facebook-pixel

Wurde Mein Passwort Geleakt? So Prüfen Sie es Sicher (2026)

L
Lunyb Sicherheitsteam
··8 min read

Datenlecks gehören zu den größten Bedrohungen der digitalen Welt. Jedes Jahr werden Milliarden von Zugangsdaten aus gehackten Diensten wie LinkedIn, Adobe, Dropbox oder Facebook im Internet veröffentlicht. Die Wahrscheinlichkeit, dass mindestens eines Ihrer Passwörter in einer solchen Datenbank auftaucht, ist hoch – selbst dann, wenn Sie noch nie direkt Opfer eines Angriffs geworden sind. In diesem Leitfaden erfahren Sie, wie Sie zuverlässig prüfen, ob Ihr Passwort geleakt wurde, welche Werkzeuge empfehlenswert sind und wie Sie im Ernstfall richtig reagieren.

Was bedeutet es, wenn ein Passwort geleakt wurde?

Ein geleaktes Passwort ist ein Zugangsdatum, das durch einen Sicherheitsvorfall bei einem Online-Dienst in fremde Hände gelangt ist. Cyberkriminelle veröffentlichen oder verkaufen solche Datensätze anschließend in Untergrundforen oder im Darknet.

Ein Datenleck entsteht meist auf folgende Weise:

  1. Hackerangriff auf einen Anbieter: Angreifer verschaffen sich Zugriff auf die Datenbank eines Unternehmens.
  2. Unsichere Speicherung: Passwörter werden im Klartext oder mit veralteten Hash-Verfahren gespeichert.
  3. Veröffentlichung der Daten: Die Datensätze werden anschließend geteilt, verkauft oder gehandelt.
  4. Credential Stuffing: Angreifer testen die kompromittierten Kombinationen automatisiert bei anderen Diensten.

Besonders gefährlich ist es, wenn Sie dasselbe Passwort für mehrere Konten verwenden. Ein einziger Leak reicht dann aus, um Ihre gesamte digitale Identität zu gefährden.

Warum Sie regelmäßig prüfen sollten, ob Ihr Passwort geleakt wurde

Die regelmäßige Überprüfung Ihrer Zugangsdaten ist kein Luxus, sondern eine grundlegende Maßnahme der digitalen Selbstverteidigung. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Identitätsdiebstahl und Kontoübernahmen die häufigsten Folgen kompromittierter Passwörter.

Diese Risiken bestehen konkret:

  • Finanzieller Schaden: Zugriff auf Online-Banking, PayPal oder Shopping-Konten.
  • Identitätsdiebstahl: Missbrauch Ihres Namens für Betrug oder illegale Aktivitäten.
  • Erpressung: Sextortion-Mails, in denen mit angeblich kompromittierenden Informationen gedroht wird.
  • Verlust wichtiger Konten: E-Mail-Postfächer sind besonders wertvoll, da sie zum Zurücksetzen anderer Passwörter dienen.
  • Reputationsschaden: Übernahme von Social-Media-Konten für Spam oder Betrug in Ihrem Namen.

Passwort geleakt prüfen: Die besten Tools und Dienste

Es gibt mehrere seriöse Dienste, mit denen Sie prüfen können, ob Ihre E-Mail-Adresse oder Ihr Passwort in bekannten Datenlecks aufgetaucht ist. Diese Anbieter arbeiten mit riesigen, ständig aktualisierten Datenbanken.

Vergleich der wichtigsten Prüfdienste

Dienst Anbieter Prüft E-Mail Prüft Passwort Sprache Datenschutz
Have I Been Pwned Troy Hunt (AUS) Ja Ja (via k-Anonymität) Englisch Sehr hoch
HPI Identity Leak Checker Hasso-Plattner-Institut (DE) Ja Nein Deutsch DSGVO-konform
Firefox Monitor Mozilla Ja Nein Deutsch Hoch
Google Passwort-Check Google Ja Ja (im Chrome-Konto) Deutsch Mittel
BSI-Sicherheitstest Bundesamt für Sicherheit (DE) Ja Nein Deutsch Sehr hoch

Have I Been Pwned (HIBP)

Der bekannteste Dienst wurde vom australischen Sicherheitsforscher Troy Hunt entwickelt. Die Datenbank enthält über 12 Milliarden kompromittierte Datensätze. Sie können sowohl E-Mail-Adressen als auch einzelne Passwörter prüfen. Der Passwort-Check nutzt das Verfahren der k-Anonymität: Es werden nur die ersten fünf Zeichen des SHA-1-Hashes übertragen, sodass Ihr Passwort niemals vollständig gesendet wird.

HPI Identity Leak Checker

Der deutsche Dienst des Hasso-Plattner-Instituts ist eine ausgezeichnete Alternative für datenschutzbewusste Nutzer. Sie geben lediglich Ihre E-Mail-Adresse ein und erhalten die Ergebnisse per E-Mail zugeschickt. Der Dienst arbeitet vollständig nach DSGVO-Vorgaben und ist kostenlos.

Google Passwort-Check

Wer Chrome oder Android nutzt und Passwörter im Google-Konto speichert, kann den integrierten Passwort-Check verwenden. Er warnt automatisch vor kompromittierten, schwachen oder mehrfach verwendeten Passwörtern.

Schritt-für-Schritt-Anleitung: So prüfen Sie Ihr Passwort

Die Prüfung dauert nur wenige Minuten. Gehen Sie systematisch vor, um alle wichtigen Konten zu überprüfen.

Schritt 1: E-Mail-Adresse überprüfen

  1. Öffnen Sie haveibeenpwned.com in Ihrem Browser.
  2. Geben Sie Ihre primäre E-Mail-Adresse in das Suchfeld ein.
  3. Klicken Sie auf "pwned?" und warten Sie das Ergebnis ab.
  4. Sind Treffer vorhanden, sehen Sie eine Liste der betroffenen Dienste und den Zeitpunkt des Leaks.
  5. Wiederholen Sie den Vorgang für alle weiteren E-Mail-Adressen, die Sie nutzen.

Schritt 2: Einzelne Passwörter prüfen

  1. Rufen Sie haveibeenpwned.com/Passwords auf.
  2. Geben Sie das zu prüfende Passwort ein (die Übertragung erfolgt anonymisiert).
  3. Sie sehen, wie oft dieses Passwort in bekannten Leaks aufgetaucht ist.
  4. Auch wenn Sie "nur" einen Treffer sehen, sollten Sie das Passwort sofort ersetzen.

Schritt 3: Deutsche Alternative nutzen

  1. Besuchen Sie sec.hpi.de/ilc.
  2. Geben Sie Ihre E-Mail-Adresse ein.
  3. Sie erhalten innerhalb weniger Minuten eine detaillierte E-Mail mit allen Funden.
  4. Die E-Mail zeigt, welche persönlichen Daten (Passwort, Adresse, Telefonnummer, Geburtsdatum) betroffen sind.

Schritt 4: Browser-integrierte Prüfungen aktivieren

Sowohl Google Chrome als auch Mozilla Firefox und Apple Safari bieten inzwischen eigene Passwort-Checks an. Aktivieren Sie diese in den Einstellungen unter "Passwörter" oder "Sicherheit". Sie erhalten dann automatisch Warnungen, wenn eines Ihrer gespeicherten Passwörter in einem Leak auftaucht.

Was tun, wenn Ihr Passwort geleakt wurde?

Ein Fund im Leak-Checker ist kein Grund zur Panik, aber ein klarer Handlungsauftrag. Reagieren Sie schnell und methodisch.

Sofortmaßnahmen in der richtigen Reihenfolge

  1. Passwort ändern: Ersetzen Sie das betroffene Passwort sofort – zuerst bei dem gehackten Dienst.
  2. Alle Dienste mit gleichem Passwort: Ändern Sie das Passwort überall, wo Sie es wiederverwendet haben.
  3. Zwei-Faktor-Authentifizierung aktivieren: Nutzen Sie eine Authenticator-App (z. B. Aegis, Authy, Google Authenticator).
  4. Kontobewegungen prüfen: Kontrollieren Sie Bank- und Zahlungsdienstkonten auf verdächtige Aktivitäten.
  5. Sitzungen beenden: Loggen Sie sich in den Sicherheitseinstellungen aus allen aktiven Geräten aus.
  6. E-Mail-Postfach absichern: Ihr E-Mail-Konto ist der Generalschlüssel – schützen Sie es besonders sorgfältig.
  7. Wiederherstellungsinformationen aktualisieren: Prüfen Sie, ob Angreifer alternative E-Mail-Adressen oder Telefonnummern hinterlegt haben.

