Wurde Mein Passwort Geleakt? So Prüfen Sie es Sicher (2026)
Milliarden von Zugangsdaten kursieren im Darknet – und die Wahrscheinlichkeit ist hoch, dass auch Ihre dabei sind. Jeder Onlinedienst, bei dem Sie sich jemals registriert haben, kann Ziel eines Datenlecks werden. Die entscheidende Frage lautet daher nicht mehr ob, sondern welche Ihrer Passwörter bereits kompromittiert wurden. In diesem Leitfaden zeigen wir Ihnen, wie Sie das schnell, sicher und kostenlos herausfinden – und was Sie im Ernstfall sofort tun müssen.
Was bedeutet es, wenn ein Passwort „geleakt“ wurde?
Ein geleaktes Passwort ist ein Passwort, das durch ein Datenleck bei einem Onlinedienst in die Hände Unbefugter gelangt ist und meist in Datenbanken im Darknet oder auf Hackerforen zirkuliert. Der Begriff „Leak“ (englisch für „Leck“) beschreibt dabei jede Form des ungewollten Datenabflusses – ob durch Hackerangriffe, Fehlkonfigurationen, Insider-Diebstahl oder Phishing.
Zu den bekanntesten Vorfällen der letzten Jahre gehören:
- LinkedIn (2021): 700 Millionen Nutzerdatensätze
- Facebook (2021): 533 Millionen Datensätze inklusive Telefonnummern
- Yahoo (2013, veröffentlicht 2016): 3 Milliarden Konten
- Deezer, Twitter, LastPass, T-Mobile: zahlreiche Leaks 2022–2024
Sobald ein Passwort einmal öffentlich ist, versuchen Angreifer per Credential Stuffing automatisiert, dieselbe Kombination aus E-Mail und Passwort bei Hunderten weiteren Diensten (Amazon, PayPal, Google, Banking) durchzuprobieren. Wer dasselbe Passwort mehrfach nutzt, ist besonders gefährdet.
Die 5 besten Dienste, um geleakte Passwörter zu prüfen
Es gibt mehrere seriöse, kostenlose Plattformen, mit denen Sie zuverlässig prüfen können, ob Ihre E-Mail-Adresse oder Ihr Passwort in bekannten Datenlecks aufgetaucht ist. Wir stellen die wichtigsten vor.
1. Have I Been Pwned (HIBP)
Das von Sicherheitsforscher Troy Hunt betriebene Portal haveibeenpwned.com ist der De-facto-Standard. Es enthält über 12 Milliarden kompromittierte Datensätze aus mehr als 700 bekannten Datenlecks.
- Suche per E-Mail-Adresse oder Telefonnummer
- Separater Passwort-Check über sicheres k-Anonymity-Verfahren
- Kostenloser Benachrichtigungsdienst bei neuen Leaks
2. Firefox Monitor / Mozilla Monitor
Der Dienst von Mozilla nutzt die HIBP-Datenbank, bietet aber eine benutzerfreundlichere Oberfläche und einen kostenpflichtigen „Monitor Plus"-Tarif, der auch Data-Broker-Websites überprüft.
3. HPI Identity Leak Checker
Das Hasso-Plattner-Institut (HPI) der Universität Potsdam betreibt unter sec.hpi.de/ilc einen deutschsprachigen Leak-Checker. Vorteil: Die Ergebnisse werden per E-Mail zugestellt und die Datenbank umfasst über 13 Milliarden Datensätze aus deutschen und internationalen Leaks.
4. Google Passwort-Check
Wenn Sie den Google-Passwortmanager nutzen, prüft dieser im Hintergrund automatisch, ob Ihre gespeicherten Zugangsdaten in bekannten Leaks vorkommen. Zugang: passwords.google.com → „Passwort-Check".
5. Integrierte Prüfungen in Passwortmanagern
Moderne Passwortmanager wie Bitwarden, 1Password, Dashlane oder KeePassXC bieten eingebaute Leak-Prüfungen, die alle gespeicherten Passwörter regelmäßig gegen HIBP oder eigene Datenbanken abgleichen.
Vergleich: Welcher Leak-Checker ist der richtige?
| Dienst | Sprache | Anbieter | Datenmenge | Benachrichtigung | Kostenlos |
|---|---|---|---|---|---|
| Have I Been Pwned | Englisch | Troy Hunt (AUS) | 12+ Mrd. | Ja | Ja |
| Mozilla Monitor | Deutsch | Mozilla (US) | 12+ Mrd. | Ja | Basis kostenlos |
| HPI Identity Leak Checker | Deutsch | HPI Potsdam (DE) | 13+ Mrd. | Nein (nur einmalig) | Ja |
| Google Passwort-Check | Deutsch | 4+ Mrd. | Ja | Ja | |
| Bitwarden / 1Password | Deutsch | Diverse | via HIBP | Ja | Teils |
Unsere Empfehlung
Für einen schnellen, gründlichen Erst-Check empfehlen wir die Kombination aus Have I Been Pwned (breiteste Datenbasis, sofortige Ergebnisse) und dem HPI Identity Leak Checker (deutsche Datenschutzstandards, ergänzende Datenbank). Für den laufenden Schutz sollten Sie einen Passwortmanager mit integrierter Leak-Überwachung einsetzen.
