Wenn Sie in letzter Zeit die Worte Datenleck, Datenpanne oder gehackt in den Nachrichten gesehen haben, sind Sie nicht allein — Bekanntmachungen von Datenpannen sind ungefähr wöchentliche Ereignisse geworden, und der Suchtrend spiegelt das wider. Dieser Leitfaden erklärt, was ein Datenleck wirklich ist, warum sie weiter passieren, was gestohlen wird, was Sie dagegen tun können und eine strukturelle Antwort, über die nicht genug geredet wird: Apps, die Ihre Daten nirgendwohin senden, können sie nicht leaken.
Was ein Datenleck eigentlich ist
Ein Datenleck ist ein Vorfall, bei dem Informationen, die von einer Organisation gespeichert werden, von jemandem zugegriffen, kopiert oder offengelegt werden, der sie nicht sehen sollte. Die Informationen können Kundenakten, Lohnabrechnungen, Kreditkartennummern, Passwort-Hashes, interne Dokumente oder sensible persönliche Daten wie Krankenakten und Wohnadressen sein.
Der technische Mechanismus variiert — ein gestohlenes Passwort, ein nicht gepatchter Server, ein falsch konfigurierter Cloud-Bucket, ein Insider mit schlechten Absichten, eine Phishing-Mail, die den Angreifern Zugang verschafft hat. Die rechtliche Definition variiert je nach Rechtsgebiet (DSGVO, CCPA, HIPAA ziehen die Linie unterschiedlich). Aber die alltägliche Bedeutung ist dieselbe: Daten, die privat sein sollten, sind es nicht mehr.
Warum Datenlecks weiter passieren
Die Zahl der Datenlecks pro Jahr ist im letzten Jahrzehnt fast jährlich gewachsen. Die strukturellen Gründe sind unglamourös:
- Alles wird heute in der Cloud gespeichert. Unternehmen, die früher Kundendaten lokal hielten, halten sie jetzt in S3-Buckets, gemanagten Datenbanken und SaaS-Dashboards. Die Angriffsfläche wächst mit jeder Integration.
- Zugangsdaten sind das schwächste Glied. Die meisten Datenlecks beginnen mit einem einzigen kompromittierten Passwort. Multi-Faktor-Authentifizierung hilft, aber die Verbreitung ist uneinheitlich, und SMS-basiertes 2FA ist selbst angreifbar.
- Anbieter und Lieferketten. Ihre Daten sind nicht nur durch das Unternehmen gefährdet, bei dem Sie sich registriert haben, sondern durch jeden Anbieter, mit dem es Daten teilt — Analyseplattformen, Zahlungsprozessoren, Support-Tools, Werbepartner. Jeder ist ein eigener Angriffsvektor.
- Erkennung dauert Monate. Der Branchendurchschnitt zwischen initialer Kompromittierung und Erkennung liegt bei rund 200 Tagen. Sechs Monate, in denen ein Angreifer leise Daten exfiltriert, bevor es jemand bemerkt.
- Strafen sind meist kleiner als der Wert der Daten. Ein Datenleck kostet im Durchschnitt 4-5 Mio. USD an Aufräumarbeiten und Strafen. Der lebenslange Wert der Daten, vor allem wenn sie für Betrug wiederverwendet werden, ist oft höher. Die Ökonomie schreckt nicht stark genug ab.
Welche Daten gestohlen werden
Nicht alle gestohlenen Daten sind gleich schädlich. Grob nach Ärger geordnet, den ein geleakter Datensatz verursachen kann:
| Datentyp | Warum es schlimm ist, wenn es leakt |
|---|---|
| Ausweisdokumente | Pass-, Personalausweis-, Führerscheinnummern. Für Identitätsdiebstahl. Am schwersten zu ändern. |
| Finanzdaten | Kreditkartennummern, Kontodaten, Transaktionshistorie. Meist direkt monetarisierbar. |
| Passwörter (gehasht oder im Klartext) | Auf vielen Sites wiederverwendet. Ein geleaktes Passwort → Credential-Stuffing-Angriffe auf jedes andere Konto, das es nutzt. |
| Persönliche Kontaktdaten | Kombinationen aus E-Mail + Telefon + Name + Adresse. Für Phishing, SMS-Betrug, Doxxing. |
| Medizinische / Gesundheitsdaten | Sensibel und langlebig — Ihre Krankengeschichte ändert sich nicht. Für Versicherungsbetrug und gezielte Betrugsmaschen. |
| Verhaltensdaten | Browserverlauf, Standortspuren, App-Nutzung. Zum Erstellen von Profilen für Werbung, Betrug oder Stalking. |
Was Sie wirklich tun können
Die meisten Ratschläge dazu sind entweder nutzlos ("Lassen Sie sich nicht hacken") oder erschlagend ("Ändern Sie morgen alle Passwörter"). Die pragmatische Kurzliste:
- Nutzen Sie einen Passwort-Manager. Ein starkes, einmaliges Passwort pro Seite, vom Manager erzeugt und gemerkt. Dieser eine Schritt neutralisiert die meisten Credential-Stuffing-Angriffe. 1Password, Bitwarden und KeePass sind solide.
- Aktivieren Sie 2FA, bevorzugen Sie App-basiert. Authenticator-App-Codes (TOTP) oder Hardware-Sicherheitsschlüssel schlagen SMS deutlich. SMS ist besser als nichts, aber SIM-Swap-Angriffe umgehen es.
- Nutzen Sie Have I Been Pwned. Kostenloser Dienst, der Ihnen sagt, in welchen Datenlecks Ihre E-Mail aufgetaucht ist. Melden Sie sich für Alerts an; ändern Sie die betroffenen Passwörter.
- Reduzieren Sie die Anzahl Ihrer Konten. Jedes Konto ist ein Leck-Vektor. Löschen Sie die, die Sie nicht mehr nutzen. Registrieren Sie sich nicht nur, um einen Artikel zu lesen.
- Bevorzugen Sie offline Tools, wo möglich. Wenn eine Aufgabe ohne Senden von Daten an einen Cloud-Dienst erledigt werden kann, machen Sie es so. Das ist die strukturelle Lösung — siehe nächsten Abschnitt.
Die strukturelle Antwort: Offline-First-Apps
Die meisten persönlichen Daten landen in einem Datenleck, weil sie überhