Eine Datenbank, die niemand hätte finden sollen
Mitte Juni 2026 stießen Sicherheitsforscher auf einen frei zugänglichen Datensatz, der selbst erfahrene Fachleute aufhorchen ließ: rund 24 Milliarden Datensätze, 8,3 Terabyte groß, ohne jeden Passwortschutz im Netz erreichbar. Entdeckt wurde die Sammlung am 12. Juni in einem offen konfigurierten Elasticsearch-Cluster — also schlicht in einer Datenbank, die jemand vergessen hatte abzusichern.
Für kleine und mittlere Unternehmen klingt eine solche Zahl zunächst abstrakt. Konkret bedeutet sie: Wer in den letzten Jahren irgendwo ein Konto angelegt hat, sollte davon ausgehen, dass eigene Zugangsdaten in solchen Sammlungen kursieren. Das ist kein Grund zur Panik, aber ein guter Anlass, die eigene Zugangsdaten-Hygiene zu überprüfen.
Auf einen Blick
- Was wurde gefunden: ein offen erreichbares Elasticsearch-Cluster mit rund 24 Milliarden Datensätzen, insgesamt 8,3 Terabyte.
- Wann: entdeckt am 12. Juni 2026 durch Forscher von Cybernews; deutsche Fachmedien berichteten in den Tagen darauf.
- Was steckt drin: überwiegend Logs sogenannter Infostealer-Schadprogramme — E-Mail-Adressen, Benutzernamen, Passwörter im Klartext und die zugehörigen Login-Adressen.
- Woher die Daten stammen: aus 36 verschiedenen Quellen, darunter über 1,7 Milliarden Einträge aus Telegram-Kanälen sowie ältere Leak-Sammlungen.
- Besonderheit: kein einzelner neuer Hack, sondern eine laufend gepflegte Aggregation — die jüngsten Einträge stammen aus Februar 2026.
- Betreiber: unbekannt.
Warum eine Aggregation anders wirkt als ein einzelner Hack
Wird ein einzelner Dienst gehackt, ist der Schaden meist eingegrenzt: Betroffen sind die Kunden dieses einen Anbieters, und der Dienst kann reagieren, Passwörter zurücksetzen und informieren. Eine Aggregation funktioniert anders. Hier trägt jemand über Monate die Beute aus vielen Quellen zusammen — alte Datenlecks, abgegriffene Browser-Passwörter, in Untergrund-Kanälen geteilte Listen — und führt sie in einer einzigen, durchsuchbaren Datenbank zusammen.
Genau das macht den Unterschied. Eine einzelne geleakte E-Mail-Adresse ist für Angreifer mühsam zu verwerten. Eine durchsuchbare Sammlung, in der dieselbe Adresse mit zehn verschiedenen Passwörtern und den passenden Login-Adressen auftaucht, ist es nicht. Dass die jüngsten Einträge erst wenige Monate alt sind, zeigt zudem: Diese Sammlung wird aktiv gepflegt, nicht bloß archiviert.
Der typische Angriff danach heißt Credential Stuffing. Dabei probieren automatisierte Programme erbeutete Kombinationen aus Adresse und Passwort der Reihe nach bei zahlreichen Diensten durch. Wer dasselbe Passwort an mehreren Stellen nutzt, öffnet damit nicht eine Tür, sondern gleich mehrere.
Was Infostealer sind
Ein großer Teil der gefundenen Daten geht auf Infostealer zurück — und die sind einen kurzen Blick wert, weil sie erklären, warum Passwörter überhaupt im Klartext in solchen Sammlungen landen.
Ein Infostealer ist ein unauffälliges Schadprogramm mit einer einzigen Aufgabe: Es durchsucht einen befallenen Rechner nach allem, was sich zu Geld machen lässt. Im Browser gespeicherte Passwörter, aktive Sitzungs-Cookies, Zugangsdaten aus Programmen — all das liest die Schadsoftware aus und schickt es an die Angreifer. Eingefangen wird sie meist über manipulierte Downloads, gefälschte Software oder Anhänge.
Das Tückische daran: Ein Infostealer verschlüsselt nichts und richtet keinen sichtbaren Schaden an. Er arbeitet still und ist oft längst wieder verschwunden, wenn die abgegriffenen Daten Monate später in einer Sammlung wie dieser auftauchen. Deshalb genügt es nicht, nur einzelne Passwörter zu ändern — entscheidend ist, dass der zugrunde liegende Rechner sauber ist.
Was Sie jetzt tun sollten
Die folgenden Schritte sind in überschaubarem Aufwand umsetzbar und wirken unabhängig davon, ob Ihre Daten konkret in dieser Sammlung stecken.
Betroffenheit prüfen
Über kostenlose Dienste wie Have I Been Pwned lässt sich für eine E-Mail-Adresse nachsehen, ob sie in bekannten Datenlecks aufgetaucht ist. Das ersetzt keine vollständige Prüfung, gibt aber einen ersten Anhaltspunkt. Wo Ihre Adresse auftaucht, gilt: das betroffene Passwort ändern — und es nirgendwo sonst weiterverwenden.
Mehr-Faktor-Authentifizierung überall erzwingen
Die wichtigste Einzelmaßnahme. Eine zweite Bestätigung beim Anmelden — etwa per App, Hardware-Schlüssel oder Passkey — greift selbst dann, wenn ein Passwort bereits geleakt ist. Der Angreifer hat dann zwar die Zugangsdaten, aber nicht den zweiten Faktor. Aktivieren Sie sie konsequent für alle wichtigen Konten, allen voran E-Mail und Administratorzugänge.
Passwort-Manager und einzigartige Passwörter
Ein Passwort-Manager beendet das Grundproblem hinter Credential Stuffing: das mehrfach genutzte Passwort. Er erzeugt für jeden Dienst ein eigenes, langes Passwort und merkt es sich für Sie. Taucht dann ein einzelnes Passwort in einem Leck auf, bleibt der Schaden auf diesen einen Dienst begrenzt.
Endpoint-Schutz und Infostealer-Hygiene
Weil viele der Daten von befallenen Rechnern stammen, gehört die Geräteseite dazu. Aktueller Endpoint-Schutz, zeitnah eingespielte Updates und Vorsicht bei Downloads aus unsicheren Quellen senken das Risiko, sich einen Infostealer einzufangen. Und ein praktischer Grundsatz: Melden Sie sich nicht an Konten an, solange der Verdacht besteht, dass ein Gerät kompromittiert ist — sonst wandern die frisch geänderten Passwörter direkt wieder ab.
Fazit
Ein Fund dieser Größenordnung wirkt im ersten Moment überwältigend, doch die Konsequenzen sind handfest und beherrschbar. Die Sammlung führt vor Augen, was längst Alltag ist: Zugangsdaten zirkulieren, werden zusammengetragen und automatisiert ausprobiert. Die Antwort darauf sind keine teuren Spezialsysteme, sondern saubere Grundlagen — einzigartige Passwörter, Mehr-Faktor-Authentifizierung und gepflegte Geräte.
Genau diese Grundlagen fehlen in der Praxis am häufigsten. Wenn Sie unsicher sind, wo Ihr Unternehmen steht, sehen wir uns Ihre Zugangsdaten- und Geräteabsicherung gemeinsam an und schließen die Lücken, die im Alltag wirklich zählen.