Schritt-für-Schritt: So prüfen Sie Ihre Passwörter
Folgen Sie dieser Anleitung, um systematisch alle wichtigen Konten zu überprüfen. Der gesamte Vorgang dauert etwa 10–15 Minuten.
- Öffnen Sie haveibeenpwned.com in einem aktuellen Browser (idealerweise Firefox oder Brave im privaten Modus).
- Geben Sie Ihre primäre E-Mail-Adresse ein und klicken Sie auf „pwned?".
- Prüfen Sie die Ergebnisliste: Bei einem Treffer sehen Sie, in welchen Leaks Ihre Adresse aufgetaucht ist und welche Datenkategorien betroffen waren (Passwörter, Adressen, Telefonnummern, Kreditkartendaten usw.).
- Wiederholen Sie den Vorgang für jede weitere E-Mail-Adresse, die Sie nutzen oder je genutzt haben (privat, geschäftlich, alte Konten).
- Testen Sie zusätzlich das Passwort selbst auf haveibeenpwned.com/Passwords. Ihr Passwort wird dabei mittels k-Anonymity gehasht – der volle Hash verlässt Ihren Browser nie.
- Nutzen Sie den HPI Identity Leak Checker als zweite Quelle. Das Ergebnis erhalten Sie per E-Mail.
- Aktivieren Sie den Benachrichtigungsdienst („Notify me" bei HIBP), um bei künftigen Leaks automatisch informiert zu werden.
- Dokumentieren Sie kompromittierte Konten in einer Liste – diese arbeiten Sie im nächsten Schritt ab.
Was tun, wenn Ihr Passwort geleakt wurde? Der Sofort-Notfallplan
Ein positiver Leak-Befund ist kein Grund zur Panik – aber schnelles, systematisches Handeln ist entscheidend. Nutzen Sie folgende Reihenfolge:
Innerhalb der ersten Stunde
- Wechseln Sie sofort das Passwort des betroffenen Kontos. Nutzen Sie ein völlig neues, einzigartiges Passwort mit mindestens 16 Zeichen.
- Ändern Sie das Passwort überall dort, wo Sie dieselbe Kombination verwendet haben. Credential Stuffing ist die Hauptgefahr nach einem Leak.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) – idealerweise mit einer Authenticator-App (Aegis, 2FAS, Google Authenticator) statt SMS.
- Melden Sie sich aus allen aktiven Sitzungen ab (bei Google, Facebook, Microsoft etc. gibt es entsprechende Funktionen in den Sicherheitseinstellungen).
Innerhalb von 24 Stunden
- Prüfen Sie Kontobewegungen bei Banking-, PayPal- und Shopping-Konten auf verdächtige Aktivitäten.
- Kontrollieren Sie E-Mail-Weiterleitungen und Filterregeln in Ihrem Postfach – Angreifer richten diese gerne heimlich ein.
- Prüfen Sie verknüpfte Apps und Drittanbieter-Zugriffe und widerrufen Sie unbekannte Berechtigungen.
- Informieren Sie ggf. Ihre Bank, wenn Zahlungsdaten betroffen sind, und lassen Sie Karten sperren.
Innerhalb einer Woche
- Führen Sie einen vollständigen Passwort-Reset für alle wichtigen Konten durch, unterstützt durch einen Passwortmanager.
- Löschen Sie Konten, die Sie nicht mehr nutzen – jedes ungenutzte Konto ist eine potenzielle Angriffsfläche.
- Prüfen Sie, ob eine Meldung an die Datenschutzbehörde sinnvoll ist, falls Sie als Unternehmen betroffen sind. Details dazu finden Sie in unserem Leitfaden zur Beschwerde bei Datenschutzbehörden.
Sichere Passwörter erstellen: Best Practices für 2026
Ein sicheres Passwort ist heute weniger eine Frage der Komplexität als der Länge und Einzigartigkeit. Das BSI und das BfDI empfehlen folgende Grundsätze:
Die 5 goldenen Regeln
- Mindestens 16 Zeichen – Länge schlägt Komplexität. Ein 20-stelliges Passwort mit nur Kleinbuchstaben ist sicherer als ein 8-stelliges mit Sonderzeichen.
