenden. Schulungen zum Erkennen von Phishing-Angriffen, zum sicheren Umgang mit Passwörtern und zur Nutzung von MFA sollten regelmäßig durchgeführt werden. Selbst kurze Awareness-Sessions können das Risiko erheblich senken, da viele Angriffe über menschliche Fehler oder unbewusstes Verhalten starten.

Wir empfehlen hierzu unsere praxisorientierte Security Awareness Schulung. Sie vermittelt auf verständliche Weise, wie Mitarbeitende betrügerische E-Mails erkennen, Passwörter sicher verwalten und verdächtige Aktivitäten richtig melden. So entsteht langfristig eine Sicherheitskultur, die über reine Technikmaßnahmen hinausgeht.

Unsere Erfahrung zeigt: Die Kombination aus technischer Prävention und gezielter Awareness ist der wirksamste Schutz gegen Credential-Stuffing- und Identity-Theft-Angriffe. Wer die eigenen Teams befähigt, sicher mit digitalen Identitäten umzugehen, verhindert viele Sicherheitsvorfälle bereits im Ansatz.

Lassen Sie uns über IT-Sicherheit sprechen!

Kontakt aufnehmen

Digitale Sicherheit ist unser Fokus. Dies wird zu Ihrem Mehrwert. Bundesweit.

Identitiy-Theft- und Credential-Stuffing-Angriffe nehmen nach Passwort-Leak zu – Aphos unterstützt bei Incident Response