Datenleck prüfen: ist deine E-Mail betroffen?
Große Datenlecks sind Alltag geworden. Immer wieder tauchen Sammlungen mit Millionen E-Mail-Adressen und Passwörtern im Netz auf, mal aus dem Hack eines einzelnen Dienstes, mal als Paket aus vielen alten Lecks. Die gute Nachricht: Du musst nicht raten, ob du dabei bist. Mit deiner E-Mail-Adresse kannst du in wenigen Minuten nachsehen, und dein Smartphone warnt dich bei geknackten Passwörtern sogar von allein. Hier zeigen wir dir, wie du prüfst, welchen Diensten du vertrauen kannst und was ein Treffer wirklich bedeutet.
Das Wichtigste in Kürze
- Mit deiner E-Mail-Adresse kannst du kostenlos nachsehen, ob sie in bekannten Datenlecks steckt. Das BSI empfiehlt genau diese regelmäßige Prüfung.
- Die bekannten Prüfdienste kommen von Forschungseinrichtungen. Das Hasso-Plattner-Institut und die Universität Bonn betreiben je einen Leak-Checker, den das BSI verlinkt.
- Seriöse Dienste schicken das Ergebnis per Mail an genau die Adresse, die du prüfst. So kann niemand fremde Adressen ausspähen.
- Ein Treffer bedeutet: ändere das betroffene Passwort, und zwar überall dort, wo du es sonst noch nutzt.
- Dein Smartphone prüft laufend mit. iPhone und Android gleichen deine gespeicherten Passwörter gegen bekannte Lecks ab und warnen dich.
- Die beste Vorsorge ist kein Dienst, sondern Gewohnheit: für jedes Konto ein eigenes Passwort und zwei-Faktor-Schutz bei den wichtigen.
Was ein Datenleck überhaupt ist
Ein Datenleck entsteht, wenn ein Onlinedienst gehackt wird oder aus Versehen Nutzerdaten offenlegt. Betroffen sind oft E-Mail-Adresse und Passwort zusammen, manchmal auch Name, Anschrift oder Telefonnummer. Diese Datensätze werden verkauft, getauscht oder frei ins Netz gestellt und landen in großen Sammlungen.
Für dich ist das Problem selten der einzelne Dienst. Gefährlich wird es, weil viele Menschen dasselbe Passwort für mehrere Konten nutzen. Steht deine Kombination aus E-Mail und Passwort einmal öffentlich, probieren Angreifer sie automatisiert bei anderen Diensten durch. Das BSI beschreibt genau dieses Durchprobieren als typischen Weg zum Identitätsdiebstahl.
So prüfst du deine E-Mail-Adresse
Das Prinzip ist überall gleich: Du gibst deine E-Mail-Adresse ein, der Dienst gleicht sie gegen seine Sammlung bekannter Lecks ab und sagt dir, ob und wo sie auftaucht. Das BSI rät ausdrücklich, das regelmäßig zu tun.
Bei den offiziellen deutschen Diensten läuft das über einen kleinen, sinnvollen Umweg: Das Ergebnis kommt nicht sofort auf dem Bildschirm, sondern per Mail an genau die Adresse, die du geprüft hast. So kann niemand fremde Adressen durchtesten, du siehst dein Ergebnis nur, wenn du auch Zugriff auf das Postfach hast.
- Identity Leak Checker des Hasso-Plattner-Instituts (HPI). Die Forschungseinrichtung in Potsdam sammelt seit 2014 öffentlich gewordene Leaks und hält nach eigenen Angaben Milliarden von Datensätzen vor. Du gibst deine Adresse ein und bekommst per Mail eine Übersicht, welche Art von Daten zu dir aufgetaucht ist.
- Leak-Checker der Universität Bonn. Ein zweiter, ähnlich arbeitender Dienst aus dem Hochschulbereich. Auch ihn verlinkt das BSI auf seiner Seite zum Schutz vor Identitätsdiebstahl.
International verweist das BSI außerdem auf Have I Been Pwned des Sicherheitsforschers Troy Hunt, bei dem du deine Adresse ebenfalls gegen bekannte Lecks abgleichen kannst. Welchen du nimmst, ist Geschmackssache. Wichtig ist, dass du einem Dienst nur deine E-Mail-Adresse anvertraust, niemals dein Passwort auf einer beliebigen Website eintippst, um es prüfen zu lassen.
Dein Smartphone prüft schon automatisch mit
Den bequemsten Leak-Check hast du längst in der Tasche. Sowohl iPhone als auch Android vergleichen die Passwörter, die du auf dem Gerät gespeichert hast, laufend gegen bekannte Datenlecks und melden sich, wenn eines dabei ist. Du musst nichts eintippen, nur einmal nachsehen.
Auf dem iPhone
Apple nennt die Funktion Sicherheitsempfehlungen. So kommst du hin:
- Öffne die Passwörter-App und tippe auf Sicherheit. Auf älteren iOS-Versionen findest du den Weg unter Einstellungen und Passwörter.
- Dort siehst du, welche Passwörter als schwach, mehrfach verwendet oder in einem Datenleck aufgetaucht markiert sind.
- Stelle sicher, dass die Option zum Erkennen kompromittierter Passwörter eingeschaltet ist, dann warnt dich das iPhone auch künftig von selbst.
Auf Android
Bei Android übernimmt das der Google Passwortmanager mit dem Passwortcheck:
- Öffne Chrome, tippe oben rechts auf das Dreipunkt-Menü und gehe auf Einstellungen.
- Wähle Google Passwortmanager und tippe auf Passwortcheck.
- Der Check zeigt dir kompromittierte, schwache und mehrfach verwendete Passwörter getrennt an. Alternativ erreichst du ihn über die Google-Einstellungen deines Geräts.
Die Menünamen können je nach Hersteller und Version leicht abweichen. Findest du den Punkt nicht, hilft die Suche in den Einstellungen nach dem Stichwort Passwort.
Ein Treffer, was jetzt?
Erst mal nicht erschrecken. Ein Treffer heißt, dass ein Passwort von dir irgendwann öffentlich geworden ist, nicht dass dein Konto in diesem Moment übernommen wird. Trotzdem solltest du zügig handeln. Das BSI empfiehlt diese Reihenfolge:
- Ändere das betroffene Passwort, und zwar bei jedem Konto, bei dem du es verwendet hast. Vergib dabei für jedes Konto ein eigenes, starkes Passwort.
- Sichere dein E-Mail-Postfach zuerst. Es ist der Generalschlüssel, weil darüber die Passwörter fast aller anderen Dienste zurückgesetzt werden.
- Prüfe die Kontoeinstellungen auf heimliche Änderungen, vor allem auf eingerichtete Weiterleitungen an fremde Adressen oder geänderte Rückfalloptionen wie eine hinterlegte Telefonnummer.
- Aktiviere die Zwei-Faktor-Authentisierung, wo es sie gibt. Dann reicht ein geklautes Passwort allein nicht mehr, um sich anzumelden.
- Kommst du gar nicht mehr rein, wende dich an den Anbieter des Kontos und informiere deine Kontakte, dass in deinem Namen Spam kommen könnte.
Für den ausführlichen Notfallplan bei einem tatsächlich übernommenen Konto lohnt der Blick auf unseren Ratgeber Handy gehackt: Anzeichen erkennen.
Warum sich das Prüfen lohnt
Ein Punkt zum Einordnen: Nach einem Leck bleibt der Eintrag in den Datenbanken bestehen, auch wenn du dein Passwort längst geändert hast. Die Warnung sagt dir also, dass etwas passiert ist, nicht ob die Zugangsdaten heute noch funktionieren. Der Dienst kann dich nur informieren, ändern musst du selbst.
Deshalb ist die stille Dauerprüfung deines Smartphones oft wertvoller als der einmalige Selbsttest. Sie läuft im Hintergrund und meldet sich, sobald ein gespeichertes Passwort in einem neuen Leck auftaucht. Voraussetzung ist nur, dass dein Gerät weiterhin Sicherheitsupdates bekommt.
Läuft das auf jedem Smartphone?
Ja. Die Leak-Prüfung ist eine Funktion des Betriebssystems und der eingebauten Passwortverwaltung, keine Frage der Hardware. Auf jedem iPhone mit aktuellem iOS und jedem Android-Gerät funktioniert sie gleich, egal ob das Handy neu oder generalüberholt ist. Entscheidend ist nicht das Alter des Geräts, sondern dass es weiterhin mit Sicherheitsupdates versorgt wird. Wie lange einzelne Modelle Updates bekommen, haben wir im Ratgeber Wie lange bekommt mein Smartphone Updates aufgeschlüsselt. Denkst du ohnehin über ein anderes Gerät nach, findest du im Smartphone-Sortiment neue und geprüfte generalüberholte Modelle nebeneinander.
Talkis Empfehlung
Prüf einmal in Ruhe deine wichtigste E-Mail-Adresse bei einem der offiziellen Dienste und wirf danach einen Blick in die Passwortübersicht deines Handys. Wahrscheinlich findest du dort ein paar rote Markierungen, das ist normal nach Jahren im Netz. Arbeite sie von oben ab: erst das Postfach, dann alles, wo du dasselbe Passwort benutzt hast. Wenn du künftig für jedes Konto ein eigenes Passwort vergibst und die wichtigen mit zweitem Faktor absicherst, betrifft das nächste große Datenleck nur noch einen Dienst statt dein halbes digitales Leben.
Häufige Fragen
Ist es sicher, meine E-Mail-Adresse bei so einem Prüfdienst einzugeben? Bei den offiziellen Diensten von Hasso-Plattner-Institut und Universität Bonn ja. Sie schicken das Ergebnis per Mail an genau die Adresse, die du prüfst, damit niemand fremde Adressen durchtesten kann. Gib dort nur deine E-Mail-Adresse ein, niemals dein Passwort.
Mein Passwort taucht in einem Leck auf, obwohl ich es geändert habe. Woran liegt das? Der Eintrag in der Leak-Datenbank bleibt bestehen, auch nachdem du das Passwort geändert hast. Die Warnung dokumentiert, dass das alte Passwort einmal öffentlich wurde. Solange du es überall geändert hast, ist das kein aktives Risiko mehr.
Muss ich alle meine Passwörter ändern, wenn ich einen Treffer habe? Nicht alle, aber alle betroffenen. Ändere das geleakte Passwort überall dort, wo du es verwendet hast. Wenn du für jedes Konto ohnehin ein eigenes Passwort nutzt, beschränkt sich der Aufwand auf genau ein Konto.
Warnt mich mein Handy von allein oder muss ich selbst prüfen? Beides ist möglich. iPhone und Android gleichen deine gespeicherten Passwörter automatisch mit bekannten Lecks ab und melden sich. Zusätzlich kannst du die Übersicht jederzeit selbst öffnen, auf dem iPhone unter Sicherheitsempfehlungen, auf Android im Passwortcheck des Google Passwortmanagers.
Funktioniert das auf einem generalüberholten Smartphone genauso? Ja. Die Leak-Prüfung gehört zum Betriebssystem, nicht zur Hardware. Auf einem geprüften generalüberholten iPhone oder Android-Gerät richtest du sie genauso ein wie auf einem neuen. Wichtig ist nur, dass das Gerät weiterhin Sicherheitsupdates erhält.
Weiterlesen
- Tracker in Android-Apps erkennen und blockieren
- Cookie-Banner am Handy richtig ablehnen und Tracking begrenzen
- GPS- und EXIF-Standortdaten aus Fotos entfernen, bevor du sie teilst
- Inkognito-Modus: Was er wirklich verbirgt – und was nicht
- Grüner und oranger Punkt: Kamera- und Mikrofon-Anzeigen richtig deuten