Bei Verdacht auf Identitätsdiebstahl

Wenn Sie den Eindruck haben, dass Ihre Identität bereits missbraucht wurde – etwa durch unautorisierte Bestellungen oder Vertragsabschlüsse in Ihrem Namen – sollten Sie zusätzlich:

  • Anzeige bei der Polizei erstatten (auch online über die jeweilige Landespolizei möglich).
  • Betroffene Anbieter schriftlich informieren.
  • Eine Auskunft bei der SCHUFA einholen und ggf. einen Sperrvermerk beantragen.
  • Den Bundesbeauftragten für den Datenschutz (BfDI) informieren, wenn ein Unternehmen seine Meldepflicht nach Art. 33 DSGVO verletzt hat.

Weitere Informationen zu betrügerischen Kontaktversuchen finden Sie in unserem Ratgeber Eine Betrugsnummer melden.

Sichere Passwörter erstellen: So schützen Sie sich langfristig

Die beste Verteidigung gegen Datenlecks ist eine solide Passwortstrategie. Ein einziges Passwort für viele Konten ist heute nicht mehr vertretbar.

Merkmale eines starken Passworts

  • Mindestlänge: Mindestens 12, idealerweise 16 Zeichen oder mehr.
  • Zeichenvielfalt: Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Keine Wörterbuch-Begriffe: Namen, Geburtsdaten oder Lieblingswörter vermeiden.
  • Einzigartigkeit: Jedes Konto benötigt ein eigenes Passwort.
  • Zufälligkeit: Verwenden Sie einen Generator, keine ausgedachten Muster.

Passwortmanager: Die praktische Lösung

Da niemand sich 100 einzigartige Zufallspasswörter merken kann, ist ein Passwortmanager unverzichtbar. Empfehlenswerte Lösungen sind:

Passwortmanager Modell Besonderheit Preis
Bitwarden Open Source Selbst hostbar, Cloud-Sync Kostenlos / ab 10 €/Jahr
KeePassXC Open Source, lokal Keine Cloud, volle Kontrolle Kostenlos
1Password Kommerziell Benutzerfreundlich, Familienkonten ab 2,99 €/Monat
Proton Pass Kommerziell (CH) Ende-zu-Ende verschlüsselt Kostenlos / Premium ab 4,99 €

Zwei-Faktor-Authentifizierung (2FA)

Auch das stärkste Passwort kann geleakt werden. Die Zwei-Faktor-Authentifizierung fügt eine zweite Sicherheitsebene hinzu. Bevorzugen Sie:

  1. Hardware-Sicherheitsschlüssel (z. B. YubiKey, Nitrokey) – höchste Sicherheit.
  2. Authenticator-Apps (z. B. Aegis, Authy) – guter Kompromiss aus Sicherheit und Komfort.
  3. SMS-Codes – nur als letzte Option, da SIM-Swapping-Angriffe möglich sind.

Weitere Sicherheitsmaßnahmen für Ihren digitalen Alltag

Passwortschutz ist nur ein Baustein einer umfassenden Sicherheitsstrategie. Achten Sie zusätzlich auf folgende Punkte:

Phishing-Angriffe erkennen

Viele Zugangsdaten werden nicht durch Datenlecks, sondern durch gezielte Phishing-Angriffe gestohlen. Prüfen Sie Links in E-Mails sorgfältig, bevor Sie darauf klicken. Kurzlinks können ein Risiko darstellen, wenn sie das eigentliche Ziel verschleiern. Seriöse Dienste wie Lunyb bieten daher Vorschaufunktionen und Sicherheitsprüfungen für gekürzte URLs, sodass Sie das tatsächliche Ziel vor dem Klick erkennen können. Mehr dazu erfahren Sie in unserem Leitfaden URL kürzen – so funktioniert es richtig.

Netzwerksicherheit verbessern

  • Nutzen Sie verschlüsseltes DNS (DoH oder DoT), um Ihre Anfragen vor Mitlesen zu schützen.
  • Aktivieren Sie in Ihrem Router WPA3-Verschlüsselung.
  • Meiden Sie öffentliche WLANs für sensible Vorgänge oder nutzen Sie ausschließlich HTTPS-Verbindungen.
  • Halten Sie Betriebssystem und Browser stets aktuell.

Datenschutzrechtliche Aspekte

Nach der DSGVO sind Unternehmen verpflichtet, Datenlecks binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Sind Sie als betroffene Person direkt gefährdet, muss der Anbieter Sie zusätzlich persönlich informieren. Weitere Informationen zu den Unterschieden zwischen deutschem und österreichischem Datenschutzrecht finden Sie in unserem Artikel DSG vs DSGVO.

Häufig gestellte Fragen (FAQ)

Ist es sicher, mein Passwort auf einer Website zu prüfen?

Bei seriösen Diensten wie Have I Been Pwned oder dem HPI Identity Leak Checker ja. Diese verwenden Verfahren wie k-Anonymität, bei denen Ihr Passwort niemals vollständig übertragen wird. Meiden Sie jedoch unbekannte Websites, die Passwörter im Klartext abfragen – dies könnte selbst ein Angriffsversuch sein.

Wie oft sollte ich prüfen, ob mein Passwort geleakt wurde?

Wir empfehlen eine manuelle Prüfung alle drei bis sechs Monate. Zusätzlich können Sie sich bei Have I Been Pwned oder Firefox Monitor kostenlos für automatische Benachrichtigungen anmelden, sodass Sie sofort informiert werden, wenn Ihre E-Mail in einem neuen Leak auftaucht.

Muss ich alle Passwörter ändern, wenn eines geleakt wurde?

Nicht zwingend alle – aber alle Passwörter, die identisch oder sehr ähnlich zum geleakten Passwort sind. Wenn Sie einen Passwortmanager mit einzigartigen Passwörtern pro Dienst nutzen, reicht es, das betroffene Passwort zu ersetzen. Prüfen Sie zusätzlich, ob 2FA für alle wichtigen Konten aktiviert ist.

Was bedeutet es, wenn meine E-Mail-Adresse geleakt wurde, aber nicht mein Passwort?

Das bedeutet, dass Ihre E-Mail-Adresse in einer Datenbank auftaucht, das zugehörige Passwort jedoch nicht (oder nur verschlüsselt) im Leak enthalten war. Ihr Risiko ist geringer, aber nicht null: Angreifer können Ihre Adresse für gezielte Phishing-Angriffe (Spear-Phishing) nutzen. Bleiben Sie wachsam bei verdächtigen E-Mails.

Sind kostenpflichtige Passwort-Check-Dienste besser als kostenlose?

Nicht unbedingt. Die kostenlosen Dienste von Have I Been Pwned, HPI und Mozilla nutzen die gleichen oder ähnliche Datenbanken wie viele kommerzielle Anbieter. Kostenpflichtige Dienste bieten oft zusätzliche Funktionen wie Darknet-Monitoring oder Identitätsschutzversicherungen – diese lohnen sich vor allem für Unternehmen oder besonders exponierte Personen.

Fazit

Zu prüfen, ob Ihr Passwort geleakt wurde, ist heute so grundlegend wie das Abschließen der Haustür. Mit Tools wie Have I Been Pwned oder dem HPI Identity Leak Checker erhalten Sie in wenigen Minuten Klarheit. Noch wichtiger ist jedoch die langfristige Strategie: einzigartige Passwörter für jedes Konto, ein zuverlässiger Passwortmanager und die konsequente Nutzung der Zwei-Faktor-Authentifizierung. Wer diese drei Prinzipien beherzigt, senkt sein Risiko einer Kontoübernahme drastisch – selbst wenn ein Dienst einmal gehackt wird. Nehmen Sie sich noch heute zehn Minuten Zeit und überprüfen Sie Ihre wichtigsten E-Mail-Adressen. Es könnte einer der wertvollsten Zeitinvestitionen in Ihre digitale Sicherheit sein.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles