Meine E-Mail wurde gehackt – was sollte ich zuerst tun?

Ist Ihre E-Mail kompromittiert, ist **das der höchste Notfall**: Der Angreifer kann alle Ihre Konten zurücksetzen (Bank, Social Media, Shopping). Erste Maßnahme: Versuchen Sie, den Zugang über das Wiederherstellungsformular des Anbieters zurückzuerlangen (Gmail, Outlook…). Wenn Sie wieder Zugang erhalten: Passwort sofort ändern, 2FA aktivieren, andere Sitzungen trennen, prüfen, ob Weiterleitungsregeln hinzugefügt wurden (Anzeichen dafür, dass der Angreifer Ihre E-Mails ausspäht). Wenn Sie nicht mehr darauf zugreifen können: Kontaktieren Sie dringend den Support des Anbieters mit einem Identitätsnachweis.

Wie erkenne ich, ob mein Passwort geleakt wurde?

Gehen Sie auf **[haveibeenpwned.com](https://haveibeenpwned.com)** – geben Sie Ihre E-Mail-Adresse ein, um zu sehen, in welchen bekannten Datenlecks Ihr Konto auftaucht. Dieser Dienst verfolgt über 12 Milliarden kompromittierte Konten. Erscheint Ihre E-Mail, ändern Sie die Passwörter aller mit dieser Adresse verknüpften Konten. Bonus: Bitwarden Premium und Proton Pass integrieren diese Prüfung direkt in den Manager, mit automatischen Warnungen bei neuen Datenlecks.

Muss ich für einen Passwort-Manager bezahlen?

**Nein, nicht für den Einstieg.** Bitwarden bietet einen vollständig kostenlosen Tarif: unbegrenzter Tresor, Sync über alle Geräte (Mobil, PC, Browser), starker Passwortgenerator. Auch Proton Pass bietet einen soliden kostenlosen Tarif. Die kostenpflichtige Version (Bitwarden Premium für 10 $/Jahr, Proton Pass für 12 $/Jahr) ergänzt automatische Datenleck-Warnungen, Hardware-2FA (YubiKey) und Tresor-Gesundheitschecks. Für die meisten Nutzer reicht die kostenlose Version, um das Risiko der Passwort-Wiederverwendung zu beseitigen.

Sollte ich jemanden informieren, wenn mein Konto gehackt wurde?

Ja, in bestimmten Fällen. **Ihre Bank**: Wenn ein Bank- oder Finanzdienstkonto betroffen ist, rufen Sie sofort die Betrugsabteilung an. **Ihre Kontakte**: Wenn Ihr E-Mail- oder Social-Media-Konto in Ihrem Namen betrügerische Nachrichten versendet hat, warnen Sie Ihre Kontakte, die Links nicht zu öffnen. **Ihren Arbeitgeber**: Wenn das gehackte Konto Zugang zu Arbeitsressourcen gewährt.

Mein Konto wurde gehackt, aber ich habe mein Passwort nicht wiederverwendet – wie ist das möglich?

Mehrere Szenarien ohne Passwort-Wiederverwendung: (1) **Phishing**: Sie haben Ihr Passwort auf einer gefälschten Seite eingegeben, die der echten ähnelte. (2) **Datenleck beim Dienst**: Die Datenbank des Dienstes wurde mit schlecht geschützten Passwörtern kompromittiert. (3) **Malware/Keylogger**: Schadsoftware auf Ihrem Gerät zeichnet Tastatureingaben auf. (4) **SIM-Swapping**: Der Angreifer hat Ihre Telefonnummer übertragen, um SMS-Wiederherstellungscodes abzufangen. Langfristige Lösung: app-basierte 2FA (nicht SMS) + ein Passwort-Manager, der Phishing-Seiten erkennt.

Mein Konto wurde gehackt: Was JETZT zu tun ist (Schritt-für-Schritt-Anleitung)

Ihr Konto wurde gerade gehackt. Oder Sie vermuten es zumindest. So oder so: Die erste Regel ist einfach: keine Panik, geordnet handeln. Jede Minute zählt, aber Fehler unter Stress können die Lage verschlimmern.

Diese Anleitung gibt Ihnen die genaue Abfolge der Maßnahmen, in der richtigen Reihenfolge und mit den richtigen Prioritäten.

01 — Durchatmen. Das passiert in den nächsten 10 Minuten

Wenn Ihr Konto kompromittiert wurde, hat der Angreifer vermutlich zwei Ziele: Geld oder Inhalte abgreifen und Ihr Konto als Sprungbrett nutzen, um Ihre anderen Konten anzugreifen. Die gute Nachricht: Sie können beides schnell unterbinden, wenn Sie jetzt handeln – die vorrangigen Schritte unten dauern nur wenige Minuten.

Diese Anleitung folgt einer Triage-Logik: Wir kümmern uns zuerst darum, den unmittelbaren Schaden zu begrenzen, und sichern dann langfristig ab.

02 — Die ersten 5 Minuten: Sofortmaßnahmen

Schritt 1 — Das Passwort des gehackten Kontos ändern

Wenn Sie noch Zugang zum Konto haben, gehen Sie sofort zu Einstellungen → Sicherheit → Passwort ändern.

Verwenden Sie ein starkes, einzigartiges Passwort: mindestens 16 Zeichen, mit Buchstaben, Zahlen und Symbolen gemischt. Verwenden Sie nichts, was Sie anderswo nutzen – genau diese Wiederverwendung ermöglicht Ketteneinbrüche. Nutzen Sie unseren Passwortstärke-Prüfer, um das neue Passwort vor dem Speichern zu überprüfen, und unseren Passwortgenerator, um eines zu erstellen, das Sie sich nicht selbst ausdenken müssen.

Wenn Sie keinen Zugang mehr haben, klicken Sie auf „Passwort vergessen" oder „Auf andere Weise anmelden" und lösen Sie eine Zurücksetzung an Ihre Wiederherstellungs-E-Mail aus.

Schritt 2 — Das Passwort Ihrer Haupt-E-Mail ändern

Diesen Schritt vergessen viele. Kontrolliert ein Angreifer Ihren Posteingang, kann er von dieser Adresse aus Passwort-Zurücksetzungen für alle Ihre Konten auslösen – Bank, Social Media, Netflix, Amazon. Ändern Sie Ihr E-Mail-Passwort jetzt, bevor Sie etwas anderes tun.

Ihr neues E-Mail-Passwort muss sich vom Passwort des gehackten Kontos und allen Ihren anderen Passwörtern unterscheiden.

Schritt 3 — Alle aktiven Sitzungen trennen

Suchen Sie in den Sicherheitseinstellungen des kompromittierten Kontos nach „Aktive Sitzungen", „Verbundene Geräte" oder „Sitzungen verwalten". Trennen Sie alle Geräte außer Ihrem. Bei Gmail: Einstellungen → Sicherheit → Ihre Geräte. Bei Facebook: Einstellungen → Sicherheit → Aktive Sitzungen.

Diese Maßnahme entfernt den Angreifer sofort, selbst wenn er noch mit einem gültigen Token angemeldet ist.

03 — Innerhalb der ersten 30 Minuten: Sicherheit stärken

2FA beim gehackten Konto aktivieren

Zwei-Faktor-Authentifizierung (2FA) bedeutet, dass sich jemand selbst bei Kenntnis Ihres Passworts ohne den zusätzlichen Code nicht anmelden kann. Aktivieren Sie sie zuerst beim gehackten Konto, dann bei Ihrer E-Mail.

Verwenden Sie eine Authenticator-App, nicht SMS: SIM-Swapping-Angriffe erlauben es, Ihre SMS zum Angreifer umzuleiten. Eine App wie Google Authenticator oder Bitwarden Authenticator erzeugt Codes lokal, ohne das Telefonnetz zu durchlaufen.