- Ein einzigartiges Passwort pro Konto – niemals wiederverwenden.
- Passphrasen statt Passwörter – z. B. „Kaffee-Regenbogen-Fahrrad-42-Zürich" ist stark und merkbar.
- Keine persönlichen Bezüge – Geburtstage, Namen, Haustiere sind tabu.
- 2FA überall aktivieren, wo verfügbar – vor allem bei E-Mail, Banking, Cloud-Speichern und sozialen Netzwerken.
Passwortmanager: Das wichtigste Werkzeug
Kein Mensch kann sich 100 einzigartige, 16-stellige Passwörter merken. Ein Passwortmanager übernimmt diese Aufgabe verschlüsselt und plattformübergreifend. Empfehlenswerte Optionen 2026:
- Bitwarden – Open Source, kostenlos, in der Schweiz und EU beliebt
- 1Password – kommerziell, sehr benutzerfreundlich, Familientarife
- KeePassXC – lokal, komplett offline, für Fortgeschrittene
- Proton Pass – aus der Schweiz, integriert mit Proton Mail
Wie kommen Passwörter überhaupt in Leaks?
Um sich effektiv zu schützen, hilft es, die häufigsten Ursachen zu kennen:
1. Server-Einbrüche
Angreifer verschaffen sich Zugriff auf die Datenbank eines Onlinedienstes. Sind die Passwörter dort nur schwach gehasht (MD5, SHA-1) oder gar im Klartext gespeichert, können sie direkt verwendet werden.
2. Phishing
Sie geben Ihre Zugangsdaten selbst auf einer gefälschten Website ein. Wie Sie solche Angriffe erkennen, erklären wir ausführlich in unserem Leitfaden zu Phishing-Angriffen.
3. Malware und Keylogger
Schadsoftware auf Ihrem Gerät protokolliert Tastatureingaben und übermittelt sie an Angreifer. Warnzeichen finden Sie in unserem Artikel zu Anzeichen eines gehackten Handys.
4. Unsichere Netzwerke
In öffentlichen WLANs ohne verschlüsselte Verbindungen können Angreifer den Datenverkehr abhören. Achten Sie stets auf HTTPS und nutzen Sie – wo möglich – verschlüsseltes DNS (DoH/DoT) sowie datenschutzfreundliche Browser wie Firefox oder Brave.
5. Social Engineering
Angreifer manipulieren Support-Mitarbeiter oder Sie persönlich, um an Zugangsdaten oder Reset-Tokens zu gelangen.
Zusätzliche Schutzmaßnahmen für Privatpersonen und Unternehmen
Über die reine Passwortprüfung hinaus lohnen sich weitere Maßnahmen:
Für Privatpersonen
- Nutzen Sie Alias-E-Mail-Adressen (z. B. via SimpleLogin oder Proton) für neue Registrierungen – so bleibt Ihre Hauptadresse geschützt.
- Aktivieren Sie Passkeys überall, wo verfügbar – sie ersetzen Passwörter durch kryptografische Schlüssel und sind gegen Phishing immun.
- Beim Teilen sensibler Links: Nutzen Sie einen sicheren Link-Verkürzer wie Lunyb, der zusätzliche Schutzfunktionen wie Passwortschutz und Ablaufdaten bietet, damit geteilte Inhalte nicht unbegrenzt öffentlich abrufbar bleiben.
Für Unternehmen
- Führen Sie eine zentrale Passwort-Policy mit Mindestlänge, 2FA-Pflicht und regelmäßiger Leak-Prüfung ein.
- Setzen Sie Enterprise-Passwortmanager (z. B. Bitwarden Enterprise, 1Password Business) für alle Mitarbeitenden ein.
- Schulen Sie Mitarbeitende regelmäßig zu Phishing und sicherem Passwortverhalten.
- Beachten Sie die Meldepflichten nach DSGVO Art. 33 (72 Stunden bei Datenpannen). Details finden Sie in unserem Datenschutz-Leitfaden für Unternehmen.
Vor- und Nachteile der Leak-Prüfung
Vorteile
- Kostenlos und in wenigen Minuten durchführbar
- Frühwarnsystem für Identitätsdiebstahl
- Deckt oft vergessene alte Konten auf
- Sensibilisiert für sicheres Passwortverhalten
- Ermöglicht gezieltes Handeln statt pauschaler Panik
Nachteile / Grenzen
- Nur bereits bekannte, veröffentlichte Leaks werden erkannt
- Aktuelle, noch nicht öffentliche Datenlecks bleiben unentdeckt
- Keine Aussage darüber, ob Ihr Passwort aktiv missbraucht wird
- Vertrauen zum Anbieter des Checkers nötig – wählen Sie seriöse Quellen
Häufig gestellte Fragen (FAQ)
Ist es sicher, mein Passwort auf haveibeenpwned.com einzugeben?
Ja. HIBP verwendet das sogenannte k-Anonymity-Verfahren: Ihr Passwort wird lokal in Ihrem Browser mit SHA-1 gehasht, und nur die ersten fünf Zeichen des Hashes werden an den Server gesendet. Der Server liefert alle passenden Hash-Suffixe zurück, der Abgleich erfolgt lokal. Ihr vollständiges Passwort verlässt nie Ihr Gerät.
Wie oft sollte ich meine Passwörter auf Leaks prüfen?
Wir empfehlen eine manuelle Prüfung alle drei bis sechs Monate. Wenn Sie den Benachrichtigungsdienst von HIBP oder Mozilla Monitor aktivieren, werden Sie automatisch informiert, sobald Ihre E-Mail in einem neuen Leak auftaucht – das ist die komfortabelste Lösung.
Was ist der Unterschied zwischen einem Datenleck und einem Hack?
Ein Hack bezeichnet den aktiven Einbruch in ein System. Ein Datenleck (Data Breach) ist die daraus resultierende Veröffentlichung oder Offenlegung von Daten. Nicht jeder Hack führt zwangsläufig zu einem Leak, und nicht jeder Leak entsteht durch einen Hack – auch Fehlkonfigurationen oder Insider können Ursache sein.
Muss ich alle Passwörter ändern, wenn eines geleakt wurde?
Nein, nicht zwingend – aber Sie müssen alle Konten ändern, bei denen Sie das gleiche oder ein ähnliches Passwort verwendet haben. Genau deshalb ist die Regel „ein einzigartiges Passwort pro Dienst" so wichtig: Ein einzelner Leak bleibt dann auf ein einziges Konto begrenzt.
Können auch Passwortmanager gehackt werden?
Ja, auch renommierte Anbieter wie LastPass wurden bereits Opfer von Angriffen. Allerdings sind die Passwörter in seriösen Managern mit einem starken Master-Passwort clientseitig verschlüsselt (Zero-Knowledge-Prinzip), sodass selbst bei einem Server-Einbruch die Daten für Angreifer meist unbrauchbar bleiben – vorausgesetzt, Ihr Master-Passwort ist stark und einzigartig.
Fazit
Die Wahrscheinlichkeit, dass mindestens eines Ihrer Passwörter bereits in einem Datenleck aufgetaucht ist, liegt bei über 80 Prozent. Die gute Nachricht: Mit den vorgestellten Tools und Maßnahmen können Sie das Risiko innerhalb weniger Minuten prüfen und effektiv minimieren. Setzen Sie einen Passwortmanager ein, aktivieren Sie überall Zwei-Faktor-Authentifizierung, und nutzen Sie regelmäßige Leak-Benachrichtigungen. Digitale Sicherheit ist kein einmaliges Projekt, sondern ein laufender Prozess – aber einer, den Sie mit wenigen guten Gewohnheiten souverän im Griff behalten können.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Link-in-Bio-Seite Erstellen: Die Komplette Anleitung 2026
Erfahren Sie in dieser umfassenden Anleitung, wie Sie eine professionelle Link-in-Bio-Seite erstellen. Von Tool-Auswahl über Design-Best-Practices bis zu rechtlichen Vorgaben in Deutschland – alle Schritte kompakt erklärt.
Fotos Verstecken mit einem Verschlüsselten Tresor: Der Komplette Leitfaden 2026
Private Fotos verdienen den bestmöglichen Schutz. Erfahren Sie in diesem Leitfaden, wie Sie mit einem verschlüsselten Tresor Ihre Bilder sicher verstecken, welche Apps sich lohnen und welche Sicherheitstipps Sie unbedingt beachten sollten.
Persönliche Daten von Datenhändlern Entfernen: Anleitung 2026
Datenhändler sammeln und verkaufen Ihre persönlichen Informationen – oft ohne Ihr Wissen. Diese Schritt-für-Schritt-Anleitung zeigt, wie Sie nach DSGVO Ihre Daten löschen lassen, welche Musterschreiben Sie nutzen können und wie Sie zukünftige Datensammlung verhindern.
So Erkennen Sie eine Betrugs-Telefonnummer: Anleitung 2026
Betrugsanrufe nehmen in Deutschland dramatisch zu. Erfahren Sie in diesem Ratgeber, wie Sie eine Betrugs-Telefonnummer sicher erkennen, welche Warnsignale es gibt und wie Sie sich mit Rückwärtssuche, Anrufblockern und präventiven Maßnahmen effektiv schützen.