Portable USB Tools Portable USB Tools

Serie: Sicher im Netz (Teil 3) – Datenlecks & Identitätsschutz

18. März 2026

Jeder vierte Deutsche war 2025 von einem Leak betroffen. Was hinter kompromittierten Daten steckt, wie du deine Betroffenheit prüfst und warum E-Mail-Aliase langfristig schützen.

Was passiert mit deinen Daten, wenn eine Webseite gehackt wird?

Jeder vierte Deutsche. Das ist nicht irgendeine Zahl — das sind 18,6 Millionen kompromittierte Accounts, die allein 2025 bekannt wurden (Netzwelt, 2026). Und die Dunkelziffer liegt vermutlich deutlich höher, denn viele Sicherheitsvorfälle werden nie öffentlich, weil Unternehmen sie entweder nicht bemerken oder verschweigen.

Wenn du noch nie geprüft hast, ob deine E-Mail-Adresse in einem der unzähligen Sicherheitsvorfälle der letzten Jahre aufgetaucht ist, ist die Wahrscheinlichkeit hoch, dass du längst dazugehörst — denn statistisch gesehen war jede Deutsche und jeder Deutsche bereits sieben Mal von geleakten Daten betroffen (Surfshark-Analyse, zitiert in All About Security). Gewissheit ist in so einem Fall besser als Ignoranz, und in fünf Minuten weißt du Bescheid — danach können wir dafür sorgen, dass dich der nächste Vorfall weniger trifft.

Datenlecks betreffen jeden

Sicherheitsvorfälle sind kein Randphänomen, das nur Tech-Nerds und Sicherheitsforscher betrifft, denn sie treffen Großkonzerne wie Amazon und Adobe genauso wie den kleinen Online-Shop um die Ecke, der seine Kundendatenbank auf einem veralteten Server betreibt und nie ein Sicherheitsupdate eingespielt hat — und die Konsequenzen für Betroffene reichen von nervigem Spam über persönliche Identitätsdiebstahl bis hin zu finanziellen Schäden, die sich schnell in die Hunderte oder Tausende Euro bewegen können, wenn Kriminelle mit deinen gestohlenen Daten Konten eröffnen oder Zahlungen autorisieren.

Die durchschnittlichen Kosten eines Sicherheitsvorfalls für ein Unternehmen liegen bei 3,87 Millionen Euro (IBM Cost of a Data Breach 2025), wobei deutsche Unternehmen im internationalen Vergleich zwar besonders schnell reagieren — die durchschnittliche Erkennungszeit liegt bei 170 Tagen und damit 71 Tage unter dem weltweiten Schnitt — aber für dich als Nutzerin oder Nutzer ist entscheidend, was in den geleakten Daten steckt, denn es sind selten nur E-Mail-Adressen, die kompromittiert werden, sondern häufig auch Passwörter, Telefonnummern, Geburtsdaten, Adressen und in manchen Fällen sogar biometrische oder Gesundheitsdaten, die Kriminelle zu immer detaillierteren Profilen über dich zusammensetzen können.

Wo du nachschauen kannst, ob deine Daten geleakt wurden

Es gibt drei empfehlenswerte Dienste, mit denen du innerhalb von Sekunden prüfen kannst, ob deine E-Mail-Adresse in einem bekannten Sicherheitsvorfall aufgetaucht ist — und zwei davon stammen aus Deutschland, was in Sachen Datenschutz ein nicht unwesentlicher Vorteil ist.

EIDI Leak Checker der Uni Bonn

Der EIDI Leak Checker der Universität Bonn ist mit über 55 Milliarden Identitäten die größte deutschsprachige Datenbank für geleakte Daten (Identeco), die monatlich rund 300 Millionen neue Datensätze aus dem Deep und Dark Web hinzufügt und dabei aktiv nach kompromittierten Daten sucht. Der Dienst ist DSGVO-konform, verschickt die Ergebnisse per E-Mail und zeigt dir das erste und letzte Zeichen geleakter Passwörter an, damit du erkennst, ob es sich um ein aktuelles oder veraltetes Passwort handelt, ohne dass das Passwort dabei preisgegeben wird.