Wiederherstellungseinstellungen prüfen

Stellen Sie sicher, dass der Angreifer Ihre Wiederherstellungs-E-Mail-Adresse oder -Telefonnummer nicht geändert hat. Prüfen Sie auch E-Mail-Weiterleitungsregeln (ein Angreifer könnte eine Regel eingerichtet haben, um unbemerkt Kopien all Ihrer E-Mails zu erhalten).

Passwörter verknüpfter Konten ändern

Wenn Sie dasselbe Passwort auf anderen Seiten verwendet haben (Bank, Social Media, Arbeits-E-Mail), ändern Sie sie jetzt. Das ist das Risiko Nummer eins: Ein einziges gestohlenes Passwort kompromittiert alles andere.

Prüfen Sie haveibeenpwned.com, um zu sehen, ob Ihre E-Mail in bekannten Datenlecks auftaucht.

04 — Die dauerhafte Lösung: ein Passwort-Manager

Konto-Hacks passieren nicht zufällig. Ursache Nummer eins bleibt die Passwort-Wiederverwendung: Eine Seite wird kompromittiert, und alle Ihre anderen Konten mit demselben Passwort werden angreifbar. Ursache Nummer zwei: zu einfache, leicht zu erratende oder per Brute Force zu knackende Passwörter.

Ein Passwort-Manager behebt beide Probleme dauerhaft: Er erzeugt für jede Seite ein starkes, einzigartiges Passwort, speichert es verschlüsselt und füllt es automatisch aus. Sie müssen sich nur ein Passwort merken – das Master-Passwort.

Bitwarden: kostenlos, Open Source, auditiert

Bitwarden ist unsere Top-Empfehlung aus einem einfachen Grund: Der kostenlose Tarif ist vollständig und unbegrenzt (unbegrenzter Tresor, Sync über alle Geräte, Passwortgenerator). Der Code ist Open Source und wurde 2022 von Cure53 auditiert – jeder kann überprüfen, dass er hält, was er verspricht.

Für datenschutzbewusste Nutzer ergänzt Bitwarden Premium (10 $/Jahr) automatische Datenleck-Warnungen – Sie werden in dem Moment benachrichtigt, in dem eines Ihrer Passwörter in einem neuen Leak auftaucht.

Sehen Sie unseren vollständigen Bitwarden-Test 2026 für die technischen Details.

Bitwarden kostenlos testen →Kostenloser Tarif · Unbegrenzter Tresor · Open Source, von Cure53 auditiert→

Proton Pass: für das Privacy-Ökosystem

Wenn Sie bereits Proton Mail oder Proton VPN nutzen, fügt sich Proton Pass natürlich in dieses Ökosystem ein. Kostenloser Tarif verfügbar, mit Ende-zu-Ende-Verschlüsselung der Metadaten (anders als die meisten Wettbewerber, die nur Passwörter verschlüsseln, nicht URLs oder Kontonamen).

Proton Pass eignet sich besonders, wenn Sie eine Privacy-First-Lösung mit einem Anbieter mit Sitz in der Schweiz möchten.

Unser Vergleich Proton Pass vs. Bitwarden hilft Ihnen, je nach Profil zu wählen.

Proton Pass testen →Kostenloser Tarif · E2EE-Verschlüsselung der Metadaten · Proton-Ökosystem→

05 — Checkliste zur Zusammenfassung

Hier die Maßnahmen der Reihe nach zum Abhaken:

06 — Weiterführende Lektüre

Bester Passwort-Manager 2026 — unser vollständiges Ranking
Beste 2FA-Authenticator-App — Aegis, Google Auth, Bitwarden Authenticator im Vergleich
Passkeys vs. Passwörter — die Technologie, die Passwörter dauerhaft ablösen könnte

PwdFortress erhält eine Provision, wenn Sie über die Links in diesem Artikel Bitwarden Premium oder Proton Pass abonnieren. Das ändert weder den von Ihnen gezahlten Preis noch den redaktionellen Inhalt – die Empfehlungen beruhen auf dokumentierten Funktionen und veröffentlichten Audits.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Sichere deine Konten ab → NordPassStarke, einzigartige Passwörter · Leck-Scanner · Gratis-Tarif→