Wurde Mein Passwort Geleakt? So Prüfen Sie es 2026
Jeden Tag werden Millionen von Zugangsdaten im Internet veröffentlicht – häufig nach großen Datenpannen bei bekannten Diensten. Wenn Sie sich fragen, ob auch Ihre Passwörter betroffen sind, ist dieser Leitfaden für Sie. Wir zeigen Ihnen Schritt für Schritt, wie Sie zuverlässig prüfen können, ob Ihr Passwort geleakt wurde, welche Tools vertrauenswürdig sind und wie Sie bei einem Treffer richtig reagieren.
Was bedeutet "Passwort geleakt"?
Ein geleaktes Passwort ist ein Zugangscode, der durch ein Datenleck (Data Breach) bei einem Online-Dienst öffentlich oder in kriminellen Foren bekannt geworden ist. Solche Lecks entstehen meist durch Hackerangriffe auf Datenbanken von Unternehmen, durch unsichere Server-Konfigurationen oder durch Phishing-Kampagnen.
Sobald ein Passwort einmal in einer dieser Datenbanken auftaucht, wird es typischerweise in sogenannten "Combo Lists" weiterverbreitet und für Credential-Stuffing-Angriffe genutzt: Angreifer probieren die geleakten Zugangsdaten automatisiert bei Hunderten anderer Dienste aus. Wenn Sie dasselbe Passwort mehrfach verwenden, sind alle betroffenen Konten in Gefahr.
Warum sind geleakte Passwörter so gefährlich?
- Credential Stuffing: Automatisierte Anmeldeversuche bei zahlreichen Diensten.
- Identitätsdiebstahl: Kriminelle übernehmen Ihre E-Mail-, Bank- oder Social-Media-Konten.
- Erpressung und Sextortion: Geleakte Passwörter werden in Drohmails als "Beweis" verwendet.
- Finanzieller Schaden: Zahlungsdienste, Online-Shops oder Kryptowährungs-Wallets können kompromittiert werden.
Die besten Tools, um zu prüfen, ob ein Passwort geleakt wurde
Mehrere seriöse Dienste ermöglichen es, kostenlos und anonym zu prüfen, ob Ihre E-Mail-Adresse oder Ihr Passwort in einem bekannten Datenleck auftaucht. Im Folgenden finden Sie die wichtigsten Anlaufstellen.
1. Have I Been Pwned (HIBP)
Have I Been Pwned (haveibeenpwned.com) ist der bekannteste Dienst zur Überprüfung von Datenlecks, betrieben vom australischen Sicherheitsexperten Troy Hunt. Die Datenbank umfasst über 12 Milliarden geleakte Konten aus mehr als 700 Datenpannen.
So nutzen Sie HIBP:
- Öffnen Sie haveibeenpwned.com.
- Geben Sie Ihre E-Mail-Adresse in das Suchfeld ein.
- Klicken Sie auf "pwned?".
- Lesen Sie die Liste der betroffenen Dienste und Datenlecks.
Für die Passwortprüfung bietet HIBP unter haveibeenpwned.com/Passwords einen separaten Bereich. Dieser nutzt das k-Anonymity-Verfahren: Es wird nur der Anfang des SHA-1-Hashes übertragen, sodass Ihr Passwort niemals den Browser verlässt.
2. HPI Identity Leak Checker
Der Identity Leak Checker des Hasso-Plattner-Instituts (sec.hpi.de/ilc) ist eine deutsche Alternative, die besonders datenschutzfreundlich arbeitet. Sie geben Ihre E-Mail-Adresse ein und erhalten eine ausführliche Auswertung per E-Mail. Der Vorteil: Der Dienst gleicht auch personenbezogene Daten wie Name, Adresse oder Telefonnummer ab.
3. Firefox Monitor
Mozilla bietet mit Firefox Monitor (monitor.mozilla.org) einen weiteren kostenlosen Dienst, der auf der HIBP-Datenbank basiert. Praktisch: Sie können sich registrieren und werden automatisch benachrichtigt, sobald Ihre E-Mail-Adresse in einem neuen Leak auftaucht.
4. Google Passwort-Check
Wenn Sie Passwörter in Chrome oder im Google-Konto speichern, bietet Google unter passwords.google.com einen integrierten Sicherheitscheck. Dieser prüft alle gespeicherten Passwörter gleichzeitig auf Lecks, Wiederverwendung und Schwäche.
Vergleich der wichtigsten Leak-Checker
| Dienst | Anbieter | Datenschutz | Sprache | Benachrichtigung |
|---|---|---|---|---|
| Have I Been Pwned | Troy Hunt (AU) | Sehr hoch (k-Anonymity) | Englisch | Ja (kostenlos) |
| HPI Identity Leak Checker | Hasso-Plattner-Institut (DE) | Sehr hoch (DSGVO) | Deutsch | Per E-Mail |
| Firefox Monitor | Mozilla (US) | Hoch | Deutsch | Ja (kostenlos) |
| Google Passwort-Check | Google (US) | Mittel (Google-Konto nötig) | Deutsch | Automatisch |
Schritt-für-Schritt: So prüfen Sie systematisch alle Ihre Konten
Eine einmalige Prüfung reicht nicht aus. Sicherheitsexperten empfehlen einen mehrstufigen Prozess, um alle Konten zu überprüfen und langfristig abzusichern.
Schritt 1: Alle E-Mail-Adressen sammeln
Listen Sie alle E-Mail-Adressen auf, die Sie im Laufe der Jahre verwendet haben – auch alte oder selten genutzte. Häufig sind genau diese in alten Lecks enthalten.
Schritt 2: Jede Adresse bei HIBP und HPI prüfen
Geben Sie jede E-Mail-Adresse nacheinander bei Have I Been Pwned und beim HPI Identity Leak Checker ein. Notieren Sie sich, welche Dienste betroffen sind.
Schritt 3: Passwörter aus dem Browser exportieren und prüfen
Nutzen Sie den Passwort-Check Ihres Browsers oder Passwort-Managers (Bitwarden, 1Password, KeePass), um alle gespeicherten Passwörter automatisch gegen bekannte Leak-Datenbanken abzugleichen.
Schritt 4: Telefonnummer prüfen
Auch Telefonnummern können geleakt sein – etwa beim Facebook-Leak von 2021. HIBP bietet unter haveibeenpwned.com/PwnedWebsites eine Übersicht aller betroffenen Dienste.
Schritt 5: Benachrichtigungen aktivieren
Registrieren Sie sich bei Firefox Monitor oder HIBP für automatische Benachrichtigungen, damit Sie über zukünftige Lecks sofort informiert werden.
Was tun, wenn ein Passwort geleakt wurde?
Wenn die Prüfung ergeben hat, dass eines Ihrer Passwörter geleakt wurde, sollten Sie nicht in Panik geraten – aber zügig handeln. Befolgen Sie die folgenden Sofortmaßnahmen.
1. Sofort das betroffene Passwort ändern
Melden Sie sich beim betroffenen Dienst an und ändern Sie das Passwort umgehend. Verwenden Sie ein einzigartiges, starkes Passwort mit mindestens 16 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
2. Alle Konten mit demselben Passwort ändern
Falls Sie das geleakte Passwort auch bei anderen Diensten verwendet haben, müssen Sie diese ebenfalls ändern. Jedes Konto sollte ab sofort ein eigenes, einzigartiges Passwort haben.
3. Zwei-Faktor-Authentifizierung aktivieren
Aktivieren Sie überall, wo möglich, die Zwei-Faktor-Authentifizierung (2FA) – idealerweise mit einer Authenticator-App (z.B. Aegis, 2FAS) oder einem Hardware-Token (YubiKey). SMS-Codes sind weniger sicher.
4. Aktive Sitzungen beenden
Viele Dienste erlauben es, alle aktiven Sitzungen zu beenden. So werfen Sie potenzielle Angreifer aus Ihrem Konto.
5. Sicherheitsfragen und Wiederherstellungs-E-Mail prüfen
Überprüfen Sie, ob unbefugte Änderungen an Sicherheitsfragen oder Wiederherstellungs-E-Mail-Adressen vorgenommen wurden.
6. Bei Finanzdiensten: Konten überwachen
Wenn ein Bank- oder Zahlungsdienst betroffen ist, prüfen Sie Ihre Kontoauszüge sorgfältig und informieren Sie ggf. Ihre Bank.
Wie Sie zukünftige Passwort-Lecks vermeiden
Die beste Verteidigung gegen Passwort-Lecks ist eine konsequente Passwort-Hygiene. Mit den folgenden Maßnahmen reduzieren Sie das Risiko drastisch.
Verwenden Sie einen Passwort-Manager
Ein Passwort-Manager generiert für jeden Dienst ein einzigartiges, sicheres Passwort und speichert es verschlüsselt. Empfehlenswerte Lösungen:
- Bitwarden: Open Source, kostenlos, in Deutschland gehostet möglich.
- 1Password: Sehr benutzerfreundlich, kostenpflichtig.
- KeePassXC: Lokal, keine Cloud, maximale Kontrolle.
Nutzen Sie Passkeys, wo möglich
Passkeys ersetzen Passwörter durch kryptografische Schlüsselpaare und sind immun gegen Phishing und Leaks. Apple, Google und Microsoft unterstützen Passkeys mittlerweile flächendeckend.
Aktivieren Sie überall 2FA
Auch wenn Ihr Passwort geleakt wird: Mit aktivem zweitem Faktor kommen Angreifer nicht in Ihr Konto.
Verwenden Sie Alias-E-Mail-Adressen
Dienste wie SimpleLogin, Addy.io oder Apple "Mit Apple anmelden" erlauben es, für jeden Dienst eine eigene E-Mail-Adresse zu nutzen. So wissen Sie sofort, woher ein Leak stammt.
Schützen Sie Links und sensible Daten
Beim Teilen von Links sollten Sie auf datenschutzfreundliche Dienste setzen, die keine unnötigen Tracking-Daten sammeln. Ein vertrauenswürdiger URL-Kürzer wie Lunyb bietet sichere, DSGVO-konforme Kurzlinks ohne aggressives Tracking – ideal, wenn Sie Links über E-Mail oder Social Media verbreiten, ohne Ihre Empfänger oder sich selbst zusätzlichen Risiken auszusetzen.
Häufige Datenlecks der letzten Jahre
Um die Dimension zu verdeutlichen, hier eine Auswahl der größten Datenlecks, die wahrscheinlich auch deutsche Nutzer betreffen:
- LinkedIn (2021): 700 Millionen Datensätze.
- Facebook (2021): 533 Millionen Telefonnummern und Profildaten.
- Adobe (2013): 153 Millionen Konten.
- Dropbox (2012): 68 Millionen Konten.
- MyFitnessPal (2018): 144 Millionen Konten.
- Deezer (2022): 257 Millionen Konten.
Wenn Sie einen dieser Dienste je genutzt haben, ist die Wahrscheinlichkeit hoch, dass Ihre Daten im Umlauf sind.
Rechtliche Lage in Deutschland: DSGVO und BfDI
Nach Artikel 33 DSGVO sind Unternehmen verpflichtet, Datenpannen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde – in Deutschland in der Regel der/die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die Landesdatenschutzbehörde – zu melden. Sind Sie als Nutzer betroffen, muss Sie das Unternehmen ebenfalls informieren, wenn ein hohes Risiko für Ihre Rechte besteht (Art. 34 DSGVO).
Sie haben außerdem das Recht auf:
- Auskunft (Art. 15 DSGVO): Welche Daten werden über Sie gespeichert?
- Löschung (Art. 17 DSGVO): "Recht auf Vergessenwerden".
- Schadenersatz (Art. 82 DSGVO): Bei nachweisbarem Schaden durch das Leck.
Bei groben Verstößen können Sie eine Beschwerde bei der zuständigen Datenschutzaufsicht einreichen.
Weiterführende Sicherheitsthemen
Wenn Sie Ihre digitale Sicherheit umfassend verbessern möchten, empfehlen wir Ihnen folgende weiterführende Artikel aus unserem Blog:
- Phishing-Angriffe Erkennen und Vermeiden: Der Komplette Leitfaden 2026
- Online-Privatsphäre Schützen: Der Komplette Leitfaden 2026
- Fotos Verstecken mit einem Verschlüsselten Tresor: Anleitung 2026
FAQ: Häufige Fragen zur Passwort-Leak-Prüfung
Ist es sicher, mein Passwort auf Have I Been Pwned einzugeben?
Ja, HIBP nutzt das k-Anonymity-Verfahren: Es werden nur die ersten fünf Zeichen des SHA-1-Hashes Ihres Passworts an den Server übertragen. Das vollständige Passwort verlässt niemals Ihren Browser. Der Dienst wird von Sicherheitsexperten weltweit empfohlen und ist Open Source.
Wie oft sollte ich meine Konten auf Lecks prüfen?
Mindestens alle drei bis sechs Monate. Noch besser: Aktivieren Sie automatische Benachrichtigungen bei Firefox Monitor oder HIBP, damit Sie sofort informiert werden, sobald Ihre E-Mail-Adresse in einem neuen Leak auftaucht.
Was tue ich, wenn mein Passwort in einem Leak auftaucht, das schon Jahre alt ist?
Auch bei alten Lecks sollten Sie das betroffene Passwort sofort ändern – besonders dann, wenn Sie es noch irgendwo verwenden. Geleakte Passwörter werden jahrelang in kriminellen Foren weiterverkauft und für Credential-Stuffing-Angriffe genutzt.
Kann ich auch prüfen, ob meine Telefonnummer geleakt wurde?
Ja, Have I Been Pwned bietet seit dem Facebook-Leak von 2021 die Möglichkeit, auch Telefonnummern zu prüfen. Geben Sie die Nummer im internationalen Format ein (z.B. +49170...).
Hilft ein Passwort-Manager wirklich gegen Leaks?
Ein Passwort-Manager verhindert Leaks nicht direkt, aber er reduziert den Schaden erheblich: Wenn jedes Konto ein einzigartiges Passwort hat, bleibt bei einem Leak nur dieses eine Konto betroffen – nicht alle Ihre Online-Identitäten. Zusätzlich warnen moderne Passwort-Manager aktiv vor kompromittierten Passwörtern.
Fazit
Die Prüfung, ob Ihre Passwörter geleakt wurden, ist heute einfacher denn je – und unverzichtbar. Mit Diensten wie Have I Been Pwned, dem HPI Identity Leak Checker oder Firefox Monitor erhalten Sie binnen Sekunden Klarheit. Wichtiger als die Prüfung selbst ist jedoch die Konsequenz: Verwenden Sie einen Passwort-Manager, aktivieren Sie 2FA überall, setzen Sie auf Passkeys und prüfen Sie regelmäßig alle Ihre Konten. So bleiben Sie auch im Jahr 2026 und darüber hinaus auf der sicheren Seite.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Link-in-Bio-Seite Erstellen: Schritt-für-Schritt Anleitung 2026
Eine Link-in-Bio-Seite bündelt alle wichtigen Links an einer zentralen Stelle und ist heute unverzichtbar für Creator und Unternehmen. In dieser Anleitung erfahren Sie Schritt für Schritt, wie Sie eine professionelle, DSGVO-konforme Link-in-Bio-Seite erstellen und erfolgreich vermarkten.
Fotos Verstecken mit einem Verschlüsselten Tresor: Anleitung 2026
Private Fotos gehören zu den sensibelsten Daten auf Ihren Geräten. Erfahren Sie in dieser umfassenden Anleitung, wie Sie Bilder mit einem verschlüsselten Tresor wirksam vor Diebstahl und unbefugtem Zugriff schützen – auf Android, iOS, Windows und Mac.
Daten von Datenhändlern Entfernen: Komplette Anleitung 2026
Datenhändler sammeln und verkaufen täglich Ihre persönlichen Informationen. Diese Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie nach DSGVO Ihre Daten kostenlos löschen lassen – mit Musterbrief, Behördenliste und 30-Tage-Plan.
QR Code Kostenlos Erstellen: Anleitung 2026 – Schritt für Schritt
QR-Codes erstellen Sie in wenigen Minuten kostenlos selbst. Diese Anleitung zeigt Schritt für Schritt, wie Sie statische und dynamische QR-Codes erstellen, sicher gestalten und DSGVO-konform einsetzen.