Identity Theft & Credential Stuffing: Anstieg nach Passwort-Leak
Seit der Datensatz „Synthient Credential Stuffing Threat Data“ Anfang November 2025 veröffentlicht wurde, beobachten wir bei Firewalls24 und der Aphos GmbH eine deutliche Zunahme von Identitätsdiebstahl und Phishing-Angriffen. Betroffen sind sowohl Kunden als auch deren Partner und Dienstleister. In mehreren Fällen konnten unsere Incident-Response-Teams durch schnelles Eingreifen größere Schäden verhindern.
Der Datensatz wurde von der Plattform Have I Been Pwned (HIBP) aufgenommen und enthält Informationen zu Milliarden kompromittierter Konten. Internationale Medien berichten über das Ausmaß und warnen vor einer neuen Welle automatisierter Login-Angriffe, die auf mehrfach verwendete Passwörter zielen.
In diesem Beitrag erklären wir, was hinter dem Vorfall steckt, was ihn so gefährlich macht und wie Unternehmen, Behörden und öffentliche Einrichtungen jetzt reagieren sollten, um sich vor Folgeangriffen zu schützen.
Passwort-Leak: Synthient Credential Stuffing Threat Data
Der Synthient Credential Stuffing Threat Data Breach wurde im April 2025 von der Sicherheitsfirma Synthient entdeckt und dokumentiert. Es handelt sich nicht um den Hack eines einzelnen Dienstes, sondern um die Konsolidierung von gestohlenen Zugangsdaten aus zahlreichen früheren Datenlecks. Diese wurden von Cyberkriminellen über Jahre hinweg in Foren, auf Marktplätzen und in Untergrundnetzwerken gehandelt.
Synthient hat diese verstreuten Informationen zusammengeführt und im Rahmen seiner Threat-Intelligence-Aktivitäten analysiert. Das Ziel war es, ein vollständiges Bild der im Umlauf befindlichen kompromittierten Zugangsdaten zu erhalten und die Erkenntnisse mit Sicherheitsforschern zu teilen. Die so entstandene Datensammlung wurde schließlich an Have I Been Pwned übergeben, um betroffene Nutzer und Unternehmen zu informieren.
Die Veröffentlichung auf HIBP am 6. November 2025 markiert den Zeitpunkt, an dem der Datensatz öffentlich überprüfbar wurde. Laut Troy Hunt enthält er 1,957 Milliarden eindeutige E-Mail-Adressen und 1,3 Milliarden Passwörter. Damit handelt es sich um einen der größten jemals erfassten Credential-Dumps und um ein Paradebeispiel dafür, wie wiederverwendete Passwörter zur systemischen Schwachstelle werden.
Umfang und Datenarten des Passwort-Leaks
Die Datensammlung umfasst Anmeldeinformationen aus unterschiedlichsten Quellen. Dazu zählen:
- Kombinierte Listen aus älteren Datenlecks, die über Jahre im Darknet kursierten
- Logfiles sogenannter Infostealer-Malware, die auf infizierten Endgeräten Zugangsdaten aus Browsern und Apps ausliest
- Datensätze, die in Telegram-Gruppen, Pastebin-ähnlichen Plattformen oder Foren geteilt wurden
Die Daten wurden automatisiert verarbeitet, normalisiert und um doppelte Einträge bereinigt. Laut Synthient enthält der finale Datensatz fast zwei Milliarden eindeutige Kombinationen aus E-Mail-Adressen und Passwörtern, die nun in „Pwned Passwords“ suchbar sind.
Auswirkungen von Leak auf Unternehmen und Behörden
Die unmittelbare Gefahr ergibt sich nicht aus dem Leck selbst, sondern aus seiner Verwendung in Credential-Stuffing-Angriffen. Diese automatisierten Attacken testen gestohlene Login-Kombinationen systematisch auf anderen Diensten, in der Hoffnung, dass Nutzer identische Passwörter mehrfach verwenden. So lassen sich Accounts kompromittieren, obwohl das eigentliche Zielsystem nie direkt gehackt wurde.
Betroffen sind vor allem Cloud-Dienste, VPN- und E-Mail-Zugänge, aber auch Kundensysteme und Webportale. Besonders kritisch ist, dass viele Angriffe mit legitimen Zugangsdaten erfolgen und daher in klassischen Sicherheitslösungen nicht sofort auffallen. Für Unternehmen und Behörden bedeutet das: Selbst wenn kein eigener Sicherheitsvorfall vorliegt, kann ein massenhafter Identitätsmissbrauch bereits im Hintergrund laufen.
Firewalls24 & Aphos GmbH: Zunahme von Identity-Theft- und Phishing-Angriffen
Seit der Veröffentlichung des Synthient-Datensatzes verzeichnen wir bei Firewalls24 und der Aphos GmbH eine deutliche Zunahme gezielter Angriffe, die auf kompromittierte Zugangsdaten zurückzuführen sind. Besonders betroffen sind kleine und mittlere Unternehmen, die über digitale Schnittstellen mit Partnern, Lieferanten oder Dienstleistern verbunden sind. Viele dieser Angriffe erfolgen unbemerkt über scheinbar legitime Kommunikationskanäle.
In mehreren Fällen wurden kompromittierte E-Mail-Konten genutzt, um Phishing-Kampagnen innerhalb bestehender Geschäftsbeziehungen zu starten. Die Angreifer geben sich als vertraute Absender aus und senden täuschend echte Rechnungen, Freigabeanfragen oder interne Dokumente. Diese E-Mails enthalten oft gefälschte Login-Seiten oder Schadlinks, über die weitere Zugangsdaten abgegriffen werden sollen.
Ein weiterer Trend betrifft den gezielten Identitätsdiebstahl bei administrativen Konten. Durch wiederverwendete oder schwache Passwörter konnten Angreifer sich über VPN-Zugänge oder Cloud-Dienste anmelden und interne Ressourcen ausspähen. In mehreren Fällen wurden anschließend Angriffe über die Lieferkette eingeleitet, um auch verbundene Organisationen zu kompromittieren.
Incident Response durch Aphos: Eingriff bevor größerer Schaden entsteht
Unsere Incident-Response-Teams waren in den vergangenen Wochen mehrfach im Einsatz, um derartige Angriffe zu analysieren und einzudämmen. In fast allen Fällen konnte durch schnelles Handeln ein größerer Schaden verhindert werden. Häufig wurden kompromittierte Konten isoliert, Systeme forensisch untersucht und anschließend durch Passwort-Rotation, MFA-Aktivierung und Awareness-Maßnahmen abgesichert.
Besonders auffällig ist, dass viele dieser Angriffe über externe Partner eingeleitet wurden. Das zeigt, wie wichtig es ist, Identitäts- und Zugriffsmanagement nicht nur intern, sondern auch über Organisationsgrenzen hinweg zu betrachten. Ohne abgestimmte Sicherheitsrichtlinien und klar definierte Kommunikationswege kann ein einzelner kompromittierter Account zur Einfallstür für die gesamte Lieferkette werden.
Empfohlene Maßnahmen für IT-Verantwortliche
Der Synthient-Datensatz zeigt, wie leicht kompromittierte Zugangsdaten zum Ausgangspunkt gezielter Angriffe werden können. Unternehmen sollten deshalb umgehend prüfen, ob eigene oder unternehmenseigene E-Mail-Adressen betroffen sind, und vorbeugende Schritte einleiten. Entscheidend ist, nicht nur reaktiv zu handeln, sondern bestehende Sicherheitsrichtlinien und -prozesse aktiv zu stärken.
