Datenleck-Check: Bist du betroffen? Sicherheitsprüfung mit haveibeenpwned.com

Datenlecks sind 2026 Alltag. Allein RockYou2024 versammelte fast 10 Milliarden Klartext-Passwörter in einer Datei. Stealer-Malware liefert täglich neue Logs nach. Die Frage ist nicht ob deine Adresse betroffen ist, sondern wovon und wie oft. Have I Been Pwned (HIBP) ist der wichtigste Dienst um genau das herauszufinden. Gegründet vom australischen Sicherheitsforscher Troy Hunt, enthält die Datenbank inzwischen über 15 Milliarden gehackte Accounts.

Dieses Video erklärt was hinter Datenlecks steckt, wie du in Sekunden checkst ob du betroffen bist und was du sofort tun kannst.

So nutzt du Have I Been Pwned

1. Gehe zu haveibeenpwned.com
2. Gib deine E-Mail-Adresse ein
3. Die Seite zeigt dir sofort in welchen Datenlecks deine Adresse aufgetaucht ist
4. Für jedes Leck siehst du welche Daten betroffen sind: E-Mail, Passwort, Name, IP-Adresse, Geburtsdatum etc.

HIBP 2.0 – das neue Dashboard

Im Sommer 2025 hat Troy Hunt HIBP 2.0 ausgerollt. Die Seite hat ein komplett überarbeitetes Dashboard, eine zentrale Übersicht für alle Benachrichtigungen und einen schnelleren Suchindex. 2024 wurden über 244 Millionen neue Passwörter aus sogenannten Stealer-Logs hinzugefügt. Das ist Malware, die Passwörter direkt aus Browsern und Systemen abgreift und in Telegram-Kanälen weiterverkauft. 2025 kamen laut Sicherheitsforschern 1,8 Milliarden zusätzliche Zugangsdaten aus Infostealer-Kampagnen dazu.

Passwort-Check ohne Risiko

Unter haveibeenpwned.com/Passwords prüfst du ein bestimmtes Passwort gegen die Leak-Datenbank. Die Prüfung funktioniert ohne dass dein Passwort übertragen wird. Es wird lokal mit SHA-1 gehasht und nur die ersten fünf Zeichen des Hashes gehen an den Server. Der Server schickt eine Liste passender Hash-Anfänge zurück, der Abgleich passiert wieder lokal. Das Verfahren heißt k-Anonymity und ist heute Industriestandard.

Wenn ein Passwort gefunden wird, dann sofort ändern und nie wieder verwenden. Was ein sicheres Passwort ausmacht und wie du dir keines mehr merken musst, erklärt der Artikel Sicheres Passwort erstellen.

Benachrichtigungen aktivieren

Du kannst dich kostenlos für E-Mail-Benachrichtigungen registrieren. Sobald deine Adresse in einem neuen Datenleck auftaucht, wirst du automatisch informiert. Das ist der wichtigste Schritt, denn so reagierst du innerhalb von Stunden statt Monaten.

Wer eine eigene Domain hat (z.B. [email protected]), kann die komplette Domain überwachen. Auch das ist für Privatpersonen kostenlos. HIBP verifiziert Subdomains seit 2026 automatisch.

Was tun wenn du einen Treffer findest?

Kein Grund zur Panik, aber du solltest konkret handeln:

1. Passwort sofort ändern beim betroffenen Dienst. Nutze ein einzigartiges Passwort, das du nirgendwo sonst verwendest.
2. Zwei-Faktor-Authentifizierung aktivieren wenn der Dienst das anbietet. Dann reicht ein geleaktes Passwort allein nicht mehr aus.
3. Prüfen ob dasselbe Passwort woanders genutzt wird. Wenn ja, dort ebenfalls ändern. Das ist der häufigste Fehler: Passwörter wiederverwenden.
4. Phishing-Mails beobachten. Nach einem Leck steigt die Wahrscheinlichkeit gezielter Phishing-Versuche, weil Angreifer deine Adresse plus Kontext (welcher Dienst) kennen.

Der dauerhaft beste Schutz ist für jeden Dienst ein einzigartiges Passwort. Ohne Passwort-Manager ist das nicht realistisch. Bitwarden ist kostenlos, open-source und erstellt sowie speichert sichere Passwörter für dich.

Apple Passwörter App: der native Datenleck-Check

Seit iOS 18 hat Apple die eigenständige Passwörter-App und in iOS 26 weiter ausgebaut. Sie prüft im Hintergrund automatisch, ob deine gespeicherten Passwörter in bekannten Datenlecks aufgetaucht sind:

1. Öffne die Passwörter-App (oder Einstellungen → Apps → Passwörter → Sicherheitsempfehlungen)
2. Aktiviere Kompromittierte Passwörter erkennen
3. iOS listet betroffene Accounts und bietet an das Passwort direkt beim Anbieter zu ändern

Apple nutzt eine ähnliche Logik wie HIBP. Der Abgleich läuft kryptografisch geschützt und privat ab. Mehr zur App und was sie sonst noch kann, steht in Apple Passwörter App: alles was du wissen musst.

Beide Dienste ergänzen sich

HIBP prüft deine E-Mail-Adresse gegen Datenlecks und warnt proaktiv bei neuen Funden. Apples Passwörter-App prüft deine gespeicherten Passwörter kontinuierlich im Hintergrund. Am besten nutzt du beides:

• HIBP für E-Mail-Breach-Alerts und Benachrichtigungen bei neuen Lecks
• Apple Passwörter oder Bitwarden für laufendes Passwort-Monitoring direkt am iPhone

Zusammen deckst du beide Angriffsvektoren ab: deine Identität (E-Mail) und deine Zugangsdaten (Passwörter).

Wie Datenlecks überhaupt entstehen

Die meisten Leaks passieren nicht weil jemand dein Passwort knackt, sondern weil ein Dienst seine Datenbank schlecht absichert oder ein Mitarbeiter-Account übernommen wird. Typische Ursachen:

• Unverschlüsselte Datenbanken. Passwörter werden im Klartext gespeichert statt mit modernen Verfahren wie bcrypt oder Argon2 gehasht
• Veraltete Software. Bekannte Sicherheitslücken werden nicht gepatcht
• Phishing-Angriffe auf Mitarbeiter. Ein Klick auf den falschen Link reicht
• Drittanbieter-Leaks. Ein Plugin, ein Cloud-Backup oder ein Dienstleister wird gehackt und reißt die Hauptplattform mit
• Stealer-Malware auf Endgeräten. Browser-Sessions und gespeicherte Passwörter werden direkt vom infizierten Rechner exfiltriert

Du kannst das nicht verhindern. Aber du kannst den Schaden minimieren: einzigartiges Passwort pro Dienst, Zwei-Faktor aktivieren, HIBP-Benachrichtigungen einschalten, Apple Passwörter-Warnungen ernst nehmen. Wenn du zusätzlich deine Verbindung absichern willst, hilft eine vertrauenswürdige VPN-App fürs iPhone.