Have I Been Pwned: Ist diese Seite seriös für Datensicherheit?
Ja, Have I Been Pwned seriös lässt sich grundsätzlich mit guten Gründen bejahen, weil der Dienst seit Jahren transparent dokumentiert, wie er Datenlecks auswertet, und dabei auf sicherheitsübliche Schutzmechanismen setzt. Have I Been Pwned (HIBP) hilft Ihnen beim Datenleck prüfen, indem Sie sehen, ob Ihre E-Mail-Adresse in bekannten Leaks auftaucht und welche Datentypen betroffen waren.
Wichtige Fakten auf einen Blick
- Have I Been Pwned ist ein kostenloser Dienst von Security-Experte Troy Hunt und indexiert laut Anbieter über 12 Milliarden kompromittierte Accounts aus 600+ Datenlecks (Stand 2024).
- Bei der Passwortsuche nutzt HIBP die k-Anonymity-Methode: Es werden nur die ersten 5 Zeichen des SHA-1-Hash an den Server gesendet, der Rest bleibt lokal.
- Wenn Ihre E-Mail gefunden wird, zeigt HIBP den betroffenen Dienst, das Veröffentlichungsdatum und betroffene Datentypen wie Passwörter, Telefonnummern oder Adressen an.
- Ein Treffer bedeutet nicht automatisch, dass Ihr aktuelles E-Mail-Postfach gehackt wurde, sondern dass Daten bei einem Dienst kompromittiert wurden, den Sie genutzt haben.
- Bei geleakten Passwörtern müssen Sie das Passwort beim betroffenen Dienst sofort ändern und jedes Konto prüfen, in dem Sie dasselbe Passwort wiederverwendet haben.
- Für wichtige Konten (E-Mail, Banking, Shops) reduziert aktivierte Zwei-Faktor-Authentifizierung das Übernahmerisiko deutlich, selbst wenn ein Passwort später in Leaks auftaucht.
- Alternativen wie der Identity Leak Checker des Hasso-Plattner-Instituts oder Passwort-Manager mit Leak-Warnungen ergänzen HIBP, ersetzen aber keine einzigartigen Passwörter pro Dienst.
Was ist Have I Been Pwned und wer steckt dahinter?
Have I Been Pwned ist ein öffentlich zugänglicher Dienst, der bekannte Datenlecks sammelt und durchsuchbar macht, damit Betroffene ihre E-Mail-Adresse prüfen können. Das Projekt wurde 2013 von Troy Hunt gestartet, einem australischen Security-Experten, der als Microsoft Regional Director geführt wird. Eine kompakte Darstellung von Zweck, Betreiber und Datenquellen veröffentlicht Hunt auf der offiziellen About-Seite von HIBP: Über Have I Been Pwned.
Wichtig für die Einordnung von „Have I Been Pwned seriös“ ist der Datenfluss: HIBP stiehlt keine Zugangsdaten und bricht keine Konten auf. Der Dienst verarbeitet Daten, die bereits kompromittiert wurden und als Leak kursieren, und ordnet sie in eine Datenbank ein, die dann durchsucht werden kann. Der Mehrwert ist die Zuordnung zu einem konkreten Vorfall, also welchem Dienst das Leak zugerechnet wird und welche Datentypen enthalten sind.
Der Betreiber nennt als Größenordnung „über 12 Milliarden kompromittierte Accounts“ aus „über 600“ dokumentierten Leaks (Stand 2024). Diese Zahlen stammen aus der Selbstdokumentation von HIBP und sind als dynamische Kennzahlen zu verstehen, weil neue Leaks hinzukommen und Datensätze zusammengeführt werden. Als Quelle eignet sich die HIBP-Seite selbst, weil sie die Datenbank betreibt und die Metrik dort laufend aktualisiert: Startseite mit aktuellen Zählern.
Für Nutzerinnen und Nutzer in DACH ist außerdem praktisch: HIBP ist ein reines Prüfwerkzeug. Es verkauft Ihnen keinen Schutz und ersetzt keinen Virenscanner. Der Nutzen liegt darin, dass Sie schneller erkennen, ob ein altes Konto, ein Streaming-Login oder ein Shop-Zugang in einem Leak auftauchte und ob deshalb Ihre E-Mail Sicherheit oder ein wiederverwendetes Passwort zum Risiko wird.
