Im Laufe der letzten Jahre hat das Expertenteam bei NordPass fast 10.000 größere Datenbanklecks und mehr als 7,8 Milliarden offengelegte E-Mail-Datensätze aufgespürt. Das Team unter der Leitung von Mantas Sabeckis, einem erfahrenen Threat-Intelligence-Experten bei Nord Security, nutzte für diese Untersuchung die Threat-Intelligence-Plattform NordStellar.
Inhalt:
Der Datensatz von 2025 kennzeichnet einen Wendepunkt: Die öffentliche Bekanntgabe von Datenbanklecks ging um 36,9 % zurück, von 4.804 Vorfällen im Jahr 2024 auf 3.031 im Jahr 2025. Zwar ist dieser Wert gesunken, aber dennoch haben Kriminelle allein im Jahr 2025 mehr als eine halbe Milliarde E-Mail-Adressen ausspioniert, was deutlich macht, dass die Anzahl der Datenlecks allein das Ausmaß der Bedrohung nicht erfasst. Bei den heutigen Angriffen sind Unauffälligkeit und Qualität wichtiger als Quantität – bei einer geringeren Anzahl von Vorfällen werden jetzt viel größere Datensätze verwendet, und ein wachsender Anteil der gestohlenen Daten zirkuliert über private Kanäle oder Infostealer-Protokolle und nicht über öffentliche Foren.
Wichtigste Erkenntnisse
Die USA (187 Datenlecks), Indien (121) und Russland (78) verzeichneten die höchste Anzahl an länderspezifischen Vorfällen, wobei 60 % der Datenlecks global waren oder nicht zugeordnet werden konnten.
Die höchsten Datenmengen an Leaks wurden in den Bereichen Technologie, Bildung und E-Commerce verzeichnet.Private Unternehmen machten 53 % der klassifizierten Vorfälle aus, während lediglich 10 % auf Behörden entfielen.
Die Zahl der Datenbanklecks sank im Jahr 2025 um 36,9 % (von 4.804 auf 3.031).Das Risiko blieb jedoch mit mehr als einer halben Milliarde kompromittierter E-Mail-Adressen erheblich.
Bei 9 von 10 Lecks handelte es sich um E-Mail-Adressen (2.724 von 3.031), und 68 % der Vorfälle (2.069 von 3.031) enthielten Telefonnummern, was verdeutlicht, dass die Kontaktdaten die am häufigsten preisgegebenen Informationen waren.
Fast ein Drittel der Datenlecks enthielt Anmeldedaten (972 von 3.033) und 12,3 % (374 von 3.031) staatliche Identifikationsnummern wie die Sozialversicherungsnummer oder Führerscheinnummern. In 2,2 % (66 von 3.031) der Fälle wurden Finanzdaten gefunden.
Die Anzahl der Ransomware-Datenlecks stieg im Jahr 2025 um 45 % auf 9.251 Fälle, was die wachsende Bedeutung erpresserischer Datenexposition unterstreicht.
Bei einer kleinen Anzahl großer Sicherheitsverletzungen wurden jeweils Dutzende von Millionen von Datensätzen offengelegt, wodurch sich das Gesamtrisiko auf besonders schwerwiegende Vorfälle beschränkte.
Der aktuelle Trend: Weniger Datenlecks, mehr Preisgabe
Eine Verlagerung zu Infostealern und geschlossenen Märkten. Dieser Rückgang der öffentlich sichtbaren Datenbanklecks ist vermutlich auf eine Änderung der Angriffsmethoden zurückzuführen – über Infostealer-Malware können Angreifer verwertbare Anmeldedaten direkt von den Benutzersystemen abfangen und auf Dienste zugreifen, ohne zentralisierte Datensätze zu extrahieren.
