Es ist eine Zahl, die nicht sonderlich schön klingt: Eine aktuelle Analyse des Sicherheitsanbieters Surfshark hat ergeben, dass die Zahl der Online-Konten, deren Daten (bei Hacks von Plattformen) geleakt wurden, steigt. In diesem Jahr sollen bereits 5,2 Millionen deutsche Online-Konten geleakt worden sein. Pro Minute sind das 10 Konten.
Obwohl die Anzahl der Datenlecks im 2. Quartal 2025 im Vergleich zum 1. Quartal um 67 % zurückging (1,3 Millionen vs. 3,9 Millionen), wurden in Deutschland im ersten Halbjahr dennoch über 5,2 Millionen Nutzerkonten kompromittiert.
Datenlecks bei Online-Konten 2025 in Deutschland, Quelle: Surfshark
Weltweit zeigen die neuesten Daten einen Anstieg um 34 % – von 70 Millionen auf 94 Millionen geleakte Konten. Am stärksten von Datenlecks im 2. Quartal 2025 betroffen waren die USA, Frankreich, Indien, Deutschland und Israel.
"Im digitalen Zeitalter müssen wir immer mehr persönliche Daten preisgeben, um alltägliche Aufgaben zu erledigen – sei es Name und Adresse für Essenslieferungen oder Telefonnummern für einen Friseurbesuch. Doch es gibt keine Garantie dafür, dass Unternehmen diese sensiblen Informationen ausreichend schützen. Gelangen diese Daten in falsche Hände, können sie zur Identitätsdiebstahl, für gezielte Betrugsversuche in sozialen Medien oder zum Verkauf im Darknet genutzt werden", sagt Sarunas Sereika, Produktmanager bei Surfshark.
Insgesamt liegt Deutschland im 2. Quartal 2025 weltweit auf Platz 4 mit 1,3 Millionen kompromittierten Konten. Im Jahr 2025 wurden bisher etwa 10 deutsche Nutzerkonten pro Minute angegriffen.
Datenleck-Statistiken im Laufe der Jahre
Die Analyse von Surfshark zu Datenlecks seit 2004 zeigt, dass Deutschland – mit insgesamt 624,3 Millionen kompromittierten Nutzerkonten – in Westeuropa an zweiter Stelle liegt. Statistisch gesehen wurde jeder Deutsche im Schnitt etwa siebenmal Opfer eines Datenlecks.
Von den 624,3 Millionen geleakten deutschen Konten enthielten 167,7 Millionen eindeutige E-Mail-Adressen. Das bedeutet, dass die durchschnittliche E-Mail-Adresse 3,7 Mal seit 2004 kompromittiert wurde. Insgesamt wurden 550,3 Millionen Passwörter gemeinsam mit deutschen Konten geleakt – 88 % der betroffenen Nutzer sind somit potenziell von Kontoübernahmen betroffen, was zu Identitätsdiebstahl, Erpressung oder anderen Cyberverbrechen führen kann.
Deutschlands vollständiges Profil im "Global Data Breach Monitoring"-Projekt findet sich hier.
Prominenteste Datenlecks in Deutschland im Jahr 2025
In der ersten Hälfte war die größte Anzahl geleakter E-Mails mit Bezug zu Deutschland auf die Fälle Zacks, Magento und Boulanger zurückzuführen. Beim Zacks-Datenleck wurden 99.982 deutsche E-Mail-Adressen kompromittiert, bei Magento 19.641 E-Mails und bei Boulanger 7.634 E-Mails. Wichtig zu beachten ist, dass es sich um das Datum handelt, an dem eine Sicherheitsverletzung in öffentlichen Datenbanken veröffentlicht wird, und nicht um das Datum, an dem die Sicherheitsverletzung ursprünglich stattfand.
Welche Länder waren im 2. Quartal 2025 am stärksten betroffen?
In absteigender Reihenfolge waren die zehn am stärksten von Datenschutzverletzungen betroffenen Länder im 2. Quartal 2025: die USA (42,5 Mio.), Frankreich (11,4 Mio.), Indien (1,7 Mio.), Deutschland (1,3 Mio.), Israel (1,2 Mio.), Kanada (968,6 Tsd.), das Vereinigte Königreich (944 Tsd.), Thailand (889,1 Tsd.), Brasilien (639,6 Tsd.) und China (578,3 Tsd.).
Länder mit der höchsten Dichte an Datenschutzverletzungen im 2. Quartal 2025 (Anzahl geleakter Konten pro 1.000 Einwohner): Frankreich (172), Israel (130), die USA (123), Singapur (26), Kanada (24), Südsudan (23), Belgien (21), Irland (16), Schweiz (16) und Deutschland (15).
Verwendete Methodologie
Ein Datenleck liegt vor, wenn vertrauliche und sensible Informationen unbefugt Dritten offengelegt werden. In dieser Studie betrachten wir jede kompromittierte oder geleakte E-Mail-Adresse, die zur Registrierung bei Online-Diensten verwendet wurde, als separates Nutzerkonto. Dieses Konto kann zusätzlich mit weiteren Informationen wie Passwort, Telefonnummer, IP-Adresse, Postleitzahl und mehr geleakt worden sein.
Die Daten wurden von unabhängigen Partnern aus 29.000 öffentlich zugänglichen Datenbanken gesammelt und anhand der E-Mail-Adressen zusammengeführt. Anschließend wurden sie anonymisiert und zur statistischen Analyse an das Forschungsteam von Surfshark weitergegeben. Länder mit weniger als 1 Million Einwohner wurden in der Auswertung nicht berücksichtigt.
Die Data Breach World Map wird vierteljährlich mit den neuesten Daten von unseren unabhängigen Partnern aktualisiert. Die vollständige Methodik lässt sich hier einsehen.
MVP: 2013 – 2016
Das liest sich tatsächlich nicht so schön…
…wobei es liegt beim Anbieter und nicht am Verbraucher, wobei ich immer wieder feststellen muss, dass es den meisten Deutschen Nutzer scheinbar Scheißegal zu sein scheint ist, was mit seinen Daten passiert. Ich bin da immer etwas Skeptisch und Vorsichtig und hab auch so 10-15 Mail Adressen für Newsletter und Foren Gedöns und anderen Schwachsinn als auch wirklich wichtigen Kram.
Ich habe auch eine Mail Adresse, die fungiert fast wie ein Honeypot, wo ich mir auch jeglichen Schrott einfange und auf gut mindestens 5 Spammail listen eingetragen bin, fragt mich nicht wie ich das Geschafft habe :-) aber es war einer dieser großen Leaks in den 2010er Jahren, das hat aber auch den Vorteil, ich weiß ziemlich genau, auf welche Spam Mails ich gerade Acht geben muss.
Da zeigt sich wieder dass Datensparsamkeit doch ganz gut ist auch wenn Daten das Öl des 21. Jahrhunderts sein sollen. Und es hat wie bereits mein Vorposter geschrieben hat Vorteile mehrere Emailadressen für unterschiedliche Einsatzzwecke zu besitzen. Auch Alias-Adressen bei den Emailanbietern sind sehr sinnvoll da weiß man wo etwas versiebt wurde. Und wenn die Anbieter eben auf Sicherheit pfeifen dann kann da eben nicht viel Wichtiges wegkommen.
Das zeigt auch sehr gut, wie wichtig es ist, bei wirklich jedem Konto ein anderes Passwort zu verwenden. Und die Passwörter sollten sich auch nicht ähnlich sein.
Das sollte mittlerweile auch bei den DAUs so angekommen sein, aber es ist nicht so auch bei meinen Protagonisten gibt es bloß ein Passwort so kurz und einfach wie möglich, wie zb. 123456aA und die Passwörter zu den Diensten haben dann meist noch dasselbe.
Deshalb gibt auch so viele Angebote im Darknet für Netflix, Disney+ und Co, scheinbar stört das auch die Hersteller nicht wirklich, wenn sie die Passwortvergabe einfach sicherer machen würden.
Maximal 10 Zeichen aus Zahlen, Buchstaben und Sonderzeichen, wäre doch ziemlich simpel.
Nicht maximal, sondern minimal 10 Zeichen.
Wobei längere Passworte zu bevorzugen sind.
Denn Länge schlägt Komplexität.
Ein Passwort nur aus Buchstaben und Zahlen mit 12 Stellen ist sicherer als eines mit Buchstaben, Zahlen und Sonderzeichen und nur 8 Stellen.
Phishing-Betrüger juckt weder für die Länge des Passworts noch die Komplexität.
Bitte weitergehen (und weitermachen wie bisher auch) – hier gibt es nichts (neues) zu sehen!
Ein Tropfen auf dem heißen Stein, (aber immerhin), ist 2FA überall, wo möglich, zu aktivieren. Da wo es nicht möglich ist, sollte man sich Gedanken machen, ob man den Anbieter noch nutzen mag.
Und dann nutzen die Leute 2FA auf dem gleichen Endgerät wie die eigentliche Anbieter-App/-Dienstleistung und ein Trojaner liest dann alles mit.