HPI Identity Leak Checker

Der HPI Identity Leak Checker des Hasso-Plattner-Instituts in Potsdam geht einen Schritt weiter als die reine Passwort-Prüfung und zeigt dir, welche konkreten Datenkategorien betroffen sind — ob neben der E-Mail-Adresse auch Telefonnummer, Adresse, Geburtsdatum oder sogar Ausweisdaten geleakt wurden, was dir eine bessere Einschätzung ermöglicht, wie ernst der jeweilige Vorfall für dich persönlich ist. Die Ergebnisse werden ebenfalls per E-Mail verschickt.

Have I Been Pwned

Have I Been Pwned (HIBP) ist die weltweit größte öffentliche Datenbank mit über 17 Milliarden Datensätzen und liefert sofort Ergebnisse, allerdings sind diese auch sofort öffentlich einsehbar, was nicht den Anforderungen der DSGVO entspricht (Identeco) — für schnelle Checks trotzdem nützlich, zumal du dort auch einen Account erstellen und Alerts aktivieren kannst, damit du bei neuen Sicherheitsvorfällen sofort per E-Mail benachrichtigt wirst.

E-Mail-Aliase: Warum sie dich vor dem nächsten Vorfall schützen

Die unbequeme Wahrheit ist, dass Sicherheitsvorfälle nicht aufhören werden, denn je mehr Online-Dienste es gibt, desto mehr Angriffsflächen entstehen, und die Wahrscheinlichkeit, dass einer davon betroffen ist, steigt mit jedem zusätzlichen Konto, das du anlegst — du kannst aber kontrollieren, wie stark dich der nächste Vorfall trifft, indem du für jeden Dienst eine eigene Adresse verwendest, die nicht deine echte ist, sondern ein sogenannter Alias.

Deine E-Mail-Adresse ist der universelle Identifikator im Netz: Wer überall dieselbe Adresse nutzt, wird über Plattformen hinweg getrackt, bekommt gezielte Phishing-Mails auf mehrere Konten gleichzeitig und kann nicht nachvollziehen, welcher Dienst die Adresse an Dritte weitergegeben hat. Ein Alias ist im Grunde eine Weiterleitungsadresse — du gibst bei der Registrierung eine Adresse wie shoppen.xyz123@simplelogin.com an, alle Mails gehen automatisch an dein echtes Postfach weiter, aber der Absender erfährt nie deine tatsächliche Adresse, und wenn dieser Dienst irgendwann kompromittiert wird, löschst du einfach den Alias und der Kriminelle hat eine wertlose Adresse, während dein echtes Postfach sauber bleibt.

SimpleLogin 🇫🇷

SimpleLogin gehört seit 2022 zur Proton AG aus der Schweiz und ist damit ein europäischer Anbieter, der unter strengen Datenschutzregeln operiert und die DSGVO vollständig einhält — die Software ist quelloffen, die Server stehen in der Schweiz und Finnland, und es gibt keine Werbung oder Tracker. Zu den Funktionen gehören das Senden und Empfangen über Aliase, eigene Domains, PGP-Verschlüsselung, Browser-Erweiterungen für Chrome, Firefox und Safari, mobile Apps für iOS und Android (auch über F-Droid), eine Bitwarden-Integration, die Aliase automatisch beim Anlegen neuer Logins erstellt, und die Möglichkeit zum Self-Hosting via Docker. Die Basisversion ist kostenlos und umfasst 15 Aliase, das Premium-Abo kostet ab etwa 30 Euro pro Jahr und bietet unbegrenzte Aliase sowie erweiterte Funktionen.

addy.io 🇬🇧

Addy.io (ehemals AnonAddy) ist ebenfalls Open Source und bietet in der kostenlosen Stufe unbegrenzte Aliase — eine Besonderheit, die kein anderer Anbieter in diesem Umfang liefert, wobei Aliase on-the-fly erstellt werden können, ohne sie vorher anlegen zu müssen, indem du einfach eine beliebige Adresse im Format beliebig@username.anonaddy.com verwendest. Der Dienst unterstützt eigene Domains, eine Catch-All-Funktion, GPG/OpenPGP-Verschlüsselung, eine Reply-to-Funktionalität mit mehreren Empfängern pro Alias sowie Browser-Erweiterungen, mobile Apps und einen API-Zugang für Automatisierung — die Premium-Stufe kostet ab etwa 12 Euro pro Jahr und erweitert die Möglichkeiten um weitere Features wie mehrere Custom-Domains.

