Neues Datenleck: Sind Sie betroffen?

Es ist der wohl bislang größte Datensatz dieser Art mit fast zwei Milliarden E-Mail-Adressen und über einer Milliarde Passwörtern. Viele davon wurden noch nie zuvor veröffentlicht und sind damit noch aktiv. Die Daten stammen aus Datenlecks von verschiedenen Firmen aus den letzten Jahren und wurden nun in einer unvorstellbar großen Liste zusammengetragen und veröffentlicht. Diese Datensätze sind aber nicht nur den Internetkriminellen bekannt, sondern auch Sicherheitsinstituten, die den Kriminellen auf der Spur sind. Das Veröffentlichen der Listen dient damit auch dem Schutz der Nutzerinnen und Nutzer, denn dadurch kann man prüfen, ob die eigene E-Mail-Adresse oder ein eigenes Passwort ebenfalls auf diesen Listen auftauchen.

Dafür gibt es vertrauenswürdige Internetseiten, mit denen man das testen kann. Auf den Seiten kann man seine Mail-Adresse oder ein Passwort eingeben. Die Seite hat Zugriff auf den Datensatz und kontrolliert, ob Mail-Adresse oder Passwort auf dieser Liste auftauchen. Falls ja, wird man darüber informiert und sieht sogar, bei welchem Onlinedienst, den man in der Vergangenheit genutzt hat, die Daten gestohlen wurden und wann das war. Dann sollte man sofort das Passwort ändern, falls es nicht sowieso schon seit dem geändert wurde.

Hier können Sie es testen

Ein solcher Anbieter, mit dem man das testen kann und der sogar in Deutschland sitzt, ist das Hasso Plattner Institut. Auf der Internetseite können Sie Ihre E-Mail-Adresse eingeben, um zu schauen, ob Online-Identitäten veröffentlicht wurden. Dazu zählen auch zugehörige Daten wie Name, Anschrift oder Passwort für einen Onlinedienst. Die eingegebene Mail-Adresse wird abgeglichen und man erhält daraufhin per E-Mail eine Nachricht, in der man darüber informiert wird, ob die E-Mail-Adresse in Verbindung mit weiteren Daten schon in Datenlecks aufgetaucht ist. Außerdem erhält man eine Handlungsaufforderung, was dann zu tun ist. Der Vorteil ist, dass die Seite deutschsprachig ist und der Anbieter in Deutschland sitzt.

Hier geht es zu der Seite: HPI Identity Leak Checker 

Wir haben auch einen ausführlichen Film dazu erstellt:

Video von Levato (für Nichtmitglieder nur verfügbar bis 01.12.2025)

levato.de/wp-content/video/passwoerter/hpi_check.mp4;

Eine andere bekannte, aber englischsprachige Internetseite, mit der Sie testen können ob Ihre Mail-Adresse oder eines Ihrer Passwörter auf der neuesten Liste auftaucht, heißt Have I Been Pwned?, zu deutsch etwa “Wurde ich gehackt?” oder “Wurde ich offengelegt?”:

Die Seite ist zwar englischsprachig, aber trotzdem recht leicht verständlich. Tragen Sie dort Ihre E-Mail-Adresse oder eines Ihrer Passwörter ein und klicken Sie danach auf “Check”. Danach bekommen Sie eine Meldung, die entweder grün ist, und bedeutet, dass die Daten nirgendwo auftauchen und sicher sind. Oder Sie erhalten eine rote Meldung, die bedeutet, dass entweder die Mail-Adresse oder das Passwort auf einer der Listen auftauchen. Sollten Sie bei der E-Mail-Adresse eine Nachricht erhalten, so steht darunter, bei welchem Onlinedienst diese E-Mail-Adresse gestohlen wurde. Für diesen Dienst müssten Sie das Passwort ändern, falls dies nicht seitdem ohnehin passiert ist. Bedenken Sie: Die Datenlecks können auch viele Jahre zurückliegen.

Sollte bei einem Passwort die Meldung erscheinen, dass dieses auf einer der Listen auftaucht, so sollten Sie dieses Passwort nirgendwo mehr verwenden, egal bei welchem Dienst es vorher genutzt wurde. Sie können Ihre Passwörter auf dieser Seite bedenkenlos eintragen, sie werden verschlüsselt übertragen und mit der Liste abgeglichen, außerdem weiß die Internetseite ja nicht, wer gerade die Anfrage stellt und wofür dieses Passwort normalerweise verwendet wird. Auch wenn Sie sich ein neues Passwort für einen Onlinedienst ausdenken, können Sie vorher auf dieser Seite überprüfen, ob das Passwort schon auf der Liste der Kriminellen auftaucht und damit bekannt ist. Dann sollte man ein anderes Passwort wählen.

Hier geht es zur Überprüfung der Mail-Adresse:
https://haveibeenpwned.com

Hier geht es zur Überprüfung von Passwörtern:
https://haveibeenpwned.com/Passwords

Wir haben auch hierzu einen ausführlichen Film für Sie erstellt:

Video von Levato (für Nichtmitglieder nur verfügbar bis 01.12.2025)

levato.de/wp-content/video/passwoerter/hibp_check.mp4

Tipp: Wenn Sie den Google Chrome benutzen, können Sie rechts oben auf die drei Punkte klicken und die Seite auf Deutsch übersetzen lassen.

Zur Erklärung

Vor einigen Jahren wurden zum Beispiel Daten vom Anbieter “Telekom” durch Hacker öffentlich ins Netz gestellt. Eine Liste mit Kundendaten geriet in die Hände der Hacker, darauf waren teilweise Name, E-Mail-Adresse, das Telekom-Passwort und weitere sensible Daten zu finden. Die Hacker bewahren diese Liste auf. Es gibt über die Folgejahre hinweg weitere Datenpannen bei anderen Firmen (Dropbox, Facebook, Samsung, MediaMarkt) und die Hacker summieren alle diese Listen auf. Schlußendlich besitzen sie dann eine sehr lange Liste mit Mail-Adressen und Passwörtern, die sich aus verschiedenen Vorfällen von verschiedenen Firmen aus verschiedenen Jahren zusammensetzt. Und so kommt der aktuelle Fall mit den besonders zahlreichen Datensätzen zustande, darunter Dropbox, Facebook etc.

Die gute Nachricht:
Der aktuelle Fall mit der bisher längsten Liste (2 Milliarden Datensätze) enthält zwar auch E-Mail-Adressen, das bedeutet aber nicht automatisch, dass eine solche E-Mail-Adresse gefährdet ist oder gehackt wurde. Bei den meisten Internetseiten wird nämlich die E-Mail-Adresse als Benutzername verwendet. Deswegen können die E-Mail-Adressen auf den Listen auftauchen, obwohl die E-Mail-Adressen selbst nicht gehackt wurden. Es kann zum Beispiel sein, dass ein Dropbox-Zugang gehackt wurde, dieser besteht aus E-Mail-Adresse (als Benutzername) und Dropbox-Passwort. Somit taucht die E-Mail-Adresse im Datensatz der Hacker auf, aber nur im Zusammenhang mit dem Dropbox-Passwort. Das E-Mail-Passwort wäre dadurch nicht automatisch gehackt.

Die schlechte Nachricht:
Die meisten Menschen verwenden leider oft das identische Passwort an mehreren Stellen im Internet. Wenn also ein Facebook-Kunde das selbe Passwort auch bei der E-Mail-Adresse verwendet, dann ist durch den gehackten Facebook-Zugang nun auch die E-Mail-Adresse gefährdet. Man müsste also überall dort ein neues Passwort festlegen, wo das jeweilige gehackte Passwort verwendet wurde.

Wenn Ihre E-Mail-Adresse auf einer dieser Listen auftaucht, egal, in welchem Zusammenhang, so bedeutet das nicht, dass Sie die alte E-Mail-Adresse aufgeben müssen und sofort eine neue E-Mail-Adresse benötigen. Es genügt, das Passwort der betroffenen E-Mail-Adresse zu ändern und das Passwort bei den Onlinediensten zu ändern, bei denen diese gehackte Kombination (E-Mail-Adresse + Passwort) verwendet wurde.