Sofortmaßnahmen und Kommunikation
Wir empfehlen IT-Abteilungen, unverzüglich eine interne Rundmail an alle Mitarbeitenden zu versenden. Diese sollte über den Vorfall informieren und konkrete Handlungsanweisungen enthalten:
- Eigene E-Mail-Adresse auf Have I Been Pwned prüfen
- Betroffene oder mehrfach verwendete Passwörter sofort ändern
- Verwendung privater Passwörter in Unternehmenssystemen vermeiden
- Multi-Faktor-Authentifizierung (MFA) aktivieren, wo immer möglich
Zusätzlich sollte die IT-Sicherheitsabteilung prüfen, ob im Active Directory, in Cloud-Diensten oder VPN-Systemen ungewöhnliche Login-Versuche festgestellt wurden. Angriffe, die aus legitimen Konten erfolgen, können oft nur über Protokollanalysen oder Anomalie-Erkennung identifiziert werden.
Awareness und Schulung der Mitarbeitenden
Passwortsicherheit beginnt beim Bewusstsein der Anwender. Mitarbeitende sollten regelmäßig über E-Mail-Sicherheit, Phishing-Risiken, Passwort-Management und MFA-Nutzung informiert werden. Awareness-Kampagnen, kurze Schulungen oder simulierte Phishing-Tests helfen, Aufmerksamkeit zu schaffen und sichere Verhaltensmuster zu fördern.
Für eine nachhaltige Sensibilisierung empfehlen wir unsere praxisnahe Security Awareness Schulung. Sie vermittelt Mitarbeitenden, wie sie betrügerische E-Mails erkennen, mit Passwörtern sicher umgehen und auf verdächtige Aktivitäten richtig reagieren.
Darüber hinaus ist es ratsam, Richtlinien für den sicheren Umgang mit Passwörtern zu überprüfen. Passwortmanager, die komplexe, zufällige Kennwörter erzeugen und verwalten, erleichtern die Umsetzung sicherer Richtlinien. Eine unternehmensweite Passwort-Policy mit klaren Regeln zu Länge, Gültigkeitsdauer und MFA-Verpflichtung reduziert das Risiko wiederverwendeter Anmeldeinformationen erheblich.
Prävention & Schutz: Sophos-Lösungen im Überblick
Um Credential-Stuffing- und Identitätsangriffe effektiv zu verhindern, ist eine mehrschichtige Sicherheitsstrategie erforderlich. Neben Schulung und Passwortmanagement sollten Unternehmen auf moderne Sicherheitslösungen setzen, die kompromittierte Konten frühzeitig erkennen und automatisiert reagieren können. Besonders leistungsfähig sind hier die Endpoint-, E-Mail- und Managed-Detection-Angebote von Sophos.
E-Mail-Schutz mit Sophos Email und DMARC Manager
Ein Großteil der aktuellen Angriffe erfolgt über E-Mail-Kommunikation. Sophos Email Security analysiert eingehende Nachrichten mit KI-basierten Filtern und schützt vor Phishing, Malware und Identitätsmissbrauch. Funktionen wie Impersonation Protection und Account-Takeover-Erkennung verhindern, dass kompromittierte Konten für betrügerische Kommunikation genutzt werden.
Ergänzend dazu hilft der Sophos DMARC Manager beim Schutz vor E-Mail-Spoofing und Markenmissbrauch. Die Lösung wertet DMARC-Berichte aus, erkennt missbräuchliche Domain-Nutzung und unterstützt Administratoren dabei, Authentifizierungsrichtlinien wie SPF, DKIM und DMARC zentral durchzusetzen. Dadurch sinkt das Risiko, dass gefälschte Mails im Namen des eigenen Unternehmens versendet werden.
Für Unternehmen, die bereits Microsoft 365 oder Google Workspace einsetzen, bietet die Kombination aus Sophos Email Security und DMARC Manager einen wirksamen Schutz gegen Phishing- und Business-E-Mail-Compromise-Angriffe.
Sophos MDR und ITDR: Frühzeitige Erkennung und Reaktion
Viele der beobachteten Angriffe im Zusammenhang mit dem Synthient-Datensatz wären mit Sophos Managed Detection and Response (MDR) frühzeitig erkannt oder vollständig verhindert worden. Der Dienst kombiniert Echtzeitüberwachung, KI-gestützte Anomalieerkennung und ein erfahrenes Analystenteam, das bei verdächtigen Aktivitäten sofort eingreift und geeignete Gegenmaßnahmen einleitet.
Ergänzend dazu bietet Sophos Identity Threat Detection and Response (ITDR) gezielten Schutz vor Identitätsmissbrauch und Kontoübernahmen. ITDR erkennt verdächtige Anmeldeaktivitäten, Rechteausweitungen und Bewegungen im Active Directory oder in Cloud-Identitätsdiensten. Diese Identitätsüberwachung schließt eine entscheidende Lücke zwischen Endpoint- und Netzwerkebene und verhindert, dass Angreifer gestohlene Anmeldedaten unbemerkt weiterverwenden.
Im Gegensatz zu klassischen Sicherheitslösungen erkennt MDR in Kombination mit ITDR nicht nur Schadsoftware, sondern auch komplexe Angriffsketten, die auf legitimen Zugangsdaten basieren. Verdächtige Logins aus ungewohnten Regionen, Massen-Authentifizierungsversuche oder Privilege Escalations werden in Echtzeit analysiert. Unternehmen profitieren von einer rund um die Uhr verfügbaren Sicherheitsüberwachung und einer schnellen Reaktion durch erfahrene Security-Analysten und Incident-Response-Teams.
Erweiterte Erkennung mit Sophos XDR und EDR
Für Organisationen, die eine eigene Security-Operation aufbauen, bieten Sophos XDR und Sophos EDR tiefgehende Sichtbarkeit über Endpoints, Server und Cloud-Ressourcen. Sicherheitsverantwortliche können damit verdächtige Aktivitäten selbst untersuchen, Datenquellen korrelieren und Angriffswege nachvollziehen.
Gerade im Zusammenhang mit Credential-Stuffing-Kampagnen helfen XDR-Analysen, kompromittierte Benutzerkonten, fehlerhafte Authentifizierungen oder laterale Bewegungen im Netzwerk zu identifizieren und zu stoppen. In Verbindung mit MDR entsteht ein durchgängiges Sicherheitsökosystem, das auf Prävention, Erkennung und schnelle Reaktion ausgelegt ist.
Fazit: Credential Hygiene jetzt priorisieren
Der Synthient Credential Stuffing Threat Data verdeutlicht, wie massiv der Missbrauch wiederverwendeter Passwörter inzwischen zugenommen hat. Selbst wenn ein Unternehmen nicht direkt von einem Datenleck betroffen ist, können gestohlene Zugangsdaten aus externen Quellen zu erfolgreichen Angriffen führen. Identity-Theft und Phishing über legitime Kommunikationswege sind aktuell die größten Risiken für Organisationen jeder Größe.
IT-Verantwortliche sollten jetzt prüfen, ob eigene Domains oder E-Mail-Adressen betroffen sind, und interne Prozesse zur Credential Hygiene stärken. Dazu gehören sichere Passwort-Policies, der konsequente Einsatz von MFA und die Sensibilisierung der Mitarbeitenden. Gleichzeitig lohnt sich die Investition in Sicherheitslösungen, die Angriffe frühzeitig erkennen und automatisiert reagieren.
Mit dem Sophos Endpoint Security Portfolio, Sophos Email, und gezielter Awareness-Schulung stehen leistungsstarke Werkzeuge zur Verfügung, um den Schutz vor Identitätsmissbrauch und Phishing nachhaltig zu verbessern.
Die aktuelle Entwicklung zeigt: Credential-Stuffing ist kein theoretisches Risiko mehr, sondern tägliche Realität. Wer jetzt Maßnahmen ergreift, reduziert nicht nur unmittelbare Gefahren, sondern stärkt auch das Sicherheitsbewusstsein im gesamten Unternehmen.