Wie funktioniert die Überprüfung technisch?

Bei der E-Mail-Prüfung geben Sie eine E-Mail-Adresse ein, HIBP gleicht diese gegen die Datenbank der bekannten Leaks ab und zeigt Treffer an. Laut API-Dokumentation ist die Abfrage als Lookup konzipiert und fordert keine Anmeldung, keine Passwörter und keine weiteren Identitätsdaten an: HIBP API Dokumentation.
Technisch entscheidend ist die Trennung zwischen E-Mail- und Passwortprüfung. HIBP fragt bei der normalen Leak-Suche keine Passwörter ab. Für den Fall „Passwort gehackt“ gibt es den separaten Dienst Pwned Passwords. Dort prüfen Sie ein Passwort, ohne das Passwort im Klartext an HIBP zu senden. Das passiert über die k-Anonymity-Methode.
Der Ablauf bei k-Anonymity ist konkret beschrieben: Aus dem Passwort wird lokal ein SHA-1-Hash gebildet. An den Server gehen nur die ersten 5 Zeichen dieses Hashes, der Server antwortet mit einer Liste der passenden Hash-Suffixe und Vorkommenszahlen, und Ihr Gerät vergleicht dann lokal, ob der vollständige Hash enthalten ist. Damit kennt der Server nie Ihr Passwort im Klartext und bekommt nur einen Hash-Präfix zu sehen. Diese Funktionsweise dokumentiert HIBP selbst: Pwned Passwords und k-Anonymity.
Ein weiterer Sicherheitsaspekt: HIBP arbeitet bei diesen Checks lesend. Sie werden nirgends aufgefordert, sich einzuloggen oder ein Konto zu „verifizieren“, um Ergebnisse zu sehen. Wenn Sie beim Datenleck prüfen irgendwo eine Seite sehen, die HIBP optisch nachahmt und dann ein Login verlangt, ist das nicht HIBP.
Ist Have I Been Pwned vertrauenswürdig und sicher?
„Have I Been Pwned seriös“ lässt sich an nachvollziehbaren Kriterien prüfen: Wer betreibt den Dienst, wie wird er finanziert, und wie wird Missbrauch reduziert. Zu Betreiber, Zweck und Sicherheitsprinzipien gibt es eine umfangreiche Selbstdokumentation, inklusive Erklärungen zu Datenerfassung, Aufnahmeprozessen und Funktionsweise der Passwortprüfung: Über Have I Been Pwned.
Ein konkreter, überprüfbarer Vertrauensindikator ist Transparenz zur Finanzierung. HIBP benennt Sponsoren und beschreibt, dass der Dienst unter anderem über Sponsoring getragen wird, statt über klassische Display-Werbung oder den Verkauf von Suchdaten. Der Anbieter verweist dabei auch auf 1Password als Sponsor, was sich auf der HIBP-Seite öffentlich nachlesen lässt: HIBP Sponsoren.
Zum Thema Open Source lohnt der Blick auf die Bereiche, die HIBP selbst offen dokumentiert und teilweise als Code bereitstellt. Als Einstieg ist die offizielle GitHub-Organisation von Troy Hunt eine überprüfbare Quelle, auch wenn nicht jedes Teilstück von HIBP dort als vollständiges Projekt veröffentlicht wird: Troy Hunt auf GitHub. Für die sicherheitsrelevante Passwortprüfung ist die entscheidende Transparenz ohnehin die dokumentierte k-Anonymity-Schnittstelle, weil sie den Datenabfluss begrenzt.
Zur Einordnung von Behördenbezug: HIBP wird in der Praxis von vielen Organisationen als Referenz genutzt, weil es für Incident Response und Nutzerwarnungen eine einfache Prüfmöglichkeit liefert. Solche Hinweise finden Sie primär in der Betreiberkommunikation und in Verweisen von Security-Teams. Wenn Sie eine offizielle Empfehlung einer deutschen Behörde bewerten wollen, prüfen Sie die Primärquelle (BSI-Seite oder Publikation) und suchen dort direkt nach „Have I Been Pwned“ oder „Pwned Passwords“, statt sich auf Screenshots zu verlassen. Das BSI betreibt außerdem mit dem Identity Leak Checker selbst einen Leak-Prüfdienst, der als Alternative dienen kann (Details dazu weiter unten).
