Ist meine Email gehackt? So prüfst du es in 3 Minuten
Michael WolfIst meine Email gehackt? So findest du es heraus
Have I Been Pwned – kurz HIBP – hat aktuell über 17,5 Milliarden kompromittierte Ist meine Email gehackt? Diese Frage stellen sich inzwischen Millionen Menschen – und die ehrliche Antwort ist unbequem. Wenn du seit mehr als zehn Jahren im Internet unterwegs bist, liegt deine Email-Adresse mit hoher Wahrscheinlichkeit schon irgendwo in einer Datenbank, die du nicht kennst. Nicht als Drohung. Als Ausgangspunkt.
Have I Been Pwned – kurz HIBP – hat aktuell über 17,5 Milliarden kompromittierte Konten aus 974 dokumentierten Datenlecks erfasst. Das klingt nach einer abstrakten Zahl. Konkret heißt das: Fast jede Email-Adresse, die länger existiert, taucht dort irgendwo auf.
Die Frage ist also nicht, ob deine Email gehackt wurde. Die Frage ist wo – und was du daraus machst.
Ist meine Email gehackt oder mein Konto? Zwei Fälle unterscheiden
Zwei Dinge werden im Alltag oft vermischt:
Fall 1: Dein Email-Konto wurde übernommen. Jemand hat Zugriff auf dein Postfach, liest mit, versendet in deinem Namen. Das merkst du meist an verdächtigen Aktivitäten: unbekannte Logins, verschickte Mails in deinem Gesendet-Ordner, plötzlich geändertes Passwort.
Fall 2: Deine Email-Adresse wurde geleakt. Du hast dich irgendwann bei einem Dienst registriert – einem Shop, einem Forum, einem Newsletter. Dieser Dienst wurde gehackt, deine Adresse (oft zusammen mit Passwort, Adresse oder Geburtsdatum) ist seitdem im Umlauf.
Dieser Artikel behandelt Fall 2. Das ist der weitaus häufigere Fall – und die Basis für fast alle Angriffe, die zu Fall 1 führen. Denn wer dein geleaktes Passwort aus Forum X in die Hand bekommt, probiert es bei Gmail, PayPal und Amazon einfach mal aus.
Have I Been Pwned: der Standard für den Check
HIBP ist ein kostenloser Dienst, den der australische Sicherheitsforscher Troy Hunt 2013 ins Leben gerufen hat. Die Funktion ist simpel: Du gibst deine Email-Adresse ein, und die Seite sagt dir, in welchen bekannten Datenlecks diese Adresse aufgetaucht ist.
Das Wort „pwned" kommt aus der Gaming-Szene und bedeutet sinngemäß „übernommen" oder „kompromittiert". Wenn HIBP sagt, deine Adresse wurde gepwned, bedeutet das: Sie wurde bei einem Hack erbeutet und ist in Umlauf.
Hunt hat die Datenbank durch Einsendungen von Sicherheitsforschern und öffentlich gewordene Leaks aufgebaut. Sie wird heute von den Regierungen mehrerer Länder genutzt – darunter Großbritannien, Australien und Spanien – um die offiziellen Domains ihrer Behörden zu überwachen.
In drei Schritten prüfen, ob deine Email gehackt wurde
1. Seite aufrufen: haveibeenpwned.com
2. Email-Adresse eintragen und auf „Check" klicken.
3. Ergebnis lesen. Entweder erscheint die grüne Meldung „Good news — no pwnage found!" – oder eine rote Liste mit allen Datenlecks, in denen deine Adresse gefunden wurde.
Pro Eintrag siehst du, welcher Dienst betroffen war, wann der Hack stattfand, wie viele Konten erbeutet wurden und welche Daten konkret offengelegt wurden. Das kann von der reinen Email-Adresse bis zu Klartext-Passwörtern, Adressen, Geburtsdaten oder Kreditkartennummern reichen.
Was tun, wenn meine Email gehackt ist?
Die Liste allein bringt dir nichts. Entscheidend ist, was du daraus ableitest.
Passwörter ändern – und zwar richtig. Für jedes kompromittierte Konto: neues Passwort. Keine Variationen des alten. Keine Muster. Und nie mehr dasselbe Passwort für mehrere Dienste. Ein Passwortmanager wie Bitwarden oder KeePassXC nimmt dir die Arbeit ab, sich das zu merken.
Zwei-Faktor-Authentifizierung aktivieren. Überall, wo es geht. Nicht per SMS – die ist angreifbar – sondern per Authenticator-App wie Aegis (Android) oder Raivo (iOS), oder idealerweise per Hardware-Schlüssel wie Nitrokey oder YubiKey.
Einen Passwort-Check machen. HIBP bietet zusätzlich einen anonymen Passwort-Check unter haveibeenpwned.com/Passwords. Dort kannst du prüfen, ob ein Passwort bereits in Leaks aufgetaucht ist – ohne das Passwort im Klartext zu übertragen. Wenn ja: sofort ersetzen, egal wo du es benutzt.
Benachrichtigungen einrichten. Unter haveibeenpwned.com/NotifyMe kannst du dich eintragen, um automatisch eine Mail zu bekommen, wenn deine Adresse in einem neuen Leak auftaucht. Kostenlos.
Die unbequeme Nachricht
Im März 2025 wurde Troy Hunts eigener Mailchimp-Account durch eine Phishing-Attacke kompromittiert. 16.000 Newsletter-Abonnenten waren betroffen – inklusive IP-Adresse, abgeleiteter Geo-Koordinaten und Zeitzone. Ausgerechnet der Mann, der die größte öffentliche Datenbank für Datenlecks betreibt.
Was das zeigt: Niemand ist sicher. Auch nicht die Experten. Sicherheit ist kein Zustand, sondern eine Praxis.
Was HIBP nicht kann
HIBP ist ein nützliches Werkzeug, aber kein Schutzschild. Ein paar Einschränkungen, die du kennen solltest:
HIBP kennt nur, was öffentlich bekannt ist. Viele Leaks werden jahrelang im Verborgenen gehandelt, bevor sie in Hunts Datenbank landen. Ein „no pwnage found" heißt also nicht, dass deine Daten nicht kursieren – nur dass HIBP nichts davon weiß.
HIBP prüft primär Email-Adressen. Für weitergehende Suchen – nach Telefonnummern, Klarnamen, Adressen oder Sozialversicherungsnummern – gibt es inzwischen Alternativen wie DataBreach.com von Atlas Privacy. Auch dort findest du Zugang zu mehreren Milliarden geleakten Datensätzen.
HIBP ändert nichts an deinen Gewohnheiten. Die Liste wird nicht kürzer, wenn du dich nicht änderst.
Die grundsätzlichere Frage
Sich zu fragen „Ist meine Email gehackt?" ist ein guter erster Reflex. Die bessere Frage ist: Warum ist meine Adresse überhaupt an so vielen Orten?
Jeder Dienst, bei dem du dich mit deiner Haupt-Email registrierst, ist ein zukünftiges Datenleck. Jeder Shop, jedes Forum, jeder Newsletter. Du kannst nicht verhindern, dass Unternehmen gehackt werden. Aber du kannst entscheiden, wie viel von dir sie überhaupt haben.
Drei Werkzeuge, die dabei helfen:
Alias-Email-Adressen. Dienste wie SimpleLogin oder addy.io erzeugen für jede Anmeldung eine eigene Wegwerfadresse, die an deine echte weiterleitet. Wird ein Dienst gehackt, ist nur dieser eine Alias betroffen – und du weißt sofort, woher der Spam kommt.
Passwortmanager mit Datenleck-Monitoring. Bitwarden und 1Password prüfen deine gespeicherten Zugänge automatisch gegen bekannte Leaks.
Weniger Konten. Die effektivste Maßnahme ist die, die man am häufigsten vergisst: Accounts löschen, die du nicht mehr brauchst. Was nicht existiert, kann nicht geleakt werden.
Fazit
Have I Been Pwned ist ein ehrlicher Dienst in einer unehrlichen Umgebung. Kostenlos, werbefrei, ohne Datensammelei, ohne Panikmache. Nutze ihn, um zu sehen, wo du stehst.
Wenn du tiefer einsteigen willst, wie man sich digital souveräner aufstellt – von Passwortmanagern über verschlüsselte Kommunikation bis zu eigenen Servern – schau dir unsere Workshops an. Kein Coaching, keine Gurus. Werkzeuge und Orientierung.
Newsletter
Bitcoin, Privacy und digitaler Selbstschutz – plus Infos zu Workshops. Kein Spam, jederzeit kündbar.
Weiterempfehlen
Dein Teilen ist unser Proof of Work ❤️
Hat dir der Artikel gefallen?
Zap ein paar Sats und unterstütze unabhängigen Bitcoin-Content.
Mitdiskutieren
Gib uns Feedback zum Artikel und stell deine Fragen in der Community – du bist herzlich willkommen!
Telegram-Community
Workshops
Bitcoin und digitale Selbstverteidigung. Für alle, die verstehen wollen, wie es wirklich funktioniert.
₿ part of the Evolution
Suchst du noch nach dem passenden Outfit, um beim Abendessen dezent auf das seltenste Element im Universum aufmerksam zu machen?
Hinweis
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Kryptowährungen sind mit hohen Risiken verbunden. Den vollständigen Haftungsausschluss findest du hier.
Michael Wolf
Berater für Informationssicherheit · Bitcoinlighthouse
Seit 2021 helfe ich Menschen dabei, sich durch Open-Source-Lösungen wie Bitcoin, Linux und GrapheneOS unabhängiger zu machen und digitale Sicherheit sowie Souveränität zu erlangen.