Angesichts der Tatsache, dass Bedrohungsakteure ihre Methoden immer weiter verfeinern, sind die Daten von Infostealern zu einem der begehrtesten Güter in der Untergrundwirtschaft geworden. Mantas Sebeckis erklärt:
ZITAT: „Auch in Zukunft werden Infostealer-Daten eine der attraktivsten Waren für Bedrohungsakteure sein. Die Einfachheit, der niedrige Preis und der geringe Bedarf an technischen Kenntnissen tragen maßgeblich zur wachsenden Beliebtheit dieser Daten bei. Auch wenn Datenbanken ihren Platz im Untergrund haben, sind die Infostealer-Daten im Vergleich weitaus effektiver. Die Angreifer sind nicht mehr auf das Ausfüllen von Zugangsdaten angewiesen, da sie ihre Ziele bereits kennen. Damit haben sie einen direkten Pfad zu kompromittierten Konten, was ihre Angriffe schneller, präziser und erfolgreicher macht.“
Ransomware-gesteuerte Exfiltration. Erpressergruppen nutzen oft Daten als Druckmittel und verkaufen sie privat, wenn die Opfer sich weigern, den geforderten Betrag zu zahlen. Diese Vorfälle tauchen möglicherweise nie auf öffentlichen Datenleckseiten auf.
STAT/INSIGHT-INTERPOLATION: Dieser Trend bestätigt sich in der Ransomware-Studie 2024–2025 von NordStellar, die belegt, dass die veröffentlichten Vorfälle auf Leak-Seiten im Jahr 2025 gegenüber dem Vorjahr um 45 % zugenommen haben (9.251 Fälle im Vergleich zu 6.395 im Jahr 2024). Insbesondere im letzten Quartal war die Zunahme sichtbar: 2.910 Vorfälle im 4. Quartal (+38 % gegenüber dem Vorjahr), darunter 1.000 öffentlich gelistete Opfer allein im Dezember – die höchste monatliche Gesamtzahl seit zwei Jahren. Über das schiere Volumen hinaus lassen die Daten eine klare Zielstrategie erkennen: 64 % der erfassten Fälle betrafen Unternehmen mit Sitz in den USA, während die Fertigungsindustrie mit 1.156 Vorfällen (19,3 % der weltweiten Opfer) am stärksten betroffen war. Überproportional betroffen waren kleine Unternehmen, insbesondere Organisationen mit weniger als 200 Mitarbeitenden und einem Umsatz von weniger als 25 Millionen Dollar. Diese Zahlen unterstreichen die Vorliebe der Angreifer für Umgebungen mit hoher Störungsanfälligkeit und vergleichsweise geringen Sicherheitsvorkehrungen.
Strafverfolgungsmaßnahmen. Im Jahr 2025 wurden mehrere große Datenleck-Foren und -Marktplätze zerschlagen, wodurch der Handel in kleinere private Kanäle verlagert wurde. Das erschwert die Aufdeckung von Datenlecks, verringert aber nicht das Risiko für die Opfer.
Geopolitische Verschiebungen. Aufgrund globaler Konflikte hat der datengesteuerte Hacktivismus 2024 stark zugenommen. Mit der Verschiebung des politischen Schwerpunkts im Jahr 2025 gingen in einigen Regionen die öffentlich bekannt gewordenen Datenleaks zurück, während gezielte Spionage im Verborgenen weiterlief.
Weniger Datenlecks sind nicht gleichzusetzen mit weniger Risiko. Bei der überwiegenden Mehrheit der 2025 gemeldeten Vorfälle handelte es sich um Informationen, die schnell missbraucht werden können, darunter E-Mail-Adressen (90 %), Telefonnummern (68 %), Zugangsdaten wie Passwörter oder API-Schlüssel (32 %) und von Behörden ausgegebene Kennungen (12,3 %). Finanzdaten, wie Bank- oder Kryptowährungsdaten, tauchten nur in 2,2 % der Fälle auf.
