Sie haben die Möglichkeit herauszufinden, ob Ihre E-Mail-Adresse in einem Datenleck aufgetaucht ist. Dabei erhalten Sie Informationen darüber, welcher Dienst betroffen war, welche Daten (wie E-Mail, Passwort-Hash oder Telefonnummer) gestohlen wurden und wann der Vorfall ungefähr stattgefunden hat. Ausserdem lässt sich ein einzelnes Passwort überprüfen: Sie sehen, wie häufig es bislang in bekannten Datenlecks gefunden wurde – ohne, dass eine Verknüpfung zu Ihrer Identität erforderlich ist.
Zusätzlich besteht die Möglichkeit, eine Benachrichtigung einzurichten, damit Sie informiert werden, falls Ihre Daten künftig kompromittiert werden.

1. Sofortiges Passwort-Reset beim betroffenen Dienst.
2. Identische Passwörter an allen anderen Stellen ändern („Credential-Stuffing“-Schutz).
3. 2-Faktor-Authentifizierung (2FA) aktivieren.
4. Mails aus dem betroffenen Zeitraum skeptisch beäugen – Betrüger nutzen gern geleakte Daten, um Vertrauen zu erzeugen.

• Keine Wiederverwendung
  „Ein Passwort pro Dienst“ ist Pflicht. Nutze einen Passwort-Manager (Bitwarden, KeePassXC, LastPass, iCloud Keychain).
• Starke, einmalige Passwörter
  16–20 zufällige Zeichen oder eine 4–5-wortige Passphrase („correct-horse-battery-staple“). Bei der Nutzung eines Passwort-Manager erledigt dieser das Erzeugen und Merken für dich ;-).
• Zwei-Faktor-Authentifizierung nutzen
  Priorisierung:
  Passkey / FIDO2 (z. B. YubiKey, Token2)
  TOTP-App (Microsoft Authenticator, Google Authenticator,
  SMS nur, wenn nichts anderes möglich (SIM-Swap-Risiko!)
• oder noch besser, Passkeys nutzen
  Google, Apple, Microsoft, GitHub, PayPal und viele Banken unterstützen inzwischen FIDO2/WebAuthn.
  Kein Passwort mehr nötig, phishing-resistent durch asymmetrische Kryptografie.
• Backup & Recovery
  Hardware-Keys besser doppelt hinterlegen (zweiten Key sicher verstauen).
  Wiederherstellungscodes ausdrucken und in einem Tresor ablegen.
• regelmässiges Checken und aufräumen
  •    Alle 6–12 Monate: HIBP-Check + alte, schwache Passwörter im Manager aufspüren.
  •    Veraltete oder ungenutzte Accounts löschen (Digital-Minimalismus).
• Wachsam bleiben
  •    Niemals Passwörter auf Anruf, E-Mail oder SMS preisgeben – egal wie dringend es klingt.
  •    Browser-Adressleiste prüfen: korrekte Domain, HTTPS-Zeichen, Gütigkeit des Zertifikates

"Have I Been Pwned" ist ein hilfreiches Werkzeug, um Hinweise auf mögliche Datenlecks zu bekommen – aber es bietet keine absolute Sicherheit. Auch wenn dort aktuell kein Treffer angezeigt wird, heisst das nicht zwingend, dass Ihre Daten nicht kompromittiert wurden; möglicherweise ist ein Vorfall einfach noch nicht bekannt.
Mehr geschützt sind Sie, wenn für alle Konten einzigartige Passwörter mit einem Passwortmanager verwendet werden und überall eine starke Zwei-Faktor-Authentifizierung (2FA) aktiviert ist.

Nehmen Sie sich Zeit dafür, denn so können Sie Ärger vermeiden und einen Identitätsdiebstahl vorbeugen – das zahlt sich aus! Gerne unterstützen wir Sie bei der Einführung dieser Massnahmen, sei es im Unternehmen oder privat.

*Beim sogenannten Credential-Stuffing-Angriff nutzt ein Angreifer gestohlene Benutzernamen, E-Mail-Adressen und Passwörter, um mithilfe automatisierter Programme diese Daten auf zahlreichen Webseiten auszuprobieren.