Have I Been Pwned seriös ist im Kern ein seriöser Leak-Checker, weil der Dienst technisch nachvollziehbar arbeitet und seit 2013 öffentlich dokumentiert, wie Datenquellen, Abfragen und Schutzmechanismen umgesetzt werden. Have I Been Pwned (HIBP) zeigt allerdings nur bekannt gewordene Datenlecks und betreibt die Infrastruktur nicht in der EU, was für DACH-Nutzer beim Thema Datenschutz relevant ist.
Wichtige Fakten auf einen Blick
- Die HIBP-Datenbank umfasst über 13 Milliarden kompromittierte Accounts aus 600+ dokumentierten Datenlecks, darunter LinkedIn (2012), Yahoo (2013) und Dropbox (2016).
- Der Passwort Leak Checker (Pwned Passwords) nutzt k-Anonymity: Es werden nur die ersten 5 Zeichen des SHA-1-Hashes übertragen, der Abgleich erfolgt lokal.
- Für eine reine Suche nach Ihrer E-Mail-Adresse speichert HIBP nach eigener Datenschutzdoku keine Abfragehistorie, die Benachrichtigung erfordert aber ein Opt-in per Bestätigungsmail.
- HIBP ist für Privatnutzer kostenlos; für Unternehmen gibt es einen kostenpflichtigen API-Zugang, der laut Anbieter ab 3,50 US-Dollar pro Monat startet.
- Die Infrastruktur wird unter anderem von Cloudflare unterstützt und läuft über HTTPS; konkrete Hosting-Standorte sind nicht EU-gebunden, was für DSGVO-Risikobewertungen zählt.
- Kritische Grenzen: HIBP erfasst häufig keine ausschließlich im Darknet gehandelten Daten und die Aufnahme eines Leaks kann je nach Verfügbarkeit der Daten Wochen bis Monate dauern.
Have I Been Pwned: Was der Dienst verspricht und wer dahintersteckt
Have I Been Pwned ist ein öffentlich zugänglicher Dienst, der prüft, ob eine E-Mail-Adresse oder ein Benutzerkonto in bekannten Datenlecks auftaucht, inklusive Anzeige der betroffenen Plattform und des Leak-Datums. Betreiber und Hauptentwickler ist Troy Hunt; der Dienst startete 2013 und wurde nach Hunts eigener Darstellung durch die Aufmerksamkeit rund um große Leaks wie den Adobe-Vorfall (153 Millionen betroffene Konten) mitgeprägt. Quelle: HIBP-Überblick auf der offiziellen About-Seite.
Die Größenordnung ist transparent benannt: HIBP führt eine Datenbank mit über 13 Milliarden kompromittierten Accounts aus mehr als 600 Datenlecks. Diese Zahlen stehen direkt auf der Startseite und werden vom Betreiber laufend aktualisiert, ohne dass dafür ein Login nötig ist. Quelle: Have I Been Pwned Startseite mit Live-Statistiken.
In der Leak-Liste finden sich bekannte Fälle wie LinkedIn (Datenabfluss aus 2012, später breit geteilt), Yahoo (Konten aus 2013, später als Datensätze mit hoher Reichweite diskutiert) und Dropbox (2016). HIBP markiert bei jedem Eintrag, welche Datentypen enthalten sind, etwa E-Mail-Adressen, Passworthashes oder IP-Adressen, und ob ein Leak sensibel eingestuft wird. Quelle: Liste der betroffenen Websites und Datenarten.
Das Geschäftsmodell ist zweigeteilt: Privatnutzer zahlen nichts, Unternehmen und Entwickler können die HIBP-API kostenpflichtig nutzen. Der Einstiegspreis wird vom Betreiber mit 3,50 US-Dollar pro Monat angegeben, abhängig vom gewählten Plan und dem Abfragevolumen. Quelle: HIBP API-Key und Preisangaben.
Finanzierung und Betrieb werden zusätzlich über Sponsoring sichtbar gemacht, einschließlich Sponsorennennung von 1Password und Infrastrukturunterstützung durch Cloudflare, jeweils auf den offiziellen HIBP-Seiten dokumentiert. Quelle: HIBP Sponsoren und Unterstützer. Wer solche Konstrukte grundsätzlich kritisch bewertet, findet bei Skandal-Online untersucht fragwürdige Dienste den passenden redaktionellen Rahmen, um Interessenkonflikte nicht nur zu behaupten, sondern sauber zu belegen.
