Wie entstehen Datenlecks?

Auf verschiedene Weise. Hacking und Schadsoftware, die Software-Schwachstellen oder gestohlene Zugangsdaten ausnutzen; Phishing, das Mitarbeiter dazu verleitet, Zugang zu gewähren; Fehlkonfigurationen, etwa eine öffentlich zugängliche Cloud-Datenbank oder ein Speicher-Bucket; Insider-Bedrohungen durch Personal, das Daten weitergibt oder stiehlt; sowie physischer Verlust oder Diebstahl von Geräten. Viele große Datenlecks kombinieren diese Wege — eine Phishing-Mail führt zu gestohlenen Zugangsdaten, die wiederum Zugang zu einer schlecht segmentierten Datenbank verschaffen. Der gemeinsame Nenner: Organisationen speichern riesige Mengen Ihrer Daten, und jeder Schwachpunkt kann sie offenlegen.

Was sollte ich tun, wenn meine Daten betroffen sind?

Handeln Sie schnell. Ändern Sie das Passwort des betroffenen Kontos und überall dort, wo Sie es wiederverwendet haben, mit einzigartigen starken Passwörtern (ein Passwort-Manager macht das einfach). Aktivieren Sie die Zwei-Faktor-Authentifizierung, idealerweise eine phishing-resistente Methode. Achten Sie auf Phishing, das auf das Leck Bezug nimmt, und seien Sie misstrauisch gegenüber dringenden „Sicherheits“-Nachrichten. Wenn Zahlungs- oder Identitätsdaten betroffen sind, überwachen Sie Ihre Kontoauszüge und erwägen Sie Betrugswarnungen. Prüfen Sie, ob Ihre Konten in bekannten Lecks auftauchen, und behandeln Sie das geleakte Passwort als dauerhaft verbrannt — verwenden Sie es nie wieder.

Wie kann ich den Schaden eines Datenlecks begrenzen?

Sie können nicht verhindern, dass ein Unternehmen gehackt wird, aber Sie können eindämmen, was es Sie kostet. Verwenden Sie ein einzigartiges Passwort pro Seite, damit ein Leck nie ein anderes Konto öffnet. Aktivieren Sie überall dort 2FA, wo es angeboten wird. Geben Sie weniger Daten preis — je weniger eine Organisation über Sie speichert, desto weniger kann austreten. Für Dateien, die Sie kontrollieren, nutzen Sie Ende-zu-Ende-verschlüsselten (Zero-Knowledge-)Speicher, damit Angreifer selbst bei einem Leck nur unlesbaren Geheimtext erhalten. Datenminimierung plus einzigartige Passwörter plus 2FA verwandeln die meisten Lecks für Sie von einer Katastrophe in ein Nicht-Ereignis.

Was ist ein Datenleck? Wie es entsteht & wie Sie sich schützen (2026)

Q: Was ist ein Datenleck?

Ein Datenleck ist ein Vorfall, bei dem vertrauliche, geschützte oder sensible Daten von jemandem abgerufen, kopiert, offengelegt oder gestohlen werden, der dazu nicht berechtigt ist. Das kann eine von Kriminellen gehackte Kundendatenbank eines Unternehmens sein, ein falsch konfigurierter Cloud-Server, der offen im Internet steht, ein Mitarbeiter, der Datensätze weitergibt, oder ein verlorener Laptop voller Dateien. Die offengelegten Daten umfassen häufig E-Mails, Passwörter, persönliche Angaben, Zahlungsdaten oder Gesundheitsdaten. Datenlecks sind weit verbreitet — jedes Jahr werden Milliarden von Datensätzen offengelegt — und die gestohlenen Daten befeuern weitere Angriffe wie Betrug, Phishing und Kontoübernahmen.

Q: Welche Informationen werden bei einem Datenleck offengelegt?

Das hängt davon ab, was die betroffene Organisation gespeichert hat, aber häufig: E-Mail-Adressen und Benutzernamen, Passwörter (manchmal schwach gehasht oder sogar im Klartext), Namen, Telefonnummern, Wohnadressen, Geburtsdaten und in schlimmeren Fällen Zahlungskartendaten, amtliche Ausweise oder Gesundheitsdaten. Selbst „nur“ ein E-Mail-Passwort-Paar ist gefährlich, denn Angreifer probieren es auf anderen Seiten erneut aus (Credential Stuffing). Je vollständiger das geleakte Profil, desto mehr ermöglicht es Identitätsdiebstahl und gezielten Betrug. Gehen Sie davon aus, dass alle Daten, die Sie einem Dienst geben, eines Tages in einem Leck auftauchen können.

Jedes Jahr ergießen sich Milliarden von Datensätzen — E-Mails, Passwörter, persönliche Angaben — aus Unternehmen ins Internet. Jeder dieser Vorfälle ist ein Datenleck, und die Wahrscheinlichkeit, dass einige Ihrer Daten dabei sind, ist hoch. Die gute Nachricht: Sie können zwar nicht verhindern, dass eine Organisation gehackt wird, aber Sie können drastisch begrenzen, was ein Leck Sie kostet. Dieser Leitfaden erklärt, was ein Datenleck ist, wie es entsteht, was offengelegt wird und wie Sie sich schützen.

Was ein Datenleck ist

Ein Datenleck ist ein Vorfall, bei dem vertrauliche oder sensible Daten von jemandem abgerufen, kopiert, offengelegt oder gestohlen werden, der dazu nicht berechtigt ist. Es kann eine gehackte Kundendatenbank sein, ein falsch konfigurierter, offen stehender Cloud-Server, ein Insider, der Datensätze weitergibt, oder ein verlorenes Gerät voller Dateien.

Datenlecks sind weit verbreitet, und die gestohlenen Daten bleiben nicht einfach liegen — sie befeuern Betrug, Phishing und Kontoübernahmen, oft erst Jahre später.

Wie sie entstehen

Hacking & Schadsoftware — Ausnutzen von Software-Schwachstellen oder gestohlenen Zugangsdaten.
Phishing — Mitarbeiter dazu verleiten, Zugang zu gewähren.
Fehlkonfiguration — eine öffentlich zugängliche Cloud-Datenbank oder ein Speicher-Bucket.
Insider-Bedrohungen — Mitarbeiter, die Daten weitergeben oder stehlen.
Physischer Verlust — gestohlene oder verlorene Laptops und Festplatten.

Viele große Datenlecks kombinieren diese Wege. Der gemeinsame Nenner: Organisationen speichern riesige Mengen Ihrer Daten, und jeder Schwachpunkt kann sie offenlegen.

Was offengelegt wird

Je nachdem, was die Organisation gespeichert hat: E-Mails und Benutzernamen, Passwörter (manchmal schwach gehasht oder im Klartext), Namen, Telefonnummern, Adressen, Geburtsdaten — und in schlimmeren Fällen Zahlungskarten, amtliche Ausweise oder Gesundheitsdaten.

Selbst „nur“ ein E-Mail-Passwort-Paar ist gefährlich: Angreifer probieren es auf anderen Seiten erneut aus (Credential Stuffing). Je vollständiger das geleakte Profil, desto mehr ermöglicht es Identitätsdiebstahl.

Credential Stuffing: Warum aus einem Leck viele werden

Der Grund, warum ein einziges Leck so gefährlich ist, heißt Credential Stuffing. Angreifer nehmen die E-Mail-Passwort-Paare aus einem Leck und probieren sie automatisch gegen Hunderte anderer Seiten aus — Banken, E-Mail, Shopping, soziale Netzwerke. Weil so viele Menschen Passwörter wiederverwenden, gelingt ein kleiner Prozentsatz dieser Versuche, und ein altes Leck öffnet still und leise Konten, die selbst nie gehackt wurden. Es ist billig, automatisiert und läuft in gewaltigem Maßstab.

Deshalb reicht „Ich ändere es auf dieser einen Seite“ nicht aus: Das geleakte Paar steckt nun in Listen, die jahrelang gehandelt und immer wieder ausprobiert werden. Ein einzigartiges Passwort pro Seite ist die eine Änderung, die diese Kaskade durchbricht — ein Leck bei einem Dienst öffnet dann nichts weiter.

So prüfen Sie, ob Sie betroffen sind

Sie können es kostenlos herausfinden:

Have I Been Pwned (haveibeenpwned.com) lässt Sie eine E-Mail eingeben und zeigt, welche bekannten Lecks sie enthalten, und bietet Warnungen für künftige Lecks.
Ihr Passwort-Manager verfügt wahrscheinlich über eine integrierte Leck-Überwachung (oft Sicherheits-Dashboard oder Watchtower genannt), die wiederverwendete, schwache oder geleakte Passwörter über alle Ihre Logins hinweg meldet.
Browser-Prüfungen — Chrome, Firefox und Safari warnen inzwischen, wenn ein gespeichertes Passwort in einem bekannten Leck auftaucht.

Führen Sie die Prüfung durch und ändern Sie dann alles Gemeldete — beginnend mit E-Mail und Bankkonten, also den Konten, die alles andere freischalten.

Was zu tun ist, wenn Sie betroffen sind

Ändern Sie das Passwort des betroffenen Kontos und überall dort, wo Sie es wiederverwendet haben — einzigartige starke Passwörter (ein Passwort-Manager macht das einfach).
Aktivieren Sie 2FA, idealerweise phishing-resistent.
Achten Sie auf Phishing, das auf das Leck Bezug nimmt; seien Sie misstrauisch gegenüber dringenden „Sicherheits“-Nachrichten.
Wenn Zahlungs- oder Identitätsdaten betroffen sind, überwachen Sie Ihre Kontoauszüge und erwägen Sie Betrugswarnungen.
Behandeln Sie das geleakte Passwort als dauerhaft verbrannt — verwenden Sie es nie wieder.

So begrenzen Sie den Schaden im Voraus

Sie können nicht verhindern, dass ein Unternehmen gehackt wird, aber Sie können die Folgen eindämmen:

Einzigartiges Passwort pro Seite — ein Leck öffnet nie ein anderes Konto.
2FA überall, wo es angeboten wird.
Weniger preisgeben — je weniger eine Organisation speichert, desto weniger kann austreten.
Ende-zu-Ende-verschlüsselter Speicher für Dateien, die Sie kontrollieren: Selbst wenn der Anbieter gehackt wird, erhalten Angreifer nur unlesbaren Geheimtext.

Choix éditorial

4.5 / 5

Dateien, die der Anbieter nicht leaken kann → pCloud + Crypto

Schweizer Gerichtsbarkeit · Clientseitige (Zero-Knowledge-)Verschlüsselung mit dem Crypto-Add-on · Lifetime-Tarife

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre

Für die Verschlüsselung, die ein Anbieter-Leck harmlos macht, siehe Ende-zu-Ende-Verschlüsselung und unseren Leitfaden zum besten verschlüsselten Cloud-Speicher; dazu, wie Anbieter Ihre Daten überhaupt speichern, was ist Cloud-Speicher.

Das Fazit

Ein Datenleck ist die unbefugte Offenlegung vertraulicher Daten — und angesichts der Menge an Informationen, die Organisationen über Sie speichern, wird ein Teil davon wahrscheinlich irgendwann austreten. Sie können deren Lecks nicht verhindern, aber Sie können sie für sich harmlos machen: einzigartige Passwörter, 2FA, weniger preisgeben und Ende-zu-Ende-Verschlüsselung verwandeln die meisten Lecks von einer persönlichen Katastrophe in ein Nicht-Ereignis. Gehen Sie davon aus, dass Ihre Daten austreten können, und richten Sie Ihre Sicherheit so ein, dass es keine Rolle spielt, wenn es passiert.

Redaktioneller Leitfaden basierend darauf, wie Datenlecks entstehen (Hacking, Phishing, Fehlkonfiguration, Insider, physischer Verlust) und welche persönlichen Standardschutzmaßnahmen es gibt (einzigartige Passwörter, 2FA, Datenminimierung, E2EE). Der kommerzielle Link trägt das Attribut rel="sponsored nofollow"; es kann eine Affiliate-Provision anfallen, ohne dass für Sie zusätzliche Kosten entstehen.

Choix éditorial

4.5 / 5

Get encrypted cloud storage → pCloud

Swiss-based · client-side Crypto add-on · lifetime plans