OneKitTools logoOneKitTools
security4 Min. Lesezeit

Was wirklich mit deinen Daten passiert, wenn eine Website gehackt wird

Wenn ein Unternehmen eine „Datenpanne" ankündigt, was bedeutet das konkret für dich? Hier ist der echte Zeitverlauf — vom Hack bis in dein Postfach — und was du dagegen tun kannst.

OneKitTools Team14. April 2026

„Wir nehmen deine Sicherheit sehr ernst"

Du hast die E-Mail bekommen. Ein Unternehmen, das du nutzt, hat einen „Sicherheitsvorfall" erlitten. Sie „nehmen deine Privatsphäre sehr ernst". Sie „arbeiten mit führenden Cybersicherheitsexperten zusammen". Sie empfehlen, „dein Passwort vorsichtshalber zu ändern".

Was bedeutet das wirklich? Was ist mit deinen Daten passiert? Und was machen diese Hacker gerade damit?

Wie ein Datenleck wirklich entsteht

Die häufigsten Szenarien, nach Häufigkeit geordnet:

SQL-Injection — Ein Angreifer findet ein Formular auf der Website (Suche, Login, Kontakt), in das er Datenbankbefehle einschleusen kann. Statt eines Benutzernamens tippt er ' OR 1=1 --. Die Datenbank gibt alles zurück. Diese Schwachstelle gibt es seit Jahrzehnten und ist immer noch die häufigste.

Credential Stuffing — Angreifer nehmen Passwörter aus anderen Datenpannen und probieren sie beim Zielunternehmen aus. Wenn du ein Passwort von einer 2019 gehackten Website wiederverwendet hast, hat der Angreifer deine Zugangsdaten schon fertig zum Ausprobieren.

Phishing eines Mitarbeiters — Jemand im Unternehmen klickt auf eine überzeugende gefälschte E-Mail, gibt seine Zugangsdaten ein, und der Angreifer hat jetzt internen Zugang. Viele große Datenpannen begannen mit dem Phishing-Klick eines einzigen Mitarbeiters.

Ungepatchte Software — Ein Server, der eine alte Version eines Frameworks oder einer Bibliothek mit bekannter Schwachstelle verwendet. Der Angreifer nutzt sie aus, verschafft sich Zugang, extrahiert Daten.

Insider-Bedrohung — Seltener, aber real. Ein unzufriedener Mitarbeiter, ein Auftragnehmer mit zu viel Zugang.

Was sie stehlen

Nicht alle Datenpannen sind gleich. Was ein Angreifer extrahiert, hängt davon ab, was das Unternehmen gespeichert hat:

Stufe 1 — Das Schlimmste (häufig für 5–50 € pro Datensatz verkauft)

  • Vollständiger Name + E-Mail + Telefon + Geburtsdatum + Postanschrift
  • Teilweise oder vollständige Kreditkartennummern
  • Sozialversicherungsnummern / Personalausweisnummern
  • Passwörter im Klartext (ja, das passiert noch immer)

Stufe 2 — Schlimm

  • E-Mail + gehashtes Passwort (wie es normalerweise ist)
  • Benutzername + Kontometadaten
  • Kaufhistorie

Stufe 3 — Lästig, aber begrenzt

  • Nur E-Mail-Adresse
  • IP-Adressen

Die Datenpannen-Benachrichtigung des Unternehmens beschreibt in der Regel, was offengelegt wurde. Lies sie sorgfältig.

Was danach mit den Daten passiert

Stunde 0 — Die Exfiltration

Der Angreifer kopiert die Daten. Er könnte sich bereits tagelang oder monatelang im System befunden haben, bevor es jemand bemerkte — die durchschnittliche „Verweildauer" vor der Entdeckung beträgt 197 Tage.

Tage 1–7 — Eigennutzung oder Verkauf

Der Angreifer entweder:

  • Nutzt die Daten selbst (wenn es sein Zielunternehmen ist oder er bestimmte Konten will)
  • Verkauft sie sofort auf Darknet-Marktplätzen für maximalen „Frische"-Wert

Wochen 1–4 — Die Panne wird öffentlich

Das Unternehmen entdeckt sie (durch Sicherheitstools, einen Forscher-Hinweis oder eine Lösegeldforderung) oder sie taucht in einem Hacker-Forum auf. Das Unternehmen benachrichtigt Benutzer — oft Wochen nach dem Vorfall.

