Google dementiert Gmail-Hack: 183 Millionen Zugangsdaten stammen aus anderen Quellen
Schadsoftware als wahrer Übeltäter
Google wehrt sich vehement gegen Berichte über einen angeblichen Mega-Hack des E-Mail-Dienstes Gmail. Die 183 Millionen kompromittierten Zugangsdaten sollen nicht von Googles Servern stammen, sondern aus verschiedenen Drittquellen zusammengetragen worden sein.
Der Technologiekonzern betont, dass seine Systeme sicher bleiben und nicht kompromittiert wurden. Stattdessen handele es sich bei den aufgetauchten Daten um eine Sammlung von Zugangsdaten, die hauptsächlich durch sogenannte “Infostealer”-Malware von Nutzergeräten gestohlen wurden.
Die Verwirrung entstand durch ein neu aufgetauchtes Datenpaket mit 183 Millionen E-Mail-Zugangsdaten, das kürzlich in die Sicherheitsdatenbank “Have I Been Pwned” aufgenommen wurde. Gmail-Adressen sind in dieser Liste stark vertreten – was aber laut Sicherheitsexperten lediglich die Popularität des Dienstes widerspiegelt.
Die Daten stammen aus verschiedenen kleineren Datenlecks und Infektionen mit Infostealer-Malware. Diese Schadsoftware läuft unbemerkt im Hintergrund und sammelt Zugangsdaten direkt aus Webbrowsern und anderen Anwendungen. Die Opfer merken oft gar nicht, dass ihre gespeicherten Passwörter abgegriffen werden.
Cybersicherheitsexperten warnen: Diese Art der Datensammlung ist besonders heimtückisch, da sie nicht auf Sicherheitslücken in großen Plattformen angewiesen ist, sondern die schwächste Stelle im System angreift – den einzelnen Nutzer.
“Passwörter sind das schwächste Glied”
Google nutzt den Vorfall, um seine langjährige Botschaft zu verstärken: Nutzer sollen auf Zwei-Faktor-Authentifizierung (2FA) und passwortlose Anmeldungen umsteigen. Das Unternehmen betont, dass 2FA das Risiko einer Kontokompromittierung um über 99 Prozent reduzieren kann.
“Gmail’s Sicherheitssysteme sind stark und die Nutzer bleiben geschützt”, stellte Google in sozialen Medien klar. Bereits zum zweiten Mal in den vergangenen Wochen musste der Konzern solche Falschmeldungen dementieren – ein Zeichen dafür, dass große Datenlisten häufig fälschlicherweise als direkte Angriffe auf Hauptdienste interpretiert werden.
Die eigentliche Gefahr liegt im sogenannten Credential Stuffing: Hacker verwenden gestohlene Passwort-Listen und probieren diese automatisiert auf anderen Websites aus. Wer dasselbe Passwort für mehrere Dienste nutzt, wird so schnell zum Opfer.
Schutzmaßnahmen für Betroffene
Nutzer können auf der Website “Have I Been Pwned” überprüfen, ob ihre E-Mail-Adresse von dem Datenleck oder anderen bekannten Sicherheitsvorfällen betroffen ist. Googles eigener Passwort-Manager bietet zusätzlich eine “Passwort-Überprüfung”, die automatisch kompromittierte, schwache oder mehrfach verwendete Passwörter identifiziert.
Die wichtigsten Sofortmaßnahmen:
– Zwei-Faktor-Authentifizierung aktivieren
– Einzigartige Passwörter für jeden Dienst verwenden
– Auf Passkeys umsteigen, wo möglich
Anzeige: Übrigens: Wer sich konkret vor Infostealern und Datenklau auf dem Smartphone schützen möchte, findet eine einfache Schritt-für-Schritt-Hilfe. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android – ohne teure Zusatz-Apps und leicht umzusetzen. So sichern Sie WhatsApp, Online‑Banking und PayPal zuverlässig ab und schließen oft übersehene Lücken. Jetzt kostenloses Android-Sicherheitspaket herunterladen
Die Zukunft ohne Passwörter
Google setzt massiv auf Passkeys – eine Technologie, die biometrische Daten wie Fingerabdrücke oder Gesichtserkennung mit kryptographischen Verfahren kombiniert. Diese sind praktisch immun gegen Phishing-Attacken und können nicht wie herkömmliche Passwörter gestohlen werden.
Der Konzern hat Passkeys bereits als Standard für persönliche Google-Konten eingeführt – die bislang größte Einführung dieser passwortlosen Technologie weltweit. Während Angreifer ihre Methoden verfeinern, beschleunigt sich der Wandel weg vom traditionellen Passwort.
Denn eines wird immer deutlicher: Solange Millionen von Nutzern schwache oder mehrfach verwendete Passwörter nutzen, bleiben Datenlecks wie diese eine goldene Gelegenheit für Cyberkriminelle – auch ohne direkten Angriff auf die großen Tech-Konzerne.