Praktisch relevant: Die Eingabe Ihrer E-Mail-Adresse bei HIBP vergrößert keine bestehende Sicherheitslücke. Sie offenbaren damit keinen neuen Angriffspunkt, weil ein Angreifer Ihre E-Mail in der Regel ohnehin kennt oder erraten kann. Das Risiko entsteht typischerweise durch wiederverwendete Passwörter, und genau dafür liefert HIBP eine belastbare Entscheidungsgrundlage.
Was bedeutet es, wenn meine E-Mail gefunden wurde?
Wenn HIBP meldet, dass Ihre E-Mail-Adresse „gefunden“ wurde, heißt das konkret: Diese Adresse tauchte in einem bekannten Datenleck auf, das einem bestimmten Dienst zugeordnet ist, den Sie nutzen oder früher genutzt haben. Das ist wichtig, weil es häufig missverstanden wird. Ein Treffer bedeutet nicht automatisch, dass Ihr aktuelles E-Mail-Postfach gehackt wurde. In vielen Fällen wurden bei einem betroffenen Anbieter Kontodaten exportiert oder abgegriffen, und Ihre E-Mail-Adresse war Bestandteil dieses Datensatzes.
Die Ergebnisse sind dabei meist sehr aufschlussreich. HIBP zeigt in der Regel an, bei welchem Dienst das Leak stattgefunden hat, wann es bekannt wurde oder datiert ist, und welche Datentypen enthalten waren. Dazu können je nach Vorfall unter anderem Namen, Benutzernamen, E-Mail-Adressen, Passworthashes, Klartext-Passwörter, Telefonnummern, Postadressen, IP-Adressen, Geburtsdaten oder andere Profildaten gehören. Diese Detailangaben helfen Ihnen einzuschätzen, ob eher Spam- und Phishing-Risiken steigen oder ob ein echter Kontenmissbrauch naheliegt.
Entscheidend für die Dringlichkeit ist die Passwortfrage: Wenn im Leak Passwörter (oder Passworthashes, die bereits geknackt wurden) enthalten waren und Sie dasselbe Passwort, ähnliche Varianten oder Wiederverwendungen bei anderen Diensten eingesetzt haben, besteht akutes Handlungsbedürfnis. Denn Angreifer nutzen solche Datensätze häufig für Credential Stuffing, also automatisierte Login-Versuche bei E-Mail, Shops, Social Media und Banking-Portalen.
Welche Datenlecks sind in der Datenbank enthalten?
In der HIBP-Datenbank finden sich viele der bekanntesten Datenlecks der letzten Jahre. Beispiele sind LinkedIn (2012, 164 Millionen Accounts), Adobe (2013, 153 Millionen), Yahoo (2013-2014, 3 Milliarden Accounts) oder ein öffentlich bekannt gewordener Facebook-Datensatz (2019, 533 Millionen). Solche Zahlen verdeutlichen, warum selbst Menschen betroffen sein können, die sich nicht als „besonders interessant“ für Angreifer einschätzen.
Wichtig ist dabei, dass HIBP nicht beliebige Listen aus dem Internet übernimmt. Aufgenommen werden nur verifizierte Leaks. Troy Hunt prüft Quellen und Datensätze auf Echtheit und Konsistenz, bevor ein Vorfall in der Datenbank erscheint. Das soll verhindern, dass gefälschte oder manipulierte Datensammlungen zu falschen Alarmen führen oder dass Einträge ohne belastbare Herkunft landen.
Außerdem wird die Datenbank regelmäßig aktualisiert. Wenn ein neues Leak öffentlich bekannt wird und genügend Informationen für eine Prüfung vorliegen, wird es meist innerhalb weniger Tage hinzugefügt. Für Sie bedeutet das: Ein „kein Treffer“ ist eine Momentaufnahme, kein Freifahrtschein, und ein Treffer kann auch erst Wochen oder Monate nach dem eigentlichen Vorfall sichtbar werden, wenn Daten später auftauchen oder sauber zugeordnet werden.
Was sollten Sie tun, wenn Ihre Daten betroffen sind?

Wenn Ihre E-Mail-Adresse in einem Leak auftaucht, handeln Sie strukturiert, statt nur „zur Sicherheit“ irgendetwas zu ändern. Der wichtigste Schritt ist immer dort anzusetzen, wo der Vorfall passiert ist.
- Passwort beim betroffenen Dienst sofort ändern: Ändern Sie das Passwort direkt beim genannten Anbieter. Das gilt auch dann, wenn Sie den Account angeblich nicht mehr nutzen, denn alte Passwörter werden oft wiederverwendet, und vergessene Konten bleiben ein Einfallstor.
- Passwort-Wiederverwendung stoppen: Gehen Sie alle anderen Konten durch, bei denen Sie dasselbe Passwort oder eine ähnliche Variante verwendet haben (z.B. gleiche Basis mit angehängter Zahl). Ändern Sie diese Passwörter ebenfalls, beginnend bei E-Mail-Konten, Zahlungsdiensten, großen Shops und Cloud-Speichern.
- Zwei-Faktor-Authentifizierung aktivieren: Schalten Sie 2FA bei allen wichtigen Diensten ein, insbesondere bei Banking, E-Mail und sozialen Netzwerken. Selbst wenn ein Passwort kompromittiert ist, blockiert ein zweiter Faktor viele Übernahmen. Bevorzugen Sie Authenticator-Apps oder Sicherheitsschlüssel, wenn verfügbar.
Langfristig ist ein Passwort-Manager die stabilste Lösung: Er hilft, für jeden Dienst ein einzigartiges, starkes Passwort zu erzeugen und zu speichern. Damit wird ein einzelnes Leak nicht mehr zur Kettenreaktion, weil ein kompromittiertes Passwort nicht automatisch Zugang zu Ihren anderen Konten öffnet.
Alternativen und ergänzende Sicherheitstools
Neben Have I Been Pwned gibt es weitere Dienste, die je nach Zielgruppe praktische Vorteile bieten. Für deutsche Nutzer ist der Identity Leak Checker des Hasso-Plattner-Instituts eine bekannte Alternative. Er ist auf den hiesigen Kontext ausgerichtet und wirbt mit einem sehr großen Datenbestand (rund 12 Milliarden Identitäten). Der Prüfprozess ist anders als bei HIBP: Sie geben Ihre E-Mail-Adresse ein und erhalten das Ergebnis typischerweise per E-Mail, was manchen als zusätzlicher Schutz vor automatisiertem Abfragen gilt.
Eine zweite Option ist Firefox Monitor. Der Dienst nutzt im Kern Daten von HIBP, ergänzt diese aber um eine engere Browser- und Mozilla-Integration, was für Nutzer des Firefox-Ökosystems bequem sein kann. Inhaltlich bekommen Sie häufig ähnliche Treffer, der Mehrwert liegt eher im Workflow.
Für den Alltag noch hilfreicher sind Passwort-Manager mit integrierter Leak-Prüfung. Tools wie 1Password, Bitwarden und Dashlane erkennen kompromittierte Zugangsdaten in Ihrem Tresor und warnen automatisch, wenn ein gespeichertes Passwort oder eine Kombination aus E-Mail und Passwort in bekannten Leaks auftaucht. Das reduziert die Chance, dass Sie eine Warnung übersehen oder nie aktiv nachsehen.
Ergänzend lohnt sich die Notify-Funktion von HIBP: Sie können Ihre E-Mail-Adresse kostenlos registrieren und werden bei zukünftigen Leaks automatisch benachrichtigt (kostenlos für eine Adresse).
Fazit: Sinnvolles Tool für digitale Selbstverteidigung
Have I Been Pwned ist eines der sinnvollsten Werkzeuge für eine schnelle Realitätsprüfung der eigenen Online-Sicherheit. Der Dienst ist etabliert, transparent in seiner Funktionsweise und in der Basisnutzung kostenlos. Wichtig ist auch der psychologische Punkt: Die Abfrage selbst birgt kein Risiko, weil Sie weder Passwörter eingeben noch Ihre E-Mail-Adresse an einen dubiosen Anbieter weiterreichen müssen. Wenn Sie nur die HIBP-Seite nutzen, ist das ein unkritischer Sicherheitscheck ohne versteckte kommerzielle Hintergedanken.
Gerade deshalb lohnt sich eine regelmäßige Routine. Eine halbjährliche Überprüfung ist ein guter Richtwert, weil Datenlecks oft erst Monate oder sogar Jahre nach dem eigentlichen Vorfall öffentlich werden, beispielsweise wenn Datensätze später verkauft, geleakt oder erst dann sauber zugeordnet werden können. Ein heutiges „kein Treffer“ ist also nur eine Momentaufnahme, und ein Treffer kann zeitversetzt auftauchen, obwohl das Ereignis lange zurückliegt.
Gleichzeitig ersetzt die Prüfung keine grundlegende Passwortsicherheit. Der größte Hebel bleibt, für jeden Dienst ein einzigartiges Passwort zu verwenden (am besten mit Passwort-Manager) und überall, wo es möglich ist, Zwei-Faktor-Authentifizierung zu aktivieren, denn das stoppt viele Kontoübernahmen selbst dann, wenn Zugangsdaten bereits im Umlauf sind.
Häufig gestellte Fragen
Wer betreibt Have I Been Pwned und ist diese Person vertrauenswürdig?
Der Dienst wird von Troy Hunt betrieben, einem australischen Security-Experten und Microsoft Regional Director. Er dokumentiert die Datenquellen offen und erklärt die Methoden auf der About-Seite von HIBP. Die langjährige Präsenz und transparente Kommunikation sind Gründe für die Vertrauenswürdigkeit.
Wie sicher ist die Passwortprüfung mit der k-Anonymity-Methode?
HIBP sendet nur die ersten fünf Zeichen des SHA-1-Hashes an den Server, der Rest bleibt lokal. Dadurch kann der Server nicht den vollständigen Hash rekonstruieren. Diese Technik reduziert das Risiko, dass ein Passwort während der Abfrage preisgegeben wird.
Bedeutet ein Treffer bei einer E-Mail automatisch, dass mein aktuelles Konto kompromittiert ist?
Ein Treffer zeigt, dass Ihre E-Mail in einem bekannten Leak aufgetaucht ist, nicht zwingend, dass Ihr aktives E-Mail-Postfach gehackt wurde. Meist handelt es sich um Daten, die bei einem Dritten kompromittiert wurden. Sie sollten trotzdem betroffene Dienste prüfen und Passwörter ändern, wenn nötig.
Wie oft sollte ich Have I Been Pwned prüfen, wenn die Datenbank ständig wächst?
Als Richtwert empfiehlt der Dienst etwa eine halbjährliche Überprüfung, weil Leaks oft zeitversetzt öffentlich werden. HIBP listet über 12 Milliarden kompromittierte Accounts aus mehr als 600 Leaks (Stand 2024). Alternativ können Sie die kostenlose Benachrichtigungsfunktion nutzen, um bei neuen Treffern automatisch informiert zu werden.
Welche konkreten Informationen zeigt HIBP an, wenn meine Adresse gefunden wird?
HIBP nennt den betroffenen Dienst, das Veröffentlichungsdatum und die betroffenen Datentypen wie Passwörter, Telefonnummern oder Adressen. Diese Zuordnung hilft zu entscheiden, welche Konten besonders gefährdet sind. Sie erhalten so eine Grundlage für gezielte Maßnahmen.
Sind Alternativen wie der Identity Leak Checker ausreichend statt HIBP?
Alternativen wie der Identity Leak Checker des Hasso-Plattner-Instituts ergänzen HIBP, ersetzen aber keine guten Passwortgewohnheiten. HIBP ist etabliert und transparent, während andere Dienste zusätzliche Funktionen bieten können. Am sinnvollsten ist die Kombination aus regelmäßigen Checks, Passwort-Managern und aktivierter Zwei-Faktor-Authentifizierung.
Welche Sofortmaßnahmen helfen, wenn meine Passwörter in HIBP auftauchen?
Ändern Sie sofort das betroffene Passwort beim jeweiligen Dienst und prüfen Sie alle Konten mit derselben Kombination. Aktivieren Sie für wichtige Konten wie E-Mail, Banking und Shops die Zwei-Faktor-Authentifizierung. Nutzen Sie einen Passwort-Manager, um einzigartige Passwörter für jeden Dienst zu erstellen.