facebook-pixel

Wurde Mein Passwort Geleakt? So Prüfen Sie es Sicher (2026)

L
Lunyb Sicherheitsteam
··9 min read

Milliarden von Zugangsdaten kursieren im Darknet – und die Wahrscheinlichkeit ist hoch, dass auch Ihre dabei sind. Jeder Onlinedienst, bei dem Sie sich jemals registriert haben, kann Ziel eines Datenlecks werden. Die entscheidende Frage lautet daher nicht mehr ob, sondern welche Ihrer Passwörter bereits kompromittiert wurden. In diesem Leitfaden zeigen wir Ihnen, wie Sie das schnell, sicher und kostenlos herausfinden – und was Sie im Ernstfall sofort tun müssen.

Was bedeutet es, wenn ein Passwort „geleakt“ wurde?

Ein geleaktes Passwort ist ein Passwort, das durch ein Datenleck bei einem Onlinedienst in die Hände Unbefugter gelangt ist und meist in Datenbanken im Darknet oder auf Hackerforen zirkuliert. Der Begriff „Leak“ (englisch für „Leck“) beschreibt dabei jede Form des ungewollten Datenabflusses – ob durch Hackerangriffe, Fehlkonfigurationen, Insider-Diebstahl oder Phishing.

Zu den bekanntesten Vorfällen der letzten Jahre gehören:

  • LinkedIn (2021): 700 Millionen Nutzerdatensätze
  • Facebook (2021): 533 Millionen Datensätze inklusive Telefonnummern
  • Yahoo (2013, veröffentlicht 2016): 3 Milliarden Konten
  • Deezer, Twitter, LastPass, T-Mobile: zahlreiche Leaks 2022–2024

Sobald ein Passwort einmal öffentlich ist, versuchen Angreifer per Credential Stuffing automatisiert, dieselbe Kombination aus E-Mail und Passwort bei Hunderten weiteren Diensten (Amazon, PayPal, Google, Banking) durchzuprobieren. Wer dasselbe Passwort mehrfach nutzt, ist besonders gefährdet.

Die 5 besten Dienste, um geleakte Passwörter zu prüfen

Es gibt mehrere seriöse, kostenlose Plattformen, mit denen Sie zuverlässig prüfen können, ob Ihre E-Mail-Adresse oder Ihr Passwort in bekannten Datenlecks aufgetaucht ist. Wir stellen die wichtigsten vor.

1. Have I Been Pwned (HIBP)

Das von Sicherheitsforscher Troy Hunt betriebene Portal haveibeenpwned.com ist der De-facto-Standard. Es enthält über 12 Milliarden kompromittierte Datensätze aus mehr als 700 bekannten Datenlecks.

  • Suche per E-Mail-Adresse oder Telefonnummer
  • Separater Passwort-Check über sicheres k-Anonymity-Verfahren
  • Kostenloser Benachrichtigungsdienst bei neuen Leaks

2. Firefox Monitor / Mozilla Monitor

Der Dienst von Mozilla nutzt die HIBP-Datenbank, bietet aber eine benutzerfreundlichere Oberfläche und einen kostenpflichtigen „Monitor Plus"-Tarif, der auch Data-Broker-Websites überprüft.

3. HPI Identity Leak Checker

Das Hasso-Plattner-Institut (HPI) der Universität Potsdam betreibt unter sec.hpi.de/ilc einen deutschsprachigen Leak-Checker. Vorteil: Die Ergebnisse werden per E-Mail zugestellt und die Datenbank umfasst über 13 Milliarden Datensätze aus deutschen und internationalen Leaks.

4. Google Passwort-Check

Wenn Sie den Google-Passwortmanager nutzen, prüft dieser im Hintergrund automatisch, ob Ihre gespeicherten Zugangsdaten in bekannten Leaks vorkommen. Zugang: passwords.google.com → „Passwort-Check".

5. Integrierte Prüfungen in Passwortmanagern

Moderne Passwortmanager wie Bitwarden, 1Password, Dashlane oder KeePassXC bieten eingebaute Leak-Prüfungen, die alle gespeicherten Passwörter regelmäßig gegen HIBP oder eigene Datenbanken abgleichen.

Vergleich: Welcher Leak-Checker ist der richtige?

DienstSpracheAnbieterDatenmengeBenachrichtigungKostenlos
Have I Been PwnedEnglischTroy Hunt (AUS)12+ Mrd.JaJa
Mozilla MonitorDeutschMozilla (US)12+ Mrd.JaBasis kostenlos
HPI Identity Leak CheckerDeutschHPI Potsdam (DE)13+ Mrd.Nein (nur einmalig)Ja
Google Passwort-CheckDeutschGoogle4+ Mrd.JaJa
Bitwarden / 1PasswordDeutschDiversevia HIBPJaTeils

Unsere Empfehlung

Für einen schnellen, gründlichen Erst-Check empfehlen wir die Kombination aus Have I Been Pwned (breiteste Datenbasis, sofortige Ergebnisse) und dem HPI Identity Leak Checker (deutsche Datenschutzstandards, ergänzende Datenbank). Für den laufenden Schutz sollten Sie einen Passwortmanager mit integrierter Leak-Überwachung einsetzen.

Schritt-für-Schritt: So prüfen Sie Ihre Passwörter

Folgen Sie dieser Anleitung, um systematisch alle wichtigen Konten zu überprüfen. Der gesamte Vorgang dauert etwa 10–15 Minuten.

  1. Öffnen Sie haveibeenpwned.com in einem aktuellen Browser (idealerweise Firefox oder Brave im privaten Modus).
  2. Geben Sie Ihre primäre E-Mail-Adresse ein und klicken Sie auf „pwned?".
  3. Prüfen Sie die Ergebnisliste: Bei einem Treffer sehen Sie, in welchen Leaks Ihre Adresse aufgetaucht ist und welche Datenkategorien betroffen waren (Passwörter, Adressen, Telefonnummern, Kreditkartendaten usw.).
  4. Wiederholen Sie den Vorgang für jede weitere E-Mail-Adresse, die Sie nutzen oder je genutzt haben (privat, geschäftlich, alte Konten).
  5. Testen Sie zusätzlich das Passwort selbst auf haveibeenpwned.com/Passwords. Ihr Passwort wird dabei mittels k-Anonymity gehasht – der volle Hash verlässt Ihren Browser nie.
  6. Nutzen Sie den HPI Identity Leak Checker als zweite Quelle. Das Ergebnis erhalten Sie per E-Mail.
  7. Aktivieren Sie den Benachrichtigungsdienst („Notify me" bei HIBP), um bei künftigen Leaks automatisch informiert zu werden.
  8. Dokumentieren Sie kompromittierte Konten in einer Liste – diese arbeiten Sie im nächsten Schritt ab.

Was tun, wenn Ihr Passwort geleakt wurde? Der Sofort-Notfallplan

Ein positiver Leak-Befund ist kein Grund zur Panik – aber schnelles, systematisches Handeln ist entscheidend. Nutzen Sie folgende Reihenfolge:

Innerhalb der ersten Stunde

  1. Wechseln Sie sofort das Passwort des betroffenen Kontos. Nutzen Sie ein völlig neues, einzigartiges Passwort mit mindestens 16 Zeichen.
  2. Ändern Sie das Passwort überall dort, wo Sie dieselbe Kombination verwendet haben. Credential Stuffing ist die Hauptgefahr nach einem Leak.
  3. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) – idealerweise mit einer Authenticator-App (Aegis, 2FAS, Google Authenticator) statt SMS.
  4. Melden Sie sich aus allen aktiven Sitzungen ab (bei Google, Facebook, Microsoft etc. gibt es entsprechende Funktionen in den Sicherheitseinstellungen).

Innerhalb von 24 Stunden

  1. Prüfen Sie Kontobewegungen bei Banking-, PayPal- und Shopping-Konten auf verdächtige Aktivitäten.
  2. Kontrollieren Sie E-Mail-Weiterleitungen und Filterregeln in Ihrem Postfach – Angreifer richten diese gerne heimlich ein.
  3. Prüfen Sie verknüpfte Apps und Drittanbieter-Zugriffe und widerrufen Sie unbekannte Berechtigungen.
  4. Informieren Sie ggf. Ihre Bank, wenn Zahlungsdaten betroffen sind, und lassen Sie Karten sperren.

