Immer wieder hört man von Passwortlecks bei großen Webseiten, aber wie kann man eigentlich rauskriegen ob man davon betroffen ist?

Wenn eine Seite von einem Datenleck berichtet, kann der Umfang der abgeflossenen Daten schließlich ganz unterschiedliche Ausmaße haben:

• Manchmal sind nicht allen Benutzerkonten betroffen. Mit etwas Glück war ja genau dein Account nicht von dem Leck betroffen.
• Nicht jeder Dienst speichert Passwörter und Benutzerdaten in der gleichen Datenbank. Möglicherweise wurde ja genau das Passwort nicht abgesaugt?
• Dein genaues Passwort speichert hoffentlich keiner der Dienste bei denen du ein Passwort hast. Aber wie sicher der so genannte Hash deines Passwortes ist variiert von Anbieter zu Anbieter. Im besten Falle hat der Anbieter sein Abbild noch mit einem so genannten "Salt" versehen, dann ist zumindest dein Passwort vergleichsweise sicher.

Aber anhand der vielfachen Konjunktive kann man schon erahnen, dass es nicht wirklich einfach ist sich bei jedem Leck selbst zu informieren. Und genau deswegen gibt es den Dienst have i been pwned? Hier kann man seine Email Adresse eingeben und kann dann eine Auflistung von Vorfällen einsehen, bei denen die eigene Adresse betroffen ist. Dabei erfährt man nicht nur um welche Seiten es sich handelt, sondern auch welche Daten bei dem Leck (vermutlich) verloren gegangen sind. Außerdem erfährt man, ob die eigenen Benutzerdaten schon irgendwo öffentlich kursieren. Es gibt auch immer wieder mal Versuche mit ähnlichen Diensten Daten von Kreditkarten oder Bankkonten abzugreifen. Diese Daten solltet ihr niemals bei x-beliebigen Seiten angeben, im schlimmsten Fall reichen schon diese paar Zahlen aus um eine finanzielle Transaktion anzustoßen. Und auch bei have i been pwned solltet ihr euch darüber im Klaren sein, dass ihr nicht sicher wissen könnt das der Dienst mit dieser Adresse anstellen wird. Aber im Normalfall sollte eine Email-Adresse eine wesentlich unkritischere Information sein als Bankdaten.