Seriosität: Technische Infrastruktur und Transparenz
Ein Seriositätsindikator bei Sicherheitsdiensten ist die technische Prüfbarkeit. HIBP dokumentiert die API, Antwortformate und Fehlermeldungen öffentlich, sodass sich Missbrauchsrisiken wie Datenabfluss über die Schnittstelle konkret bewerten lassen. Quelle: API-Dokumentation (v3).
Für Pwned Passwords ist der Schutzmechanismus zentral: HIBP arbeitet mit Hashes (unter anderem SHA-1 für die k-Anonymity-Abfrage) und liefert nicht das Passwort aus, sondern Trefferlisten zu Hash-Suffixen. Das Verfahren ist auf der HIBP-Seite technisch beschrieben und entspricht dem etablierten k-Anonymity-Ansatz, bei dem nur ein Hash-Präfix an den Server gesendet wird. Quelle: Technische Beschreibung Pwned Passwords.
Zur Infrastruktur benennt HIBP Cloudflare als unterstützenden Partner und beschreibt den Betrieb über Cloudflare-Dienste. Das ist kein Beweis für Sicherheit, aber eine konkrete Information zur Lieferkette, die man in einem Threat-Model berücksichtigen kann, etwa hinsichtlich Logging, Routing und Jurisdiktion. Quelle: Offizielle Sponsorenseite mit Cloudflare-Nennung.
Die Datenübertragung läuft über HTTPS; Cloudflare setzt auf modernen TLS-Support und beschreibt TLS 1.3 als Standardoption in der eigenen Dokumentation. Ob ein Client tatsächlich TLS 1.3 nutzt, hängt vom Browser und den Aushandlungsparametern ab, ist aber im Browser-Handshake prüfbar. Quelle: Cloudflare-Dokumentation zu TLS 1.3.
Ein weiterer Transparenzpunkt ist die öffentliche Kommunikation: Troy Hunt veröffentlicht technische Hintergründe, inklusive Statistikbeiträgen zur Nutzung der API. Dort finden sich auch Größenordnungen wie Milliarden API-Requests seit dem Start, die als Last- und Missbrauchsindikator lesbar sind. Quelle: Troy-Hunt-Blogsuche zu Beiträgen über Milliarden API-Requests.
Datenschutz: Was passiert mit Ihrer E-Mail-Adresse?
Beim Datenleck prüfen ist die wichtigste Unterscheidung: Eine einmalige Suche nach einer E-Mail-Adresse ist nicht dasselbe wie ein dauerhaftes Monitoring. HIBP beschreibt in der Datenschutzerklärung, dass Abfragen der Suche nicht als Verlauf für Nutzerprofile gespeichert werden sollen, während die Benachrichtigungsfunktion die E-Mail-Adresse in einer Liste verwaltet, um künftige Treffer zu melden. Quelle: HIBP Datenschutzerklärung.
Für Benachrichtigungen (Notify me) ist ein Opt-in vorgesehen, bei dem eine Bestätigungsmail an die angegebene Adresse geschickt wird. Dadurch wird verhindert, dass Dritte fremde E-Mail-Adressen ohne Zugriff auf das Postfach in eine Monitoring-Liste eintragen. Quelle: HIBP Benachrichtigungsfunktion.
Beim Passwort-Check ist der Datenschutzmechanismus konkret messbar: Der Client bildet lokal den SHA-1-Hash des eingegebenen Passworts und sendet nur die ersten 5 Hex-Zeichen an HIBP. Der Server antwortet mit allen Hash-Suffixen, die zu diesem Präfix passen; der Vergleich des vollständigen Hashes passiert lokal im Browser oder im Client. Quelle: k-Anonymity-Implementierung bei Pwned Passwords.
Diese Konstruktion reduziert das Risiko, dass der Betreiber das Passwort im Klartext erhält, schließt aber Metadaten nicht automatisch aus. Wer es exakt wissen will, kann Netzwerkverkehr im Browser überprüfen und zusätzlich die HIBP-Privacy-Seite auf Aussagen zu IP-Logging und Aufbewahrung prüfen, weil solche Details für DSGVO-Bewertungen entscheidend sind. Quelle: Details zu Datenverarbeitung und Aufbewahrung.
Für DACH-Nutzer ist der Standort der Verarbeitung relevant: HIBP betreibt keine EU-Server-Zusicherung auf der Nutzeroberfläche; Cloudflare ist ein US-Unternehmen mit globaler Infrastruktur. Das bedeutet in der Praxis, dass die Datenverarbeitung in einer US-geprägten Lieferkette stattfinden kann, was eine eigene Bewertung zu Drittlandtransfers und Vertragsgrundlagen erfordert. Quelle: HIBP Angaben zu Datenschutz und Dienstleistern.
