Google stellt klar: Gmail nicht gehackt

Ein Datensatz mit 183 Millionen E-Mail-Adressen und Passwörtern kursiert online, stammt jedoch nicht von gehackten Google-Servern, sondern von infizierten Nutzergeräten durch Infostealer-Malware.

183 Millionen Passwörter im Netz – aber nicht durch Angriff auf Google-Server.

Ein massiver Datensatz mit 183 Millionen E-Mail-Adressen und Passwörtern sorgt diese Woche für Aufregung in der digitalen Welt. Doch Google stellte bereits am Dienstag klar: Gmail wurde nicht gehackt. Die Daten stammen von infizierten Geräten der Nutzer, nicht aus Google-Servern.

Der 3,5 Terabyte große Datensatz landete am 21. Oktober in der “Have I Been Pwned”-Datenbank. Was dramatisch nach einem großen Hack klingt, ist in Wahrheit eine Sammlung von Daten, die über Monate durch sogenannte Infostealer-Malware von Nutzergeräten gestohlen wurden.

Diese Schadsoftware nistet sich unbemerkt auf Computern ein und protokolliert heimlich alle Passwort-Eingaben. Die gestohlenen Daten werden dann an kriminelle Server übertragen und oft in Untergrund-Foren verkauft.

Falsche Schlagzeilen, echte Gefahr

Google reagierte schnell auf irreführende Berichte über einen angeblichen “Gmail-Hack”. Ein Sprecher betonte: Die Passwörter wurden nicht von Google-Servern gestohlen, sondern über verschiedene Diebstähle im gesamten Web gesammelt.

Das Unternehmen verwies auf seine robusten Sicherheitssysteme. Google erkennt proaktiv, wenn große Mengen kompromittierter Zugangsdaten online auftauchen – und fordert betroffene Nutzer dann zum Passwort-Wechsel auf.

Doch die Klarstellung ändert nichts an der Brisanz: 16,4 Millionen E-Mail-Adressen waren bisher unbekannt und tauchen zum ersten Mal in einer derartigen Sammlung auf.

Das Millionengeschäft mit gestohlenen Daten

Der Datensatz trägt den Namen “Synthient Stealer Log Threat Data”. Das Cybersecurity-Unternehmen Synthient sammelte fast ein Jahr lang Daten von Infostealer-Plattformen. Das Ergebnis: eine gigantische Sammlung aus unzähligen Einzelangriffen.

Sicherheitsexperte Troy Hunt, Betreiber von “Have I Been Pwned”, analysierte die Daten. Sein Befund: Rund 91-92 Prozent der E-Mail-Adressen waren bereits aus früheren Datenlecks bekannt. Trotzdem bleiben Millionen neu betroffener Nutzer.

Besonders häufig vertreten: Gmail, Outlook und Yahoo – logisch, bei ihrer weiten Verbreitung.

Credential Stuffing: Ein Passwort für alles

Die wahre Gefahr liegt im Passwort-Recycling. Kriminelle nutzen automatisierte Software, um gestohlene Zugangsdaten auf Hunderten anderen Websites auszuprobieren. Diese “Credential-Stuffing”-Angriffe setzen darauf, dass Nutzer dasselbe Passwort für mehrere Dienste verwenden.

“Ein einziges kompromittiertes Passwort wird zum Universalschlüssel für das gesamte digitale Leben”, warnt Sicherheitsanalyst Michael Tigges von Huntress. Ein Datenleck auf einer obskuren Website kann plötzlich Bankkonten oder Social-Media-Profile gefährden.

Was Nutzer jetzt tun sollten

Der Vorfall zeigt: Der Kampf um Cybersicherheit findet längst auf den Geräten der Nutzer statt. Infostealer-Malware macht sicheres Surfen und das Vermeiden verdächtiger Downloads wichtiger denn je.
Anzeige: Übrigens: Wer sich nach solchen Passwort-Leaks gezielt vor Datendieben und Schadsoftware auf dem Smartphone schützen möchte, sollte jetzt die wichtigsten Basics setzen. Diese 5 leicht umsetzbaren Maßnahmen härten Ihr Android – ohne teure Zusatz-Apps – und schützen WhatsApp, Online-Banking, PayPal & Co. Der kompakte Gratis-Ratgeber führt Sie Schritt für Schritt durch sichere Einstellungen und Updates. Kostenloses Android-Sicherheitspaket anfordern
Erste Maßnahme: Auf “Have I Been Pwned” prüfen, ob die eigene E-Mail-Adresse betroffen ist. Falls ja: sofortiger Passwort-Wechsel – nicht nur für diesen Account, sondern für alle Dienste mit demselben Passwort.

Zwei-Faktor-Authentifizierung als Lebensretter

Sicherheitsexperten erneuern ihre Forderung nach besseren Schutzmaßnahmen. Zwei-Faktor-Authentifizierung sollte Standard werden – bei E-Mail, Banking und sozialen Netzwerken. Selbst bei gestohlenem Passwort bleibt der Account so geschützt.

Noch besser: Passkeys verwenden, wo verfügbar. Diese moderne Technologie macht traditionelle Passwörter überflüssig.

Ein Passwort-Manager hilft dabei, für jeden Dienst einzigartige, komplexe Passwörter zu erstellen und zu verwalten. Das macht Credential-Stuffing-Angriffe wirkungslos.

Der aktuelle Vorfall macht deutlich: Massive Passwort-Lecks sind zur Normalität im digitalen Zeitalter geworden. Nur wer seine Sicherheitsgewohnheiten anpasst, bleibt geschützt.

Weitere Artikel zum Thema

• 01.11.25 Uhr - Google dementiert Gmail-Hack: 183 Millionen
• 01.11.25 Uhr - Google: 10 Milliarden Scam-Attacken pro Monat
• 01.11.25 Uhr - Google und Amazon treiben Passkey-Revolution voran
• 01.11.25 Uhr - Google: Android wird zur KI-Sicherheitsfestung
• 01.11.25 Uhr - Google: Passkeys statt Passwörter gegen

• 01.11.25 Uhr - Google startet KI-Revolution gegen Handy-Betrug
• 01.11.25 Uhr - Norddeutschland stellt im Verhältnis wesentlich
• 01.11.25 Uhr - Google setzt Android 15-Ultimatum durch
• 31.10.25 Uhr - Google zwingt alle Android-Entwickler zur
• 31.10.25 Uhr - Onco-Innovations stellt Update für Aktionäre