Maskmail
AnmeldenKostenlos testen
Alle Artikel

Blog

So prüfen Sie, ob Ihre E-Mail geleakt wurde (und was Sie tun)

Mit Have I Been Pwned und weiteren Signalen schnell Brechungsrisiko erkennen, dann Schaden mit Masken begrenzen, bevor der nächste Dump Ihre Inbox weitergibt.

Flat vector illustration of a sealed envelope under a magnifying glass with a small purple shield badge and muted warning dots on a pastel gradient

Datenlecks gehören längst zum digitalen Alltag. Viele merken erst durch Spamwellen oder merkwürdige Passwort-Reset-Mails, dass ihre Adresse irgendwo in einem Datensatz gelandet ist. Ob Ihre E-Mail in öffentlichen Leak-Datenbanken auftaucht, lässt sich kostenlos in gut einer Minute prüfen.

Dieser Leitfaden zeigt, wie Sie Have I Been Pwned sinnvoll nutzen, warum ein zweiter Check die Einschätzung verbessert, wie Sie Treffer richtig einordnen und warum Maskierung verhindert, dass das nächste Leck gleich mehrere Konten mitreißt.

Schritt 1: Have I Been Pwned als erster Stopp

Have I Been Pwned (HIBP) von Troy Hunt ist der bekannteste Einstieg. Sie geben eine E-Mail-Adresse ein, HIBP zeigt, ob sie in den dort erfassten Leaks vorkommt.

Der Datenbestand ist groß und ändert sich ständig. Aktuelle Zahlen und den Umgang mit eingegebenen Adressen erklären die Projektseiten About und FAQs verlässlicher als ein Blogartikel mit Momentaufnahme.

Ablauf:

  1. haveibeenpwned.com öffnen.
  2. Adresse eintragen, die Sie prüfen wollen.
  3. Suche starten (die Schaltfläche ist auf der Startseite klar beschriftet).

Bei Treffern sehen Sie die betroffenen Dienste, den ungefähren Zeitraum und die Datenarten, etwa nur E-Mail-Adressen oder zusätzlich Passwörter, Telefonnummern und weitere Angaben. Ohne Treffer meldet HIBP klar, dass zu dieser Adresse nichts gefunden wurde.

Benachrichtigung einschalten

Notify me schickt Ihnen eine Nachricht, wenn Ihre Adresse in einem künftigen Leck auftaucht. Das ist deutlich verlässlicher, als sich gelegentliche manuelle Checks vorzunehmen.

Pwned Passwords für alles, was Sie noch blind eintippen

HIBP Pwned Passwords prüft, ob ein Passwort bereits in bekannten Leaks vorkam, ohne es plump zusammen mit Ihrer Identität zu speichern. HIBP erklärt das Verfahren mit k-Anonymität transparent. Einmal lesen lohnt sich, damit klar ist, was dort tatsächlich geprüft wird.

Taucht ein Passwort auf, das Sie noch nutzen: überall ersetzen, wo Sie es wiederverwendet haben.

Schritt 2: Zweite Datenquelle dazunehmen

Kein Aggregator kennt das ganze Netz. Unterschiedliche Projekte werten unterschiedliche öffentliche Datensätze aus.

Der kostenlose E-Mail-Leak-Check von Maskmail nutzt die öffentliche API von XposedOrNot. Prüfen Sie Ihre Adresse erst bei HIBP und danach dort. Weichen die Ergebnisse voneinander ab, ist das ein Grund, genauer hinzusehen, kein Grund zur Entwarnung.

Schritt 3: Treffer nüchtern lesen, nicht wie eine Schlagzeile

Jeder Treffer beantwortet drei Fragen:

Wer hat Daten verloren? Bei diesem Dienst zuerst ein neues Passwort setzen, falls das Konto noch existiert: stark und nirgendwo sonst verwendet.

Wie alt ist der Vorfall? Haben Sie das Passwort nach der öffentlichen Meldung bereits geändert, ist der akute Druck geringer. Seit dem Zeitraum des Lecks nie gewechselt? Dann gehen Sie vom ungünstigsten Fall aus.

Welche Daten waren betroffen? Nur die E-Mail-Adresse ist schon ärgerlich. Passwörter, Telefonnummern oder Anschriften erhöhen das Risiko deutlich. Nutzen Sie dasselbe Passwort anderswo, gelten auch diese Konten als gefährdet, bis Sie sie abgesichert haben.

Schritt 4: Schaden begrenzen

Wenn Ihre Adresse auftaucht:

  1. Passwort beim betroffenen Dienst zuerst und wirklich neu setzen.
  2. Zwei-Faktor-Authentifizierung aktivieren, wo verfügbar, damit ein geklautes Passwort nicht allein reicht.
  3. Wiederverwendung aufspüren. Ein Passwort für fünf Dienste heißt: Ein Leck öffnet fünf Türen. Genau diese Kettenreaktion wollen Sie vermeiden.

Das unbequeme Faktum: ein Postfach, hundert Beziehungen

Viele Ratgeber enden bei „Passwort ändern“. Das eigentliche Strukturproblem bleibt: Sie tragen weiterhin dieselbe private Adresse bei jedem neuen Händler, Newsletter und jeder Park-App ein. Das nächste Leck betrifft wieder dieselbe Kennung.

Diese Adresse war nie als öffentlicher Schlüssel fürs ganze Web gedacht. An ihr hängen Passwort-Resets, Bankpost und private Gespräche. Wenn Datenbroker und Aggregatoren sie kopiert haben, gibt es keinen ehrlichen „aus dem Internet löschen“-Knopf.

Deshalb gehört E-Mail-Maskierung zur Diskussion über künftige Registrierungen, nicht nur über das Leck, das gestern in den Schlagzeilen stand.

Wie Masken Kettenreaktionen kappen

Mit Maskierung bekommt jeder Anbieter eine eigene Weiterleitungsadresse zu Ihrem echten Postfach. Ihre Hauptadresse muss er dafür nicht kennen. Die Technik im Detail: So funktioniert E-Mail-Maskierung.

Wenn ein gemaskter Anbieter leakt:

Der Schaden bleibt begrenzt. Angreifer sehen höchstens die jeweilige Weiterleitungsadresse. Nicht automatisch dieselbe Kennung wie bei Ihrer Bank oder privaten Cloud, sofern Sie dort andere Masken nutzen.

Sie können eine Beziehung sauber beenden. Maske deaktivieren, fertig. Alle anderen Masken und Ihr echtes Postfach laufen weiter.

Die Zuordnung ist klar. Eine Maske, ein Anbieter. Kein Rätselraten.

Mit Maskmail erzeugen Sie pro Formular eine frische Maske. Nachrichten landen nahezu in Echtzeit in Gmail, Proton, iCloud oder bei Ihrem gewohnten Anbieter. Die Erweiterung für Chrome, Edge und Brave erspart den Wechsel zwischen Tabs.

Mit eigener Domain verbinden Sie Ihre Domain mit Maskmail und verwenden Adressen spontan. Catch-all nimmt alles unter Ihrer Domain an, ohne dass jede Adresse vorher angelegt werden muss.

Eine langweilige Gewohnheit, die sich auszahlt

Heute: Adresse bei HIBP und im Maskmail-Checker prüfen. Schwache Passwörter austauschen, Wiederverwendung beseitigen, 2FA aktivieren, wo sie noch fehlt.

Ab jetzt: die Hauptadresse wie ein Geheimnis behandeln, nicht wie einen Benutzernamen. Jeder neue Dienst bekommt eine Maske. Leck im nächsten Jahr? Eine Maske deaktivieren und weiterarbeiten. Hauptpostfach, Reset-Wege und sensible Kommunikation bleiben unter Ihrer Kontrolle.

Das alte Leck ist passiert. Was Sie noch steuern: ob die nächste Schlagzeile wieder Ihre echte Adresse nennt.

Geben Sie Ihre echte E-Mail-Adresse nicht länger preis.

Legen Sie Ihre erste Maske in wenigen Minuten an, und behalten Sie ein Postfach, das sauber, privat und unter Ihrer Kontrolle bleibt.

Erste Maske anlegen
  • 14 Tage kostenlos testen
  • Jederzeit kündbar
  • Einrichtung in unter 2 Minuten