Passwort Leaks checken: Was „Have I Been Pwned“ leistet

Juni 2025 | Cybercrime, Datenschutz, IT-Recht, Penetrationstests



Wussten Sie, dass Millionen E-Mail-Adressen und Passwörter regelmäßig bei Hackerangriffen gestohlen und im Darknet weiterverkauft werden – oft jahrelang unbemerkt? Wer wissen will, ob auch eigene geschäftliche oder private Daten betroffen sind, kommt an Have I Been Pwned nicht vorbei.

Als DEHOGA Bayern Kompetenzpartner berate ich, Rechtsanwalt Dr. Marc Maisch, Hotels und Gaststätten zur IT-Sicherheit und im Krisenfall. Bei Leaks, Phishing oder Cyberangriffen bin ich an Ihrer Seite. Lassen Sie Ihre E-Mail-Adressen jetzt überprüfen – bevor es zu spät ist.

Was ist „Have I Been Pwned“?

„Have I Been Pwned“ (kurz: HIBP) ist eine kostenfreie Datenbank, in der Sie prüfen können, ob Ihre E-Mail-Adresse Teil eines bekannten Datenlecks ist. Das Projekt wurde vom australischen IT-Sicherheitsexperten Troy Hunt ins Leben gerufen – einem weltweit anerkannten Microsoft Regional Director und MVP (Most Valuable Professional) für Security.
Die Idee: Transparenz schaffen, um betroffene Nutzer und Unternehmen frühzeitig zu warnen und Schaden zu vermeiden.

Wie funktioniert Have I Been Pwned?

Sie rufen die Website haveibeenpwned.com auf. Dort geben Sie Ihre geschäftliche oder private E-Mail-Adresse ein.
Innerhalb weniger Sekunden zeigt Ihnen das System, ob diese Adresse in bekannten Datenlecks aufgetaucht ist – und aus welchem Leak. Optional: Sie können sich auch benachrichtigen lassen, wenn Ihre E-Mail in zukünftigen Leaks auftaucht.

Wie entstehen Passwort-Leaks überhaupt?

Die häufigsten Ursachen: Hackerangriffe auf Plattformen: Wenn Webseiten oder Dienste wie LinkedIn, Adobe, Marriott oder Booking.com gehackt werden, stehlen die Angreifer oft Millionen von Login-Daten. Unsichere Passwörter: Nutzer verwenden zu einfache oder mehrfach verwendete Passwörter. Das macht es Angreifern leicht. Phishing: Betrüger locken Nutzer über gefälschte E-Mails auf Login-Seiten, um dort Zugangsdaten abzufangen. Unzureichende Sicherheitsmaßnahmen bei Unternehmen, insbesondere im KMU-Bereich.

Ein Datenleck ist kein kleines Malheur – sondern oft der Anfang vom Ende der IT-Sicherheit. Typische Folgeangriffe:


1. Account-Übernahme
Angreifer testen geleakte Passwörter automatisiert bei anderen Diensten – oft mit Erfolg, weil viele Nutzer dasselbe Passwort mehrfach verwenden

2. Phishing im Namen Ihres Unternehmens
Wird ein geschäftliches E-Mail-Konto kompromittiert, können Kriminelle daraus gefälschte Nachrichten an Kunden senden – mit Rechnungen, Buchungsbestätigungen oder Schadsoftware im Anhang.

3. Onlinebanking & Zahlungsdienste
Hat ein Hacker Zugriff auf Zugangsdaten oder kann Zwei-Faktor-Codes abfangen, droht Kontoplünderung.

4. Identitätsdiebstahl
Mit gestohlenen Daten können Angreifer Konten eröffnen, Bestellungen tätigen oder gefälschte Webseiten im Namen Ihres Unternehmens erstellen – z.B. für betrügerische Buchungsplattformen.

Beispiel: Datenleck in einem Hotelbetrieb
Ein mittelständisches Hotel wird Opfer eines Credential-Stuffing-Angriffs. Ein Angreifer nutzt E-Mail-Adressen und Passwörter aus einem alten Booking.com-Leak und kann sich in das Hotel-Extranet einloggen. Dort stiehlt er virtuelle Kreditkartendaten der Gäste, storniert Reservierungen und hinterlegt neue Bankdaten für Rückerstattungen. Schaden: über 50.000 Euro. Nachträglich stellt sich heraus: Die verwendete E-Mail-Adresse des Hotels war seit Jahren in einem öffentlich bekannten Leak – niemand hatte es bemerkt.

Gibt es Alternativen zu Have I Been Pwned?

Ja, aber keine, die in puncto Umfang und Seriosität mithalten kann. Dennoch sind auch diese Tools hilfreich:
Firefox Monitor: Basiert ebenfalls auf HIBP, aber integriert in den Browser.
Deutsche Dienste wie HPI Identity Leak Checker (Hasso-Plattner-Institut) mit Fokus auf .de-Adressen.
Cybersecurity-Firmen bieten auch kostenpflichtige Monitoring-Services an (z.B. für Unternehmen mit vielen E-Mail-Domains).

Was tun bei Passwort Leak?

Was Sie jetzt tun sollten:

Prüfen Sie alle geschäftlichen und privaten E-Mail-Adressen – auch die Ihrer Mitarbeiter – auf Leaks.
Nutzen Sie Passwortmanager und aktivieren Sie Zwei-Faktor-Authentifizierung (2FA).
Führen Sie ein regelmäßiges Darknet-Monitoring durch, besonders bei hotelkritischen Systemen.
Schulen Sie Ihr Personal im Umgang mit Phishing und Passwortsicherheit.

Jetzt beraten lassen – bevor es zu spät ist
Sie sind sich unsicher, ob Ihr Hotel oder Ihr Unternehmen bereits betroffen ist? Sie wollen präventiv handeln oder haben bereits Anzeichen eines Angriffs festgestellt? Dann nehmen Sie Kontakt zu mir auf. Gerne trainieren wir den Ernstfall mit Ihren Mitarbeitern vor Ort oder online.

Als Rechtsanwalt Dr. Marc Maisch, Fachanwalt für IT-Recht und DEHOGA Bayern Kompetenzpartner unterstütze ich Hoteliers und Unternehmer beim Schutz vor Datenlecks, Phishing, Identitätsdiebstahl und Cyberangriffen.

👉 Jetzt Beratung anfordern.

PS: Kostenlose Erstberatung für DEHOGA Bayern e.V. Mitglieder.