Geografische Muster
Im Jahr 2025 hat NordStellar 1.203 länderspezifische Datenlecks in 102 Ländern identifiziert. Die Vereinigten Staaten (187 Leaks), Indien (121) und Russland (78) führten die Liste an, was die große Bevölkerungszahl und die stark ausgeprägten digitalen Ökonomien dieser Länder widerspiegelt. Daneben gab es weitere Häufungen von Datenlecks in Indonesien, Frankreich, Brasilien, Italien, Deutschland, Argentinien und Mexiko.
Die USA verzeichneten im Jahr 2025 im Vergleich zu 2024 mehr geleakte Datenbanken, während Russland und mehrere europäische Länder einen deutlichen Rückgang verzeichneten. Dieses Muster unterstreicht, dass die Anzahl der Datenlecks von den Offenlegungspraktiken und dem Fokus der Angreifer abhängt. Ein Großteil der Datenlecks war global oder nicht zuzuordnen, was den grenzüberschreitenden Charakter von Datenschutzverletzungen widerspiegelt.
Analyse des Industriesektors
Dem Datensatz von NordStellar zufolge gab es in den Bereichen Technologie, Bildung und E-Commerce die meisten Datenlecks. Diese Sektoren nutzen internetbasierte Dienste und sammeln große Mengen an Kundendaten, was sie zu lukrativen Zielen macht.
Die Anzahl der Datenlecks ist in den meisten Industriezweigen zwar zurückgegangen, aber die Größe der Datenlecks hat oft zugenommen. Bei Technologie- und E-Commerce-Leaks wurden beispielsweise häufig Hunderttausende von E-Mail-Adressen pro Vorfall offengelegt. Im Finanzsektor waren zwar weniger Angriffe zu verzeichnen, aber es handelte sich in der Regel um größere Datensätze, was ihre Auswirkungen verstärkte.
Regierung vs. privater Sektor
Von den 3.031 Datenlecks, die für das Jahr 2025 analysiert wurden, konnten 53 % privaten Unternehmen und 10 % staatlichen Einrichtungen zugeordnet werden. Die restlichen 37 % konnten aufgrund unzureichender Metadaten nicht zugeordnet werden. Im privaten Sektor kam es nicht nur häufiger zu Datenlecks, sondern es wurden auch größere Datenmengen offengelegt. Im Durchschnitt enthielt ein Datenleck im privaten Sektor etwa 126.000 E-Mail-Adressen, während ein staatliches Datenleck etwa 79.000 enthielt. Diese Ungleichheit zeigt sowohl die breitere Angriffsfläche privater Organisationen als auch das höhere Monetarisierungspotenzial kommerzieller Daten. Auch wenn die Zahl der Sicherheitsverstöße im staatlichen Bereich geringer ist, haben sie dennoch große Auswirkungen, da sensible persönliche und nationale Sicherheitsinformationen für Spionage oder politische Zwecke ausgenutzt werden können.
Die 5 bedeutendsten Datenlecks im Jahr 2025
Obwohl es im Jahr 2025 zu Tausenden von Vorfällen kam, ging ein unverhältnismäßig großer Teil des Risikos auf einige wenige besonders prominente Fälle zurück. In der folgenden Tabelle werden die fünf größten Datenlecks, die NordStellar aufgespürt hat, zusammengefasst und durch unabhängige Berichte belegt:
| Unternehmen und Datum | Beweise für Datenlecks | Offengelegte Daten |
|---|---|---|
| Under Armour (November 2025) | Wie Malwarebytes berichtet, veröffentlichte die Everest-Ransomware-Bande einen 191 GB großen Datensatz mit 191,6 Millionen Datensätzen und 72,7 Millionen eindeutigen E-Mail-Adressen. Das Infosecurity Magazine hat bestätigt, dass Have I Been Pwned (HIBP) 72 Millionen E-Mail-Adressen in seine Datenbank aufgenommen hat | Geburtsdaten, Informationen zum Geschlecht, Namen, E-Mail-Adressen, Geolokalisierungsdaten, Kaufhistorie |
| Prosper Marketplace (September 2025) | SecurityWeek meldet unter Berufung auf HIBP, dass eine unbefugte Abfrage der Datenbanken von Prosper 17,6 Millionen Konten enthüllte und Namen, Adressen, IP-Adressen, Geburtsdaten, staatlich ausgestellte Ausweise, den Beschäftigungsstatus und Einkommensstufen enthielt. | Geburtsdaten, Beschäftigungsstatus, Einkommensdaten, Namen, Informationen zum Kreditstatus, E-Mail-Adressen, Regierungs-IDs, IP-Adressen, physische Adressen, Details zum Browser-Benutzer-Agenten |
| Vietnam Airlines (Juni 2025) | Laut einer Analyse von Outpost24 haben Bedrohungsakteure einen 64 GB großen Datensatz mit mehr als 7,3 Millionen eindeutigen E-Mail-Adressen veröffentlicht. HIBP hat Vietnam Airlines als Gegenstand eines Datenlecks aufgeführt, von dem 7,3 Millionen Konten betroffen waren. | Physische Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Informationen zum Geschlecht, Namen, Nationalitäten, Benutzernamen |
| The Pass’Sport program (Dezember 2025) | Aus den Aufzeichnungen des HIBP geht hervor, dass das Datenleck im französischen Pass'Sport-Programm 6,5 Millionen eindeutige E-Mail-Adressen enthielt und etwa 3,5 Millionen Haushalte betroffen waren. Die Datenleckmeldung von HookPhish bestätigt dieselben Zahlen und stellt fest, dass die Daten Namen, Geschlecht, Telefonnummern und physische Adressen enthalten. | E-Mail-Adressen, Namen, Informationen zum Geschlecht, Telefonnummern, physische Adressen |
| Bouygues Telecom (August 2025) | Bouygues meldete, dass Angreifer auf persönliche Daten von 6,4 Millionen Kunden zugegriffen haben. Nach Angaben von HIBP wurden 5,7 Millionen eindeutige E-Mail-Adressen offengelegt. | Physische Adressen, Geburtsdaten, E-Mail-Adressen, Namen, Telefonnummern |
All diese Vorfälle veranschaulichen die große Vielfalt der Opfer – von Sportbekleidungs- und Fintech-Unternehmen bis hin zu Fluggesellschaften und Regierungsprogrammen – und machen deutlich, dass aktuelle Datenlecks oft weit mehr als nur E-Mail-Adressen preisgeben.
Ausblick: Was 2026 zu erwarten ist
Die Risiken von Datenlecks werden sich eher weiterentwickeln als verschwinden. Kriminelle werden weiterhin auf Infostealer-Malware, Phishing und Ransomware-Erpressung setzen, um an Zugangsdaten zu gelangen und diese zu Geld zu machen.
Diese Weiterentwicklung dürfte sich in dem Maße beschleunigen, wie kriminelle Unternehmungen wachsen und neue Hilfsmittel immer häufiger und leichter zugänglich werden. Für Karolis Arbačiauskas, Head of Product bei NordPass, ist die Richtung ziemlich klar:
ZITAT: „Angesichts des anhaltenden Wachstums krimineller Unternehmungen werden sich die Risiken von Datenlecks weiter verschärfen. Die zunehmende Nachfrage nach LLMs wird diese Entwicklung noch weiter beschleunigen, genau wie in anderen Bereichen. Mithilfe von KI-Tools können Angreifer bessere Phishing-E-Mails erstellen, Malware entwickeln, Agentensoftware einsetzen oder Schwachstellen schneller finden.
Unternehmen und Privatpersonen müssen wachsam bleiben und ihre Sicherheitspraktiken auf den neuesten Stand bringen. Die wichtigsten Schutzmaßnahmen gegen diese Bedrohungen sind strikte Passwortrichtlinien und regelmäßige Software-Updates.“
So können Sie sich schützen
Die Untersuchungsergebnisse belegen, dass sich das Risiko in stark digitalisierten Branchen, großen privatwirtschaftlichen Unternehmen und Regionen mit einem dichten Online-Ökosystem konzentriert. Bei der Reduzierung der Auswirkungen sind sowohl Unternehmen als auch Einzelpersonen gefragt.
Für Unternehmen:
Begrenzen Sie den Umfang der gespeicherten persönlichen Daten und unterteilen Sie kritische Systeme, um den Umfang von Sicherheitsverletzungen zu begrenzen.
Erhöhen Sie den Schutz von Anmeldedaten mit hardwaregestützter Authentifizierung und schützen Sie Endgeräte vor Infostealer-Malware.
Überwachen Sie auf offengelegte Zugangsdaten und handeln Sie schnell, um Vorfälle einzudämmen, bevor sie sich ausweiten.
Für Privatpersonen:
Arbeiten Sie mit einem Passwort-Manager, nutzen Sie einzigartige Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung, um zu verhindern, dass gestohlene Anmeldedaten in verschiedenen Diensten wiederverwendet werden können.
Nach größeren Datenlecks sollten Sie besonders wachsam gegenüber Phishing und gezielten Betrugsversuchen sein.
Sollten Sie verdächtige Aktivitäten feststellen, setzen Sie Ihre Zugangsdaten sofort zurück und überprüfen Sie die verbundenen Konten.
Abschließende Gedanken
Der Rückgang der öffentlich bekannt gewordenen Datenbanklecks im Jahr 2025 spiegelt eher eine veränderte Taktik wider, als dass das Internet sicherer geworden wäre. Kriminelle versuchen zunehmend, Zugangsdaten über Infostealer, Erpressungskampagnen und privaten Datenaustausch zu erlangen, wobei sie immer ausgefeiltere Methoden einsetzen, um ihre Ziele zu erreichen.
Mit Blick auf das Jahr 2026 wird die größte Herausforderung die Verwaltung der Identität im großen Maßstab sein. Organisationen, die die Datenkonzentration verringern, Zugriffsrechte konsequent einschränken sowie Erkennungs- und Reaktionszeiten verkürzen, sind besser darauf vorbereitet, im Falle eines Vorfalls den Schaden zu begrenzen. Die Fähigkeit, eine Gefahr einzudämmen, statt sie nur zu verhindern, wird zunehmend die Widerstandsfähigkeit beeinflussen.
Methodik
Unser Datensatz enthält jede öffentlich verfügbare offengelegte Datenbank, die von NordStellar zwischen 2023 und 2025 entdeckt wurde. Alle Einträge wurden durch eine KI-gestützte Klassifizierungspipeline (nexos.ai) verarbeitet, die verfügbare Leak-Metadaten analysierte, einschließlich Ursprungsdomänen, Top-Level-Domänen, Beschreibungen, referenzierten Organisationen und Datensatzinhalten, um den Sektor, die geografische Zuordnung und den Organisationstyp (öffentlich oder privat) zu bestimmen.
Datenlecks wurden als „länderspezifisch“ kategorisiert, wenn die verfügbaren Metadaten auf eine primäre Länderzugehörigkeit hinwiesen. In allen anderen Fällen wurden sie als „global“ oder „unbekannt“ markiert.
Aus den 3.031 im Jahr 2025 erfassten Leaks hat NordStellar die gemeldeten E-Mail-Anzahlen extrahiert und das Vorhandensein weiterer Datentypen dokumentiert, darunter Telefonnummern, Zugangsdaten (Klartext- oder gehashte Passwörter, API-Schlüssel), behördliche Identifikationsnummern und Finanzdaten. Die Gesamtzahl der E-Mails spiegelt aggregierte Kontodatensätze wider und kann gemischte Kontotypen enthalten (z. B. Kunden-, Mitarbeiter-, Verwaltungs- oder Benutzerkonten), da eine genaue Unterscheidung nicht möglich war.