Innerhalb einer Woche

  1. Führen Sie einen vollständigen Passwort-Reset für alle wichtigen Konten durch, unterstützt durch einen Passwortmanager.
  2. Löschen Sie Konten, die Sie nicht mehr nutzen – jedes ungenutzte Konto ist eine potenzielle Angriffsfläche.
  3. Prüfen Sie, ob eine Meldung an die Datenschutzbehörde sinnvoll ist, falls Sie als Unternehmen betroffen sind. Details dazu finden Sie in unserem Leitfaden zur Beschwerde bei Datenschutzbehörden.

Sichere Passwörter erstellen: Best Practices für 2026

Ein sicheres Passwort ist heute weniger eine Frage der Komplexität als der Länge und Einzigartigkeit. Das BSI und das BfDI empfehlen folgende Grundsätze:

Die 5 goldenen Regeln

  1. Mindestens 16 Zeichen – Länge schlägt Komplexität. Ein 20-stelliges Passwort mit nur Kleinbuchstaben ist sicherer als ein 8-stelliges mit Sonderzeichen.
  2. Ein einzigartiges Passwort pro Konto – niemals wiederverwenden.
  3. Passphrasen statt Passwörter – z. B. „Kaffee-Regenbogen-Fahrrad-42-Zürich" ist stark und merkbar.
  4. Keine persönlichen Bezüge – Geburtstage, Namen, Haustiere sind tabu.
  5. 2FA überall aktivieren, wo verfügbar – vor allem bei E-Mail, Banking, Cloud-Speichern und sozialen Netzwerken.

Passwortmanager: Das wichtigste Werkzeug

Kein Mensch kann sich 100 einzigartige, 16-stellige Passwörter merken. Ein Passwortmanager übernimmt diese Aufgabe verschlüsselt und plattformübergreifend. Empfehlenswerte Optionen 2026:

  • Bitwarden – Open Source, kostenlos, in der Schweiz und EU beliebt
  • 1Password – kommerziell, sehr benutzerfreundlich, Familientarife
  • KeePassXC – lokal, komplett offline, für Fortgeschrittene
  • Proton Pass – aus der Schweiz, integriert mit Proton Mail

Wie kommen Passwörter überhaupt in Leaks?

Um sich effektiv zu schützen, hilft es, die häufigsten Ursachen zu kennen:

1. Server-Einbrüche

Angreifer verschaffen sich Zugriff auf die Datenbank eines Onlinedienstes. Sind die Passwörter dort nur schwach gehasht (MD5, SHA-1) oder gar im Klartext gespeichert, können sie direkt verwendet werden.

2. Phishing

Sie geben Ihre Zugangsdaten selbst auf einer gefälschten Website ein. Wie Sie solche Angriffe erkennen, erklären wir ausführlich in unserem Leitfaden zu Phishing-Angriffen.

3. Malware und Keylogger

Schadsoftware auf Ihrem Gerät protokolliert Tastatureingaben und übermittelt sie an Angreifer. Warnzeichen finden Sie in unserem Artikel zu Anzeichen eines gehackten Handys.

4. Unsichere Netzwerke

In öffentlichen WLANs ohne verschlüsselte Verbindungen können Angreifer den Datenverkehr abhören. Achten Sie stets auf HTTPS und nutzen Sie – wo möglich – verschlüsseltes DNS (DoH/DoT) sowie datenschutzfreundliche Browser wie Firefox oder Brave.

5. Social Engineering

Angreifer manipulieren Support-Mitarbeiter oder Sie persönlich, um an Zugangsdaten oder Reset-Tokens zu gelangen.

Zusätzliche Schutzmaßnahmen für Privatpersonen und Unternehmen

Über die reine Passwortprüfung hinaus lohnen sich weitere Maßnahmen:

Für Privatpersonen

  • Nutzen Sie Alias-E-Mail-Adressen (z. B. via SimpleLogin oder Proton) für neue Registrierungen – so bleibt Ihre Hauptadresse geschützt.
  • Aktivieren Sie Passkeys überall, wo verfügbar – sie ersetzen Passwörter durch kryptografische Schlüssel und sind gegen Phishing immun.
  • Beim Teilen sensibler Links: Nutzen Sie einen sicheren Link-Verkürzer wie Lunyb, der zusätzliche Schutzfunktionen wie Passwortschutz und Ablaufdaten bietet, damit geteilte Inhalte nicht unbegrenzt öffentlich abrufbar bleiben.

Für Unternehmen

  • Führen Sie eine zentrale Passwort-Policy mit Mindestlänge, 2FA-Pflicht und regelmäßiger Leak-Prüfung ein.
  • Setzen Sie Enterprise-Passwortmanager (z. B. Bitwarden Enterprise, 1Password Business) für alle Mitarbeitenden ein.
  • Schulen Sie Mitarbeitende regelmäßig zu Phishing und sicherem Passwortverhalten.
  • Beachten Sie die Meldepflichten nach DSGVO Art. 33 (72 Stunden bei Datenpannen). Details finden Sie in unserem Datenschutz-Leitfaden für Unternehmen.

Vor- und Nachteile der Leak-Prüfung

Vorteile

  • Kostenlos und in wenigen Minuten durchführbar
  • Frühwarnsystem für Identitätsdiebstahl
  • Deckt oft vergessene alte Konten auf
  • Sensibilisiert für sicheres Passwortverhalten
  • Ermöglicht gezieltes Handeln statt pauschaler Panik

Nachteile / Grenzen

  • Nur bereits bekannte, veröffentlichte Leaks werden erkannt
  • Aktuelle, noch nicht öffentliche Datenlecks bleiben unentdeckt
  • Keine Aussage darüber, ob Ihr Passwort aktiv missbraucht wird
  • Vertrauen zum Anbieter des Checkers nötig – wählen Sie seriöse Quellen

Häufig gestellte Fragen (FAQ)

Ist es sicher, mein Passwort auf haveibeenpwned.com einzugeben?

Ja. HIBP verwendet das sogenannte k-Anonymity-Verfahren: Ihr Passwort wird lokal in Ihrem Browser mit SHA-1 gehasht, und nur die ersten fünf Zeichen des Hashes werden an den Server gesendet. Der Server liefert alle passenden Hash-Suffixe zurück, der Abgleich erfolgt lokal. Ihr vollständiges Passwort verlässt nie Ihr Gerät.

Wie oft sollte ich meine Passwörter auf Leaks prüfen?

Wir empfehlen eine manuelle Prüfung alle drei bis sechs Monate. Wenn Sie den Benachrichtigungsdienst von HIBP oder Mozilla Monitor aktivieren, werden Sie automatisch informiert, sobald Ihre E-Mail in einem neuen Leak auftaucht – das ist die komfortabelste Lösung.

Was ist der Unterschied zwischen einem Datenleck und einem Hack?

Ein Hack bezeichnet den aktiven Einbruch in ein System. Ein Datenleck (Data Breach) ist die daraus resultierende Veröffentlichung oder Offenlegung von Daten. Nicht jeder Hack führt zwangsläufig zu einem Leak, und nicht jeder Leak entsteht durch einen Hack – auch Fehlkonfigurationen oder Insider können Ursache sein.

Muss ich alle Passwörter ändern, wenn eines geleakt wurde?

Nein, nicht zwingend – aber Sie müssen alle Konten ändern, bei denen Sie das gleiche oder ein ähnliches Passwort verwendet haben. Genau deshalb ist die Regel „ein einzigartiges Passwort pro Dienst" so wichtig: Ein einzelner Leak bleibt dann auf ein einziges Konto begrenzt.

Können auch Passwortmanager gehackt werden?

Ja, auch renommierte Anbieter wie LastPass wurden bereits Opfer von Angriffen. Allerdings sind die Passwörter in seriösen Managern mit einem starken Master-Passwort clientseitig verschlüsselt (Zero-Knowledge-Prinzip), sodass selbst bei einem Server-Einbruch die Daten für Angreifer meist unbrauchbar bleiben – vorausgesetzt, Ihr Master-Passwort ist stark und einzigartig.

Fazit

Die Wahrscheinlichkeit, dass mindestens eines Ihrer Passwörter bereits in einem Datenleck aufgetaucht ist, liegt bei über 80 Prozent. Die gute Nachricht: Mit den vorgestellten Tools und Maßnahmen können Sie das Risiko innerhalb weniger Minuten prüfen und effektiv minimieren. Setzen Sie einen Passwortmanager ein, aktivieren Sie überall Zwei-Faktor-Authentifizierung, und nutzen Sie regelmäßige Leak-Benachrichtigungen. Digitale Sicherheit ist kein einmaliges Projekt, sondern ein laufender Prozess – aber einer, den Sie mit wenigen guten Gewohnheiten souverän im Griff behalten können.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles