Wurde Mein Passwort Geleakt? So Prüfen Sie es in 5 Minuten
Datenlecks gehören mittlerweile zum traurigen Alltag des digitalen Lebens. Jeden Monat werden Millionen Zugangsdaten aus Hacks bekannter Dienste im Darknet gehandelt. Die entscheidende Frage lautet daher nicht ob, sondern wann Ihre Daten betroffen sind – und vor allem: Wie Sie es rechtzeitig erkennen. In dieser Anleitung erfahren Sie, wie Sie zuverlässig und sicher prüfen können, ob Ihr Passwort geleakt wurde, welche Tools vertrauenswürdig sind und wie Sie nach einem Leck richtig reagieren.
Was bedeutet ein „geleaktes Passwort" eigentlich?
Ein geleaktes Passwort ist ein Zugangsdatensatz – meist bestehend aus E-Mail-Adresse oder Nutzername und Passwort – der durch einen Sicherheitsvorfall in die Hände Dritter gelangt ist. Solche Datenbestände tauchen in Hackerforen, im Darknet oder in öffentlich zugänglichen Sammlungen auf.
Die Quellen sind vielfältig: Unternehmenshacks (z. B. LinkedIn 2021, Dropbox 2012, Adobe 2013), Phishing-Kampagnen, Malware auf infizierten Geräten oder unsicher konfigurierte Datenbanken. Die geleakten Daten werden anschließend zu sogenannten Combolists zusammengefasst und für automatisierte Angriffe wie Credential Stuffing verwendet.
Besonders gefährlich: Wenn Sie dasselbe Passwort bei mehreren Diensten nutzen, kann ein einziger Leak ausreichen, um Zugriff auf Ihr E-Mail-Konto, Online-Banking, Soziale Netzwerke und sogar berufliche Accounts zu erlangen.
Warum Sie regelmäßig Ihre Passwörter prüfen sollten
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Wiederverwendung von Passwörtern eine der häufigsten Ursachen für erfolgreiche Kontoübernahmen in Deutschland. Eine regelmäßige Überprüfung hat mehrere Vorteile:
- Frühwarnsystem: Sie erfahren oft schneller von einem Leck als durch offizielle Benachrichtigungen.
- Schadensbegrenzung: Je früher Sie ein Passwort ändern, desto kleiner ist das Risikofenster.
- Identitätsdiebstahl verhindern: Geleakte Zugangsdaten sind häufig der erste Schritt zu größeren Betrugsdelikten.
- DSGVO-Compliance: Für Selbstständige und Unternehmen ist die Prüfung Teil der Sorgfaltspflicht nach Art. 32 DSGVO.
Die besten Tools, um geleakte Passwörter zu prüfen
Es gibt mehrere seriöse Dienste, mit denen Sie kostenlos und sicher prüfen können, ob Ihre Daten in einem bekannten Leak auftauchen. Wichtig: Geben Sie Ihr Passwort niemals im Klartext auf einer fremden Website ein, ohne deren Funktionsweise zu verstehen.
1. Have I Been Pwned (HIBP)
Der bekannteste Dienst, betrieben vom australischen Sicherheitsexperten Troy Hunt. Die Datenbank umfasst über 12 Milliarden kompromittierte Konten aus mehr als 700 dokumentierten Datenlecks.
Funktionsweise: Sie geben Ihre E-Mail-Adresse ein und erhalten eine Liste aller Lecks, in denen sie auftaucht. Für Passwörter nutzt HIBP das sogenannte k-Anonymity-Verfahren: Nur die ersten fünf Zeichen des SHA-1-Hashes Ihres Passworts werden an den Server gesendet – das Passwort selbst verlässt nie Ihren Browser.
2. Identity Leak Checker des HPI
Das Hasso-Plattner-Institut in Potsdam betreibt einen kostenlosen Dienst, der speziell auf deutsche Nutzer zugeschnitten ist. Sie geben Ihre E-Mail-Adresse ein und erhalten eine ausführliche Auswertung per E-Mail – inklusive Informationen darüber, welche Datenarten (Passwort, Adresse, Telefonnummer, Kreditkartendaten) betroffen sind.
3. Firefox Monitor / Mozilla Monitor
Basiert auf der HIBP-Datenbank, bietet aber eine benutzerfreundlichere Oberfläche und eine Benachrichtigungsfunktion: Sie werden automatisch informiert, wenn Ihre E-Mail-Adresse in zukünftigen Lecks auftaucht.
4. Google Passwort-Check
Im Google-Konto unter passwords.google.com integriert. Prüft alle in Chrome gespeicherten Passwörter gegen bekannte Lecks und warnt zusätzlich vor schwachen oder mehrfach verwendeten Passwörtern.
Vergleich der wichtigsten Prüfdienste
| Dienst | Betreiber | Sprache | Benachrichtigung | Datenschutz |
|---|---|---|---|---|
| Have I Been Pwned | Troy Hunt (AU) | Englisch | Ja, per E-Mail | k-Anonymity, sehr hoch |
| Identity Leak Checker | HPI Potsdam (DE) | Deutsch | Ergebnis per E-Mail | DSGVO-konform |
| Mozilla Monitor | Mozilla (US) | Deutsch | Ja, automatisch | Hoch |
| Google Passwort-Check | Google (US) | Deutsch | Ja, in Echtzeit | Verschlüsselter Abgleich |
Schritt-für-Schritt: So prüfen Sie Ihr Passwort sicher
Folgen Sie dieser Anleitung, um in unter fünf Minuten Klarheit zu bekommen:
- Schritt 1 – HIBP aufrufen: Öffnen Sie
haveibeenpwned.comin Ihrem Browser. Achten Sie auf das Schloss-Symbol in der Adresszeile (HTTPS). - Schritt 2 – E-Mail-Adresse eingeben: Tragen Sie Ihre primäre E-Mail-Adresse ein und klicken Sie auf „pwned?". Wiederholen Sie den Vorgang für alle Adressen, die Sie nutzen (privat, beruflich, alte Konten).
- Schritt 3 – Ergebnis analysieren: Erscheint eine rote Meldung („Oh no — pwned!"), wurden Ihre Daten in mindestens einem Leck gefunden. Notieren Sie sich die Namen der betroffenen Dienste.
- Schritt 4 – Passwörter prüfen: Gehen Sie zu
haveibeenpwned.com/Passwordsund geben Sie jedes Passwort ein, das Sie aktuell verwenden. Achtung: Nur tun, wenn Sie der k-Anonymity-Methode vertrauen – Alternativ den lokalen Check im Passwortmanager nutzen. - Schritt 5 – HPI-Checker nutzen: Zusätzlich beim Hasso-Plattner-Institut prüfen, da dort manchmal Lecks dokumentiert sind, die HIBP nicht hat.
- Schritt 6 – Benachrichtigung aktivieren: Registrieren Sie sich für den Notify-Service, damit Sie zukünftig automatisch gewarnt werden.
Was tun, wenn Ihr Passwort geleakt wurde?
Ein positiver Treffer ist kein Grund zur Panik, aber zum sofortigen Handeln. Gehen Sie systematisch vor:
Sofortmaßnahmen (innerhalb von 24 Stunden)
- Passwort des betroffenen Dienstes ändern – mit einem neuen, einzigartigen Passwort von mindestens 16 Zeichen.
- Gleiche Passwörter überall ändern: Wenn Sie dasselbe Passwort bei anderen Diensten genutzt haben, ändern Sie es überall.
- Zwei-Faktor-Authentifizierung (2FA) aktivieren: Idealerweise per Authenticator-App oder Hardware-Token, nicht per SMS.
- E-Mail-Konto absichern: Ihr Haupt-Postfach ist der Schlüssel zu allem – hier hat 2FA höchste Priorität.
- Aktive Sitzungen beenden: In den Sicherheitseinstellungen aller wichtigen Dienste alle Geräte abmelden.
Mittelfristige Maßnahmen (innerhalb einer Woche)
- Passwortmanager einrichten: Bitwarden, KeePassXC oder 1Password generieren und speichern einzigartige Passwörter für jeden Dienst.
- Konten prüfen: Schauen Sie auf Kontobewegungen, Bestellungen und gesendete Nachrichten – gibt es verdächtige Aktivitäten?
- Schufa-Auskunft einholen: Bei Verdacht auf Identitätsdiebstahl die kostenlose Datenkopie nach Art. 15 DSGVO anfordern.
- Anzeige erstatten: Bei finanziellem Schaden oder Identitätsmissbrauch bei der Polizei (auch online möglich).
Falls Sie Anzeichen für eine umfassendere Kompromittierung Ihres Geräts bemerken, lesen Sie unseren Ratgeber „Ist Mein Handy Gehackt? 10 Warnzeichen und Was Sie Tun Können".
So erstellen Sie ein sicheres Passwort
Ein sicheres Passwort erfüllt vier Kriterien: Länge, Komplexität, Einzigartigkeit und Zufälligkeit. Das BSI empfiehlt aktuell mindestens 12 Zeichen bei hoher Komplexität oder 20+ Zeichen bei einfacherer Struktur (z. B. Passphrase).
Die drei besten Methoden
- Passwortmanager-Generator: Erzeugt zufällige Zeichenketten wie
v9!Kp#2mQx@7Lr. Die sicherste Option, da Sie sich nichts merken müssen. - Diceware-Passphrase: Fünf bis sieben zufällig gewählte Wörter, z. B.
tisch-mond-rakete-pinsel-gewitter. Sehr stark und merkbar. - Satz-Methode: Bilden Sie einen Satz und nehmen Sie die Anfangsbuchstaben plus Zahlen: „Ich trinke jeden Morgen 2 Tassen Kaffee mit Milch!" →
ItjM2TKmM!
Was Sie unbedingt vermeiden sollten
- Namen, Geburtsdaten, Telefonnummern
- Wörter aus dem Wörterbuch (auch in anderen Sprachen)
- Tastaturmuster wie
qwertz123 - Wiederverwendung über mehrere Dienste hinweg
- Speicherung in unverschlüsselten Textdateien oder Notiz-Apps
Zusätzliche Schutzmaßnahmen für Ihre digitale Identität
Die Prüfung auf geleakte Passwörter ist nur ein Baustein einer ganzheitlichen Sicherheitsstrategie. Folgende Maßnahmen reduzieren Ihr Angriffsrisiko erheblich:
Zwei-Faktor-Authentifizierung konsequent nutzen
Selbst wenn ein Angreifer Ihr Passwort hat, bleibt der Zugang ohne zweiten Faktor verwehrt. Bevorzugen Sie in dieser Reihenfolge: Hardware-Token (YubiKey) > Authenticator-App (Aegis, 2FAS) > SMS (am unsichersten, da SIM-Swapping möglich ist).
Tracking und Datensammlung reduzieren
Je weniger Daten über Sie kursieren, desto kleiner die Angriffsfläche. Datenbroker handeln aktiv mit Ihren Informationen – Details dazu in unserem Artikel Datenbroker: Wer Verkauft Ihre Daten und Wie Sie Sich Schützen. Zusätzlich sollten Sie Tracker auf Ihrem Handy blockieren, um das Profiling zu erschweren.
Sichere Netzwerke nutzen
Geben Sie Passwörter nie in offenen Netzwerken ein. Wie Sie sich konkret schützen, lesen Sie in unserem Leitfaden Öffentliches WLAN: Ist es Sicher?.
Sichere Links beim Teilen verwenden
Wenn Sie Login-Seiten oder vertrauliche Inhalte teilen, sollten die URLs nicht über Drittanbieter laufen, die Klickdaten sammeln. Dienste wie Lunyb bieten datenschutzfreundliche Kurz-URLs, ohne dass Tracker oder Werbenetzwerke mitlesen – ein kleiner, aber wirksamer Baustein für mehr Privatsphäre im Alltag.
Sensible Daten lokal verschlüsseln
Speichern Sie Wiederherstellungscodes, Ausweiskopien oder andere Dokumente in einem verschlüsselten Tresor, nicht in der Standard-Galerie oder Cloud.
Was sagt die DSGVO zu Datenlecks?
Nach Art. 33 und 34 DSGVO sind Unternehmen verpflichtet, Datenpannen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden – und bei hohem Risiko auch direkt an die Betroffenen. In Deutschland ist das die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bzw. die Landesdatenschutzbeauftragten.
Als Betroffener haben Sie Rechte:
- Auskunftsrecht (Art. 15): Sie können vom Unternehmen erfragen, welche Daten betroffen sind.
- Recht auf Schadensersatz (Art. 82): Bei nachweisbarem Schaden – auch immateriell – können Sie Entschädigung verlangen.
- Beschwerderecht (Art. 77): Sie können sich direkt bei der Datenschutzaufsicht beschweren.
FAQ – Häufige Fragen zu geleakten Passwörtern
Ist es sicher, mein Passwort auf Have I Been Pwned einzugeben?
Ja, sofern Sie die Passwort-Prüfseite nutzen. HIBP verwendet das k-Anonymity-Verfahren: Ihr Passwort wird lokal im Browser per SHA-1 gehasht, und nur die ersten fünf Zeichen des Hashes werden an den Server übertragen. Das vollständige Passwort verlässt Ihr Gerät nie. Trotzdem ist die sicherste Methode die Prüfung über einen Passwortmanager, der den Abgleich lokal durchführt.
Wie oft sollte ich meine Passwörter prüfen?
Mindestens alle drei Monate manuell, idealerweise aber durch einen automatischen Benachrichtigungsdienst wie Mozilla Monitor oder den integrierten Check in Ihrem Passwortmanager. So werden Sie sofort informiert, wenn ein neues Leck Ihre Daten betrifft.
Mein Passwort taucht in einem alten Leck auf – muss ich es trotzdem ändern?
Ja, unbedingt. Auch alte Leaks zirkulieren weiterhin in Combolists und werden für Credential-Stuffing-Angriffe genutzt. Wenn das geleakte Passwort noch aktiv ist – sei es beim ursprünglichen Dienst oder anderswo – ist es kompromittiert und muss ersetzt werden.
Reicht es, nur ein Zeichen am Passwort zu ändern?
Nein. Angreifer nutzen Tools, die Variationen bekannter Passwörter automatisch durchprobieren („Passwort123" → „Passwort124", „Passwort123!" usw.). Erstellen Sie ein komplett neues, einzigartiges Passwort mit einem Passwortmanager.
Was ist Credential Stuffing und wie schützt mich die Prüfung davor?
Beim Credential Stuffing testen Angreifer automatisiert geleakte Zugangsdaten bei zahlreichen Diensten in der Hoffnung, dass Nutzer dieselben Passwörter wiederverwenden. Indem Sie geleakte Passwörter frühzeitig identifizieren, ändern und nie wiederverwenden, machen Sie diese Angriffsmethode wirkungslos. Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz, selbst wenn ein Passwort kompromittiert ist.
Fazit
Die Prüfung, ob Ihr Passwort geleakt wurde, ist eine der wichtigsten und gleichzeitig einfachsten Sicherheitsmaßnahmen im digitalen Alltag. Mit Tools wie Have I Been Pwned und dem Identity Leak Checker des HPI haben Sie in wenigen Minuten Klarheit. Entscheidend ist jedoch, was danach passiert: einzigartige Passwörter für jeden Dienst, ein zuverlässiger Passwortmanager und konsequente Zwei-Faktor-Authentifizierung bilden die Grundlage einer modernen Sicherheitsstrategie. Datenlecks lassen sich nicht verhindern – aber Sie können dafür sorgen, dass sie für Sie folgenlos bleiben.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Gebrandete Kurzlinks Erstellen: Schritt-für-Schritt-Anleitung 2026
Gebrandete Kurzlinks mit eigener Domain stärken Markenvertrauen und Klickraten. Diese Anleitung zeigt Schritt für Schritt, wie Sie sie DSGVO-konform erstellen – inklusive DNS-Setup, SSL-Konfiguration und Best Practices für 2026.
Standort Sicher mit der Familie Teilen: Anleitung 2026
Den Standort mit Familienmitgliedern zu teilen, schafft Sicherheit – birgt aber auch Datenschutzrisiken. Dieser Leitfaden zeigt Ihnen, wie Sie Ihre Position DSGVO-konform und sicher mit Angehörigen teilen. Mit Vergleich der wichtigsten Dienste und praktischen Tipps für Eltern.
Tracker auf dem Handy Blockieren: Komplette Anleitung 2026
Tracker sammeln täglich unzählige Daten auf Ihrem Handy – oft ohne Ihr Wissen. Diese Anleitung zeigt Ihnen Schritt für Schritt, wie Sie Tracker auf iPhone und Android blockieren, welche Tools wirklich helfen und welche Einstellungen Sie sofort ändern sollten.
Fotos Verstecken mit einem Verschlüsselten Tresor: Komplette Anleitung 2026
Private Fotos gehören nicht in die ungeschützte Galerie. Mit einem verschlüsselten Foto-Tresor schützen Sie sensible Bilder vor neugierigen Blicken, Diebstahl und unbefugtem Zugriff. Diese Anleitung zeigt Schritt für Schritt, wie Sie Ihre Fotos sicher verstecken.