Firefox Relay 🇺🇸

Mozilla Firefox Relay bietet bis zu fünf E-Mail-Masks kostenlos an, wobei die Premium-Variante unbegrenzte Masks plus Telefonmaskierung, Tracker-Entfernung und einen Werbeblocker liefert und in Deutschland, Österreich und der Schweiz verfügbar ist — der Dienst ist proprietär, wird aber von der Mozilla Foundation betrieben, die als Non-Profit-Organisation hohe Datenschutzstandards einhält und nicht auf Gewinnmaximierung aus ist.

Apple „E-Mail verbergen" 🇺🇸

Über iCloud+ (ab 0,99 Euro pro Monat) bietet Apple eine nahtlos in iOS und macOS integrierte Alias-Funktion, die sich besonders für Nutzer im Apple-Ökosystem anbietet, allerdings ist der Dienst nicht portabel und ausschließlich auf Apple-Geräten nutzbar, weshalb er für plattformunabhängige Lösungen weniger geeignet ist.

Alternative: Wegwerf-Adressen für Einmal-Nutzung

Für Registrierungen, die du wirklich nur einmal brauchst — Artikel-Lesezwänge, Newsletter-Probeabos, Testzugänge — eignen sich temporäre Adressen von Diensten wie 10MinuteMail oder Guerrilla Mail, die Adressen für wenige Minuten oder Stunden bereitstellen und dann automatisch löschen, sodass deine Daten gar nicht erst in einer Datenbank landen, die später kompromittiert werden könnte.

Was du bei einem Sicherheitsvorfall tun solltest

Wenn deine Daten tatsächlich geleakt wurden, solltest du nicht in Panik geraten, aber zügig handeln, denn je länger du wartest, desto mehr Gelegenheit geben du Kriminellen — und es gibt eine Reihe konkreter Schritte, die du sofort umsetzen kannst, um den Schaden einzugrenzen.

  1. Passwort sofort ändern — und zwar nicht nur beim betroffenen Dienst, sondern überall dort, wo du dasselbe oder ein ähnliches Passwort verwendet hast, denn Kriminelle probieren geleakte Passwörter automatisiert bei anderen Diensten aus, was als Credential Stuffing bekannt ist und bei wiederverwendeten Passwörtern zu einer Kettenreaktion führen kann. Am besten nutzt du dabei einen Passwort-Manager (siehe Teil 1 unserer Serie), um für jeden Dienst ein einzigartiges, zufällig generiertes Passwort zu erstellen.

  2. Zwei-Faktor-Authentifizierung aktivieren — falls du das noch nicht getan hast, solltest du 2FA bei allen wichtigen Konten einrichten (siehe Teil 2 unserer Serie), denn selbst wenn dein Passwort geleakt wird, braucht ein Angreifer ohne den zweiten Faktor keinen Zugang zu deinem Konto. Dabei solltest du auf Authentifizierungs-Apps setzen und nicht auf SMS-Codes, die durch SIM-Swapping abgefangen werden können.

  3. Kontoauszüge und Transaktionen prüfen — überprüfe in den Tagen und Wochen nach einem bekannten Sicherheitsvorfall regelmäßig deine Bankkonten, Kreditkarten und Online-Zahlungsdienste auf ungewöhnliche Transaktionen, denn Kriminelle warten manchmal bewusst einige Zeit, bevor sie gestohlene Zahlungsdaten nutzen, in der Hoffnung, dass die Betroffenen den Vorfall bereits vergessen haben.

  4. Alias für den betroffenen Dienst einrichten — wenn du den betroffenen Dienst weiter nutzen willst, stelle ihn auf eine separate E-Mail-Adresse um, damit du bei einem erneuten Vorfall sofort weißt, wer verantwortlich ist, und den Alias jederzeit deaktivieren kannst, ohne dein gesamtes E-Mail-Setup ändern zu müssen.

  5. Betroffene Unternehmen kontaktieren — nach Artikel 15 der DSGVO hast du das Recht, vom betroffenen Unternehmen Auskunft darüber zu verlangen, welche konkreten Daten von dir geleakt wurden, und nach Artikel 33 müssen Unternehmen Sicherheitsvorfälle innerhalb von 72 Stunden an die zuständige Datenschutzbehörde melden, was bedeutet, dass du bei seriösen Anbietern in der Regel eine Benachrichtigung erhältst — solltest du keine erhalten haben, obwohl du betroffen bist, ist das ein Indiz dafür, dass das Unternehmen seine Meldepflicht verletzt hat.

Zurück zur Übersicht