Eine Löschung ist grundsätzlich möglich, weil HIBP für Benachrichtigungen verwaltete Einträge entfernen kann; die konkrete Vorgehensweise ist in den Hilfe- und Privacy-Seiten beschrieben. Für reine Treffer in einem historischen Leak gilt: Der Datensatz stammt aus dem Leak und HIBP spiegelt ihn als Referenz, weshalb die Entfernung technisch nicht identisch mit einer Löschung beim ursprünglichen Leak-Verursacher ist. Quelle: HIBP Hinweise zu Löschung und Datenherkunft.
Kritikpunkte: Wo die Grenzen des Dienstes liegenKritikpunkte: Wo die Grenzen des Dienstes liegen
Der wichtigste Limitierungsfaktor von Have I Been Pwned (HIBP) ist die Datenbasis. Die Datenbank enthält primär öffentlich bekannt gewordene Leaks, also Datensätze, die bereits in Medien, Foren oder einschlägigen Leak-Sammlungen kursieren. Breaches, die ausschließlich privat gehandelt werden, etwa in Dark-Web-Marktplätzen oder geschlossenen Telegram-Gruppen, fehlen häufig, weil sie schlicht nicht verfügbar sind. Hinzu kommt eine zeitliche Lücke: Zwischen dem Auftauchen eines Leaks und der Aufnahme in HIBP können Wochen, teils Monate liegen, je nachdem, wann der Datensatz verifiziert, aufbereitet und rechtlich wie technisch verantwortbar integriert werden kann.
Ein weiterer Kritikpunkt ist die fehlende formale Verifizierung der Leak-Quellen. Troy Hunt stützt sich auf Zusendungen von Sicherheitsforschern, Hinweise aus der Community und eigene Recherchen. Das ist in der Praxis oft effektiv, bedeutet aber: Es gibt kein standardisiertes, extern auditierbares Aufnahmeverfahren. Falschmeldungen wären theoretisch möglich, etwa durch manipulierte Datensätze oder fehlerhafte Zuordnung, auch wenn HIBP in der Regel konservativ agiert und lieber nicht aufnimmt, wenn Zweifel bleiben.
Schließlich wird regelmäßig die Finanzierung diskutiert. HIBP wird unter anderem durch 1Password (Passwort-Manager) und Cloudflare unterstützt. Das kann potenzielle Interessenkonflikte erzeugen, etwa bei Empfehlungen oder technischer Abhängigkeit. Konkrete Hinweise auf Missbrauch oder eine verzerrte Datenlage sind jedoch nicht dokumentiert, die Kritik bleibt meist prinzipiell.
Vergleich: Have I Been Pwned vs. alternative Leak-Checker
HIBP ist nicht der einzige Leak-Checker, unterscheidet sich aber in Umfang und Fokus. Der Identity Leak Checker des Hasso-Plattner-Instituts (HPI) wirbt mit einer sehr großen Datenbasis (rund 12 Milliarden Accounts) und ist für viele Nutzer im deutschsprachigen Raum attraktiv, weil die Verarbeitung in einem deutschen Umfeld erfolgt. In der Praxis wird jedoch häufig über langsamere Update-Zyklen berichtet, außerdem bietet das HPI-Tool keine integrierte Passwort-Prüfung wie HIBP mit Pwned Passwords. Damit eignet es sich eher zur E-Mail-Überprüfung als zur Bewertung von Passwort-Hygiene.
Firefox Monitor setzt im Hintergrund auf die HIBP-Datenbank, verpackt sie aber in ein anderes Nutzererlebnis. Vorteilhaft sind die Browser-Nähe, die Integration in Firefox und Warnfunktionen, die auf gespeicherte Logins und bekannte Vorfälle abzielen. Wer ohnehin Firefox nutzt, bekommt so ein niedrigeres Friktionsniveau, ohne selbst regelmäßig suchen zu müssen. Der Nachteil: Man ist an das Produkt-Ökosystem gebunden und hat weniger direkten Einblick in Detailabfragen als bei HIBP.
Daneben gibt es Dienste wie DeHashed oder Snusbase. Sie sind meist kostenpflichtig und bieten deutlich erweiterte Suchoptionen, etwa nach Telefonnummern, Benutzernamen, teils auch Adressen oder anderen Identifikatoren. Gleichzeitig bewegen sie sich rechtlich und ethisch in einer Grauzone, weil dort häufig nicht-öffentliche Leaks und Daten aus zweifelhaften Quellen indiziert werden. Für Privatnutzer ist das Risiko, sich selbst in problematische Nutzungsmuster zu begeben, deutlich höher als bei HIBP.
Erfahrungen und Reputation in der Security-Community
In der Security-Community genießt HIBP auch wegen seines Betreibers hohes Vertrauen. Troy Hunt gilt als etablierter Sicherheitsexperte, tritt regelmäßig als Speaker auf Konferenzen wie DEF CON und Black Hat auf und ist seit 2011 Microsoft MVP. Diese Sichtbarkeit ist nicht nur Marketing, sie bedeutet auch: Seine Arbeit steht unter kontinuierlicher Beobachtung von Fachleuten, die Inkonsistenzen oder unseriöse Praktiken schnell thematisieren würden.
HIBP wird zudem häufig positiv erwähnt oder empfohlen, unter anderem von zivilgesellschaftlichen Akteuren wie der EFF sowie von CERT-Organisationen und Datenschutzbehörden in mehreren Ländern. Zentral ist dabei die praktische Bilanz: Seit dem Start 2013 sind keine dokumentierten Missbrauchsfälle bekannt, bei denen HIBP selbst als Quelle für Datenabfluss oder als Werkzeug zur Profilbildung auffällig geworden wäre. Das ersetzt keine Prüfung, ist aber ein relevanter Reputationsindikator.
Kritik kommt dennoch vor, besonders aus Datenschutzperspektive. Sie richtet sich meist weniger gegen Hunt persönlich als gegen strukturelle Punkte: US-geprägtes Hosting bzw. eine US-Lieferkette, die Frage von Drittlandtransfers und der Umstand, dass es keine dauerhaft veröffentlichten, unabhängigen Audits der Infrastruktur gibt. Für Organisationen mit strengen Compliance-Vorgaben kann genau das der Grund sein, HIBP nur ergänzend oder gar nicht einzusetzen, selbst wenn der Nutzen im Incident-Kontext unbestritten ist.
Praktische Nutzung: So prüfen Sie Ihre Daten sicher
Für die meisten Nutzer ist der E-Mail-Check der sinnvollste Einstieg. Sie geben eine Adresse ein, das Ergebnis ist in der Regel sofort sichtbar. Bei Treffern zeigt HIBP, welche Dienste betroffen waren und wann der Leak öffentlich wurde. Wichtig: HIBP zeigt dabei nicht die kompromittierten Passwörter oder den vollständigen Datensatz an, sondern nur die Zuordnung, dass die Adresse in einem bestimmten Vorfall enthalten war. So bleibt der Nutzen hoch, ohne dass zusätzliche sensible Inhalte offengelegt werden.
Der Passwort-Check ist heikler und wird häufig falsch genutzt. Geben Sie dort niemals Ihr aktuelles Passwort ein. Prüfen Sie nur alte oder verdächtige Passwörter, etwa solche, die Sie früher wiederverwendet haben oder die Ihnen bei einem Login-Versuch plötzlich „zu simpel“ vorkommen. Das Ergebnis zeigt typischerweise, wie häufig ein Passwort in bekannten Leaks vorkommt. Hohe Trefferzahlen sind ein klares Warnsignal, dass dieses Passwort weit verbreitet ist und sich für Credential-Stuffing-Angriffe eignet, selbst wenn es nicht direkt mit Ihrem Account verknüpft wurde.
Praktisch ist auch die Benachrichtigungsfunktion: Für wichtige Accounts kann sie helfen, schneller zu reagieren. Gleichzeitig bedeutet sie, dass Sie Ihre Adresse aktiv hinterlegen müssen, was manche aus Datenschutzsicht abwägen möchten. Eine einfache Alternative ist eine manuelle Prüfung alle 3-6 Monate, zusätzlich immer dann, wenn ein Dienst, den Sie nutzen, einen Sicherheitsvorfall meldet.
Fazit: Seriös, aber kein Allheilmittel
Have I Been Pwned wirkt insgesamt seriös: Die Plattform ist technisch solide, viele Entscheidungen sind transparent dokumentiert, und sie wird von einem nachweislich kompetenten Entwickler betrieben, dessen Arbeit in der Security-Community unter ständiger Beobachtung steht. Für die schnelle Einschätzung, ob eine E-Mail-Adresse in bekannten Vorfällen auftaucht, ist HIBP daher ein sehr nützliches Werkzeug.
Trotzdem gibt es klare Einschränkungen. Die Datenbank ist zwangsläufig unvollständig, denn nicht jeder Leak wird entdeckt, öffentlich oder in einer Form verfügbar, die aufgenommen werden kann. Hinzu kommen Faktoren wie US-Hosting beziehungsweise eine US-geprägte Lieferkette, das Fehlen dauerhaft veröffentlichter unabhängiger Sicherheitsaudits und eine gewisse Abhängigkeit von Sponsoren, die den Betrieb finanziell tragen. Nichts davon macht den Dienst automatisch unsicher, es setzt aber den Rahmen dafür, wie viel Vertrauen man ihm allein geben sollte.
Die beste Empfehlung lautet deshalb: Nutzen Sie HIBP als Erstcheck, aber nicht als einzige Sicherheitsmaßnahme. Kombinieren Sie es mit einem Passwort-Manager, aktivieren Sie Zwei-Faktor-Authentifizierung und wechseln Sie Passwörter bei kritischen Diensten regelmäßig oder spätestens nach Vorfallmeldungen, besonders wenn Sie früher Passwörter wiederverwendet haben.
Häufig gestellte Fragen
Wie sicher ist die Pwned Passwords-Funktion wirklich bei der Überprüfung meines Passworts?
Pwned Passwords verwendet k-Anonymity, dabei werden nur die ersten fünf Zeichen des SHA-1-Hashes der Passwörter übermittelt. Der vollständige Abgleich findet lokal statt, sodass das genaue Passwort nicht an HIBP gesendet wird. Diese Methode reduziert das Risiko im Vergleich zur Übertragung kompletter Hashes deutlich.
Weshalb sollte ich mich für die Benachrichtigungsfunktion anmelden und wie funktioniert die Bestätigung?
Die Benachrichtigung informiert, wenn Ihre E-Mail in einem neuen Leak auftaucht, ist aber nicht automatisch aktiv. Sie müssen ein Opt-in per Bestätigungsmail durchführen, damit HIBP Sie anschreiben darf. Dadurch wird verhindert, dass fremde Adressen ohne Einwilligung registriert werden.
Beeinflusst das US-Hosting von HIBP meine DSGVO-Risikobewertung als DACH-Nutzer?
Ja, die Infrastruktur ist nicht ausschließlich in der EU, was bei einer Datenschutz-Folgeabschätzung berücksichtigt werden sollte. Das bedeutet, Unternehmen in DACH sollten prüfen, ob zusätzliche Schutzmaßnahmen oder Verträge nötig sind. Für Privatpersonen klingt das primär als Hinweis auf erhöhten Prüfbedarf bei sensiblen Daten.
Wie vollständig ist die Datenbank mit ihren „über 13 Milliarden“ Einträgen für praktische Sicherheitsentscheidungen?
Die Zahl von über 13 Milliarden Accounts und mehr als 600 dokumentierten Leaks zeigt große Reichweite, aber die Datenbank bleibt unvollständig. Manche Leaks, vor allem solche, die nur im Darknet gehandelt werden, tauchen nicht zwingend auf. Deshalb ist HIBP ein nützliches Erstcheck-Instrument, aber kein Ersatz für weitergehende Sicherheitsmaßnahmen.
Welche Informationen zeigt HIBP bei einem gefundenen Leak konkret an?
HIBP listet die betroffene Plattform, das ungefähre Leak-Datum und welche Datentypen kompromittiert wurden, zum Beispiel E-Mail-Adressen oder Passworthashes. Die Einträge sind mit Klassifikationen versehen, ob ein Leak als sensibel gilt. Diese Details helfen bei der Einschätzung, ob ein Passwortwechsel oder weitere Schritte nötig sind.
Sind die kostenlosen Funktionen für Privatanwender eingeschränkt gegenüber der kostenpflichtigen API für Unternehmen?
Privatnutzer können E-Mail-Adressen kostenlos prüfen und Pwned Passwords nutzen, während Unternehmen erweiterte API-Zugriffe bezahlen müssen. Der Anbieter nennt einen Einstiegspreis von 3,50 US-Dollar pro Monat für kommerzielle Zugänge. Firmen profitieren so von Automatisierung und größeren Abfragemengen, die im kostenlosen Modus nicht vorgesehen sind.
Welche konkreten Schutzmaßnahmen sollte ich zusätzlich ergreifen, nachdem HIBP ein Leak anzeigt?
Wechseln Sie betroffene Passwörter sofort bei kritischen Diensten, besonders wenn Sie Passwörter wiederverwendet haben. Nutzen Sie einen Passwort-Manager, aktivieren Sie Zwei-Faktor-Authentifizierung und prüfen Sie Konten regelmäßig, zum Beispiel alle drei bis sechs Monate oder nach bekannten Vorfallmeldungen.
Share:
