Datenleck-Check: So prüfen Sie, ob Ihre Daten kompromittiert wurden

Ein Datenleck-Check (englisch: Data Breach Check) ist ein Dienst, der prüft, ob eine E-Mail-Adresse, ein Benutzername oder andere persönliche Daten in bekannten Datenpannen kompromittiert wurden und damit möglicherweise im Umlauf krimineller Netzwerke sind. Solche Checks gleichen Anfragen gegen Datenbanken aus gestohlenen Datensätzen ab, die aus Hacks bei Online-Diensten, sozialen Netzwerken oder Unternehmensinfrastrukturen stammen. Für Privatpersonen und Unternehmen sind regelmäßige Datenleck-Checks ein einfacher, kostenloser Einstieg in proaktive Cybersicherheit.

Warum Datenleck-Checks wichtig sind

Datenpannen gehören seit Jahren zu den häufigsten Sicherheitsvorfällen weltweit. Bei einem Datenleck werden Zugangsdaten - E-Mail-Adressen, Passwörter, manchmal auch Telefonnummern, Geburtsdaten oder Zahlungsinformationen - aus einem kompromittierten System gestohlen und häufig im Darknet verkauft oder öffentlich veröffentlicht.

Das eigentliche Risiko liegt in einem weitverbreiteten Nutzerverhalten: Passwörter werden auf mehreren Plattformen gleichzeitig verwendet. Wird ein Passwort bei Dienst A gestohlen, probieren Angreifer es automatisiert bei hunderten anderen Diensten aus - ein Angriff, der als Credential Stuffing bekannt ist. Ein einzelnes Datenleck kann damit Konten bei Banken, E-Mail-Providern oder Unternehmensportalen gefährden, die selbst nie kompromittiert wurden.

Datenleck-Checks helfen dabei:

• zu erkennen, welche Konten betroffen sind
• einzuschätzen, welche Passwörter sofort geändert werden müssen
• das Bewusstsein für die eigene digitale Angriffsfläche zu schärfen
• Compliance-Anforderungen (DSGVO Meldepflichten, NIS2) zu unterstützen

Tools und Dienste im Überblick

Have I Been Pwned (HIBP)

Have I Been Pwned (haveibeenpwned.com) ist der bekannteste und meistgenutzte Datenleck-Check weltweit. Der australische Sicherheitsforscher Troy Hunt startete den Dienst am 4. Dezember 2013 - initiiert durch seine Beobachtung, dass rund 59 Prozent der Nutzer aus der Adobe-Datenpanne dieselben Passwörter auch beim Sony-Breach von 2011 verwendet hatten. Die Datenbank umfasst heute über 17 Milliarden kompromittierte Konten aus hunderten dokumentierten Datenpannen.

Funktionsumfang:

• Prüfung einzelner E-Mail-Adressen auf Vorkommen in Datenpannen
• Benachrichtigungs-Abonnement bei neu entdeckten Lecks
• Passwort-Check (Pwned Passwords): prüft, ob ein konkretes Passwort in bekannten Dumps vorkommt
• API für Entwickler und Unternehmensanwendungen (kostenpflichtig)
• Domain-Abfrage: alle kompromittierten Konten einer Domain abfragen (kostenpflichtig, für Unternehmen)

HIBP ist der De-facto-Standard im Bereich Breach-Intelligence und wird von Browsern, Passwort-Managern und Sicherheitstools als Backend-Datenquelle verwendet.

Firefox Monitor (jetzt: Mozilla Monitor)

Mozilla hat den Firefox Monitor-Dienst ursprünglich 2018 in Zusammenarbeit mit Troy Hunt und der HIBP-Datenbank gestartet. Technisch basierte er vollständig auf der HIBP-API. Mozilla hat den Dienst inzwischen zu "Mozilla Monitor" weiterentwickelt und bietet zusätzlich Datenschutz-Monitoring für andere Plattformen an.

Für Nutzer, die sich nicht mit der HIBP-Oberfläche vertraut machen wollen, bietet Mozilla Monitor eine einsteigerfreundliche Alternative mit:

• verständlicher Aufbereitung der Treffer
• automatischen Benachrichtigungen bei neuen Datenpannen
• Empfehlungen zu konkreten Handlungsschritten

Technisch speist sich auch Mozilla Monitor aus der HIBP-Datenbank. Die Ergebnisse sind inhaltlich identisch - der Unterschied liegt im Nutzererlebnis.

HPI Identity Leak Checker

Das Hasso-Plattner-Institut (HPI) der Universität Potsdam betreibt mit dem Identity Leak Checker (sec.hpi.de/ilc) eine deutsche Alternative. Die Besonderheit: Das HPI überprüft nicht nur E-Mail-Adressen, sondern auch weitere Identitätsmerkmale wie Benutzernamen und meldet die Ergebnisse ausschließlich per E-Mail an die geprüfte Adresse - eine Datenschutzmaßnahme, die sicherstellt, dass Ergebnisse nur die tatsächliche Postfach-Inhaberin oder der Inhaber sieht.

Das Institut pflegt eine eigene Datenbank aus akademisch aufbereiteten Datenpannen und ergänzt damit die HIBP-Datenbasis in einigen Bereichen. Der Dienst ist kostenlos und ohne Registrierung nutzbar.

Google Password Checkup

Google bietet innerhalb des Google-Kontos unter passwords.google.com eine automatische Passwortprüfung an. Der Dienst prüft gespeicherte Google-Passwörter gegen bekannte Datenpannen und gibt Warnungen bei:

• kompromittierten Passwörtern
• mehrfach verwendeten Passwörtern
• schwachen Passwörtern

Ähnliche Funktionen bieten Apple (iCloud Keychain), 1Password, Bitwarden und andere Passwort-Manager direkt im Hintergrund an, ohne dass der Nutzer aktiv einen Check anstoßen muss.

Wie diese Dienste technisch funktionieren

Das grundlegende Prinzip aller genannten Dienste ist das Gleiche: Sie gleichen eine Anfrage gegen eine Datenbank bekannter Datenpannen ab. Das Datenschutzproblem dabei - niemand möchte ein Klartext-Passwort an einen externen Server schicken - lösen moderne Dienste mit einem eleganten kryptografischen Verfahren.

Have I Been Pwned verwendet beim Passwort-Check das sogenannte k-Anonymity-Modell, das auf dem 2002 von Latanya Sweeney (Carnegie Mellon University) im "International Journal on Uncertainty, Fuzziness and Knowledge-Based Systems" publizierten Prinzip basiert: Eine Datenabfrage ist k-anonym, wenn sich die Information eines Nutzers nicht von mindestens k-1 anderen Einträgen unterscheiden lässt. NIST SP 800-63B (2017) schreibt explizit vor, dass Passwort-Verifier neue Passwörter gegen bekannte Breach-Daten prüfen müssen - HIBP Pwned Passwords ist die praktische Umsetzung dieser Vorgabe:

Ablauf der Passwort-Prüfung mit k-Anonymity:

1. Passwort wird lokal im Browser gehasht (SHA-1)
   Beispiel: "geheim123" → 7c4a8d09ca3762af61e59520943dc26494f8941b

2. Nur die ersten 5 Zeichen des Hashes werden an die API gesendet
   → "7C4A8" (nicht das vollständige Passwort)

3. API antwortet mit allen bekannten Hashes, die mit "7C4A8" beginnen
   (typischerweise 400-900 Einträge)

4. Lokaler Abgleich: Browser prüft, ob der vollständige Hash
   in der zurückgelieferten Liste vorkommt

5. Ergebnis: Passwort kompromittiert (+ Häufigkeit) oder sicher
   → Der Server lernt nie das eigentliche Passwort oder den vollständigen Hash

Für E-Mail-Checks ist das Verfahren weniger aufwändig, da die E-Mail-Adresse keine geheime Information darstellt - sie ist der Suchschlüssel. Die Dienste speichern nur kompromittierte Daten, keine Informationen über Anfragen.

Was tun bei einem Treffer - Sofortmaßnahmen

Ein Treffer im Datenleck-Check bedeutet nicht zwingend, dass ein Konto gerade aktiv missbraucht wird. Es bedeutet: Die E-Mail-Adresse oder das Passwort ist in kriminellen Kreisen bekannt und kann jederzeit für Angriffe genutzt werden.

Sofortmaßnahmen nach einem Treffer:

1. Passwort sofort ändern Das bei der Datenpanne verwendete Passwort auf allen Diensten ändern, auf denen es eingesetzt wurde. Auch ähnliche Varianten (Hoch- und Herunterzählen, angehängte Jahreszahlen) sind als kompromittiert zu betrachten.

2. Einzigartiges Passwort setzen Für jeden Dienst ein eigenes, zufällig generiertes Passwort verwenden. Ein Passwort-Manager (Bitwarden, 1Password oder vergleichbare Produkte) nimmt die Last der Verwaltung ab.

3. Zwei-Faktor-Authentifizierung aktivieren MFA oder 2FA ist der wirksamste Schutz gegen Credential Stuffing. Selbst mit gestohlenem Passwort kann ein Angreifer ohne den zweiten Faktor nicht einloggen. TOTP-Apps (Authenticator) oder Hardware-Keys (FIDO2) sind SMS-basiertem 2FA vorzuziehen.

4. Betroffene Dienste prüfen Die in den Datenpannen-Details genannten Dienste auf ungewöhnliche Aktivitäten prüfen: Letzte Anmeldungen, Weiterleitungsregeln in E-Mail-Konten, verknüpfte Zahlungsmethoden.

5. Alarmbereitschaft bei Phishing Nach einem bekannt gewordenen Datenleck steigt das Phishing-Risiko. Kriminelle nutzen erbeutete E-Mail-Adressen für gezielte Angriffe. E-Mails mit Dringlichkeit oder verdächtigen Links kritisch hinterfragen.

Was ein Datenleck-Check nicht kann: Das bereits kompromittierte Datenmaterial aus dem Umlauf nehmen. Die gestohlenen Daten existieren weiter - der Check gibt lediglich Transparenz darüber, dass ein Handlungsbedarf besteht.

Die Unternehmensperspektive - Domain-Monitoring und Breach Detection

Für Privatpersonen reicht ein gelegentlicher manueller Check. Unternehmen stehen vor einer anderen Herausforderung: Hunderte oder tausende Mitarbeiterkonten, Geschäfts-E-Mail-Adressen und Systeme, die kontinuierlich im Visier von Angreifern sind.

Domain-Monitoring

Have I Been Pwned bietet Unternehmen die Möglichkeit, die komplette Domain zu überwachen. Damit wird jeder neu entdeckte Datensatz, der eine E-Mail-Adresse der eigenen Domain enthält, automatisch gemeldet - ohne dass jede Adresse einzeln geprüft werden muss. Das ist besonders relevant, weil:

• ausgeschiedene Mitarbeiter oft noch in Datenpannen auftauchen
• Mitarbeiter Unternehmens-E-Mails für externe Dienste nutzen
• kompromittierte Accounts als Ausgangspunkt für Business E-Mail Compromise (BEC) dienen

AWARE7 wurdeichgehackt.de

AWARE7 betreibt mit wurdeichgehackt.de einen eigenen B2B-Datenleck-Checker speziell für Unternehmen im DACH-Raum. Der Dienst geht über einen einfachen E-Mail-Check hinaus und analysiert eine Domain mit 24 parallelen Sicherheitschecks:

• Abgleich gegen Have I Been Pwned (Domain-Level)
• DNS-Konfiguration (DMARC, SPF, DKIM, DNSSEC)
• Typosquatting-Erkennung (ähnliche Domains)
• Dark-Web-Exposure-Analyse
• Offene Ports und Dienste
• SSL-Zertifikat-Bewertung
• Reputation-Checks (Blacklists, AbuseIPDB)

Das Ergebnis ist ein strukturierter Sicherheitsscore (0-100, Schulnote A+ bis F) mit konkreten Handlungsempfehlungen. Auf Wunsch wird ein PDF-Report per E-Mail zugestellt. Der Dienst richtet sich an Mittelständler, die ohne eigenes IT-Sicherheitsteam einen schnellen Überblick über ihre externe Angriffsfläche benötigen.

Kontinuierliche Breach-Detection

Manuelle Checks sind reaktiv - sie zeigen, was bereits passiert ist. Professionelle Attack-Surface-Management-Lösungen und SIEM-Systeme integrieren Breach-Intelligence-Feeds kontinuierlich und alarmieren in Echtzeit, sobald neue Datenpannen relevante Unternehmenskonten betreffen.

Im Rahmen eines Penetrationstests prüft AWARE7 auch die OSINT-Exposition eines Unternehmens: Welche Mitarbeiterdaten sind öffentlich verfügbar? Welche Zugangsdaten kursieren im Darknet? Diese Erkenntnisse fließen direkt in die Bewertung der Angriffsfläche ein.

Prävention - Wie Unternehmen und Privatpersonen sich schützen

Datenlecks entstehen bei externen Diensten - ein vollständiger Schutz davor ist nicht möglich. Wohl aber lässt sich die Schadwirkung eines Lecks systematisch begrenzen.

Passwort-Hygiene:

• Jeder Dienst erhält ein einzigartiges, zufällig generiertes Passwort (mindestens 16 Zeichen)
• Passwort-Manager übernehmen Generierung und Verwaltung
• Unternehmens-E-Mail-Adressen nicht für private Dienste verwenden

Authentifizierung:

• MFA auf allen geschäftskritischen Systemen als Pflicht
• FIDO2-Hardware-Keys für privilegierte Konten (Admins, Geschäftsführung)
• Single Sign-On (SSO) mit zentralem Identity Provider reduziert die Anzahl separat verwalteter Konten

Monitoring:

• Domain-Monitoring bei HIBP einrichten
• Regelmäßige Checks für alle Mitarbeiter-E-Mail-Adressen (mindestens quartalsweise)
• Darknet-Monitoring als Teil eines umfassenden Threat-Intelligence-Programms

Awareness:

• Mitarbeiter über Credential Stuffing und die Risiken von Passwort-Wiederverwendung schulen
• Phishing-Simulationen nach bekannten Datenpannen intensivieren - Angreifer nutzen Lecks gezielt für gezielte Spear-Phishing-Kampagnen
• Klare Prozesse für den Fall einer internen Meldung ("Mein Account erscheint in einem Datenleck")

Technische Maßnahmen auf Systemseite:

• Eigene Dienste auf Credential-Stuffing-Angriffe überwachen (Login-Raten, Geo-Anomalien)
• Kompromittierte Passwörter beim Setzen neuer Passwörter gegen HIBP Pwned Passwords API prüfen
• Breached-Password-Detection in Identity-Providern aktivieren (Azure AD, Okta u. a. bieten dies an)

Datenleck-Checks sind kein Allheilmittel, aber ein unverzichtbarer Bestandteil eines realistischen Sicherheitskonzepts. Sie schaffen Transparenz darüber, welche Konten bereits in kriminellen Datenbanken gelistet sind - und geben damit die Grundlage für gezielte Gegenmaßnahmen, bevor ein Angreifer die Information ausnutzt.

Bekannte Datenlecks - dokumentierte Vorfälle

Die folgenden Vorfälle illustrieren das Spektrum realer Datenpannen: von physischem Datendiebstahl über Hacker-Angriffe auf aktive Systeme bis hin zur gefährlichen Kombination mehrerer Lecks. Sie zeigen, warum regelmäßige Datenleck-Checks notwendig sind und welche Angriffsvektoren jenseits klassischer Passwort-Kompromittierungen existieren.

AT&T (2021/2024) — 70 Millionen Kundendaten

Im August 2021 bot die Hackergruppe ShinyHunters in einem Untergrund-Forum angeblich 70 Millionen AT&T-Kundendaten für eine Million US-Dollar an. Eine veröffentlichte Datenprobe galt mehreren Sicherheitsforschern als authentisch; AT&T bestritt einen direkten Abfluss aus den eigenen Systemen. ShinyHunters war zuvor bereits mit großen Datenpannen bei Microsoft, Tokopedia und anderen Diensten in Verbindung gebracht worden - beim Nitro-PDF-Breach 2021 wurden 77 Millionen Konten für lediglich drei US-Dollar angeboten. Im März 2024 bestätigte AT&T schließlich, dass Daten von etwa 73 Millionen aktuellen und ehemaligen Kunden betroffen waren, darunter verschlüsselte Sozialversicherungsnummern, Passcodes und Kontaktdaten.

Lehre: Auch wenn ein Unternehmen einen Breach zunächst bestreitet, können gestohlene Daten jahrelang im Umlauf bleiben und später in neuen Angriffen wiederverwendet werden.

Mitfahrzentrale.de / Mitfahrgelegenheit.de (2016) — 638.000 IBAN-Nummern

Obwohl beide Plattformen seit März 2016 eingestellt waren, wurden ihre Archive gehackt. Angreifer stahlen 638.000 IBAN-Nummern sowie rund 101.000 E-Mail-Adressen und 15.000 Mobilnummern. Hinterbetreiber Comuta SA (auch Betreiber von BlaBlaCar) versicherte, dass aktive BlaBlaCar-Nutzer nicht betroffen seien und die Daten verschlüsselt vorlagen - allerdings ohne den verwendeten Algorithmus zu nennen. Da veraltete Hashing-Verfahren in Millisekunden gebrochen werden können, bot diese Aussage nur begrenzte Sicherheit.

Lehre: Archive abgeschalteter Dienste müssen aktiv gelöscht werden. Verschlüsselung ohne Transparenz über den Algorithmus ist kein verlässlicher Schutz.

Datenlecks kombinieren — der Ashley-Madison-Effekt (2020, Harvard-Studie)

Einzelne Datenlecks wirken für sich genommen oft harmlos. Zwei Studierende der Harvard University demonstrierten das Gegenteil: Sie verknüpften automatisiert öffentlich zugängliche Datensätze - darunter den Experian-Breach von 2015 mit 15 Millionen T-Mobile-USA-Kundendaten (physische Adresse, Telefonnummer, Bonität, Anzahl der Kinder) - mit Nutzerdaten einer Fremdgeh-Plattform. Innerhalb kürzester Zeit identifizierten sie eintausend wohlhabende, verheiratete Personen, deren Nutzernamen auf der Plattform auftauchten. Ähnlich aufgebaute Datenbanken erstellten sie für hochrangige US-Politiker.

Solche angereicherten Profile ermöglichen hochgradig personalisierte Spear-Phishing-Angriffe, weil Angreifer Ziele nach Bonität, Familienstand und Verhalten filtern können - ohne dass das eigentliche Zielunternehmen jemals direkt kompromittiert wurde.

Lehre: Auch Datensätze, die "nur" Benutzernamen oder scheinbar unkritische Attribute enthalten, erhöhen die Angriffsfläche, wenn sie mit anderen Lecks kombiniert werden. Credential Stuffing und Spear Phishing werden durch Datenkombination deutlich effektiver.

Facebook — Gehaltsdaten von 29.000 Mitarbeitenden (2020)

Kein Hackerangriff, sondern physischer Diebstahl: Festplatten einer Facebook-Mitarbeiterin wurden aus ihrem Auto gestohlen. Die Datenträger enthielten unverschlüsselt Gehaltsdaten, Namen, die letzten vier Ziffern der Sozialversicherungsnummer sowie Informationen über Mitarbeiterbeteiligungen und Zuschläge von rund 29.000 Beschäftigten. Zwischen Diebstahl und interner Meldung vergingen drei Tage; die betroffenen Mitarbeitenden wurden erst drei Wochen später informiert. Hätten die Festplatten eine Vollverschlüsselung verwendet, wäre der Schaden auf den materiellen Verlust der Hardware beschränkt geblieben.

Lehre: Physischer Datendiebstahl ist ein unterschätzter Risikovektor. Festplattenverschlüsselung (BitLocker, FileVault) und verbindliche Meldefristen für verlorene Datenträger sind als Mindeststandard im Sicherheitskonzept zu verankern.

DiskFiltration — Festplattengeräusche als verdeckter Kanal (2016, Forschung)

Sicherheitsforscher der Ben-Gurion-Universität Israel demonstrierten mit der Malware DiskFiltration einen ungewöhnlichen Angriff: Der Schreib-/Lesekopf einer HDD-Festplatte wird als verdeckter akustischer Kanal missbraucht, um Daten aus physisch isolierten Air-Gap-Systemen zu exfiltrieren - mit einer Übertragungsrate von 180 Bit pro Sekunde. Der Angriff erfordert sowohl Malware auf dem Zielsystem als auch ein Aufnahmegerät in der Nähe der Festplatte. Da SSDs keinen mechanischen Kopf besitzen, ist er auf HDD-Laufwerke beschränkt.

Dieser Fall fällt nicht in die klassische Kategorie von Datenlecks durch Passwort-Kompromittierung. Er zeigt jedoch, dass Angreifer auf hochsicheren Systemen Kanäle nutzen, die im normalen Bedrohungsmodell nicht berücksichtigt werden.

Lehre: Für hochsichere Umgebungen (KRITIS, Behörden, Rüstung) müssen auch physische Seitenkanäle im Bedrohungsmodell berücksichtigt werden. Für Standardunternehmen ist dieser Angriff derzeit eher akademisch relevant.

Credential Reuse — wie ein Leak viele Konten kompromittiert

Das Werkzeug Cr3d0v3r (öffentlich auf GitHub verfügbar) automatisierte Credential-Reuse-Angriffe: Es suchte in bekannten Datenleck-Datenbanken nach einer E-Mail-Adresse, ermittelte das dort gestohlene Passwort und testete diese Kombination automatisiert gegen Dutzende populärer Webseiten. Ein einziger kompromittierter Datensatz genügte, um Zugang zu allen Diensten zu erlangen, auf denen dieselbe Kombination verwendet wurde. Gelingt Angreifern dadurch der Zugang zum primären E-Mail-Konto, ist eine Wiederherstellung der übrigen Konten über die übliche "Passwort vergessen"-Funktion nicht mehr möglich.

Lehre: Passwort-Wiederverwendung multipliziert den Schaden jedes einzelnen Lecks. Jeder Dienst benötigt ein einzigartiges, zufällig generiertes Passwort - ein Passwort-Manager ist die einzig realistische Umsetzung für mehr als fünf Dienste.