Monate 1–12 — Credential-Stuffing-Kampagnen

Angreifer testen deine E-Mail+Passwort-Kombination bei großen Diensten: Gmail, Netflix, PayPal, Banken. Automatisierte Tools testen tausende Kombinationen pro Minute. Wenn du dieses Passwort irgendwo wiederverwendet hast, wird es gefunden.

Jahr 1+ — Der lange Schwanz

Datenpannen-Daten verfallen nicht. Eine Panne von 2018 kann für Phishing-Kampagnen 2026 genutzt werden. Daten aus mehreren Pannen werden kombiniert („Datenanreicherung"), um vollständigere Profile für gezielte Angriffe zu erstellen.

Wie Passwörter gespeichert werden (sollten)

Wenn ein Unternehmen dein Passwort speichert, sollte es niemals das eigentliche Passwort speichern. Stattdessen speichert es einen Hash — eine irreversible mathematische Transformation.

  • Du legst das Passwort fest: passwort123
  • Die Website speichert: 6f3b56e15f5f9a5b... (SHA-256-Hash)
  • Beim Login: die Website hasht deine Eingabe und vergleicht die Hashes

Das Problem: Nicht alle Hashes sind gleich.

MD5 — Schnell zu berechnen, schnell zu knacken. Eine einzelne GPU kann 10 Milliarden MD5-Hashes pro Sekunde testen. Eine gehackte MD5-Datenbank mit 10 Millionen Passwörtern kann in Minuten geknackt werden.

SHA-256 (ohne Salt) — Besser, aber immer noch schnell. Rainbow Tables (Datenbanken vorberechneter Hashes) können gängige Passwörter sofort knacken.

bcrypt / Argon2 — Absichtlich langsam konzipiert. Eine GPU, die 10 Milliarden MD5-Hashes pro Sekunde knackt, kann nur ~100 bcrypt-Hashes pro Sekunde verarbeiten. Eine Datenpanne mit bcrypt-gehashten Passwörtern gibt Monate statt Minuten.

Klartext — Ja, einige Unternehmen speichern Passwörter noch immer im Klartext. Wenn eine Datenpannen-Benachrichtigung sagt „Passwörter wurden offengelegt" und nicht „gehashte Passwörter wurden offengelegt", ist das ein Warnsignal.

Was du tun solltest, wenn du die E-Mail erhältst

Sofort (erste 24 Stunden):

  1. Ändere dein Passwort auf dieser Website — auch wenn die Panne nur gehashte Passwörter betroffen hat
  2. Wenn du dasselbe Passwort woanders verwendet hast, ändere es auch dort — überall, noch am selben Tag
  3. Prüfe, ob die Website sensible Daten gespeichert hat (Karte, Personalausweis) — wenn ja, überwache deine Kreditauskunft

Innerhalb der Woche:

  1. Aktiviere 2FA auf der betroffenen Website, falls noch nicht geschehen
  2. Überprüfe deine E-Mail gegen die HaveIBeenPwned-Datenbank, um das vollständige Ausmaß deiner Exposition zu sehen
  3. Generiere für jede kompromittierte Website ein neues, einzigartiges Passwort (Passwort-Generator)

Langfristig:

  1. Verwende für jede Website ein anderes Passwort — immer. Ein Passwort-Manager macht das handhabbar.
  2. Aktiviere 2FA für E-Mail — das ist der Wiederherstellungsschlüssel für alles andere
  3. Erwäge eine Kreditsperre, wenn deine Sozialversicherungsnummer / dein Personalausweis offengelegt wurde

Das Einzige, was wirklich zählt

Passwort-Wiederverwendung ist die Wurzel der meisten Account-Übernahmen nach einer Datenpanne. Wenn dein LinkedIn-Passwort von 2012 heute noch dein Gmail-Passwort ist, ist eine 12 Jahre alte Panne immer noch eine aktuelle Bedrohung.

Überprüfe, ob deine E-Mail in einer Datenpanne war. Falls ja, behandle jedes Passwort, das du damals verwendet hast, als kompromittiert — und generiere neue.

Teilen

Ähnliche Artikel

security

"2FA erklärt: Warum SMS-Codes weniger sicher sind, als du denkst"

4 Min. Lesezeit
security

"Passwortsicherheit: So prüfst du, ob dein Passwort geleakt wurde"

2 Min. Lesezeit

Erwähnte Tools

Email Breach Checker
Password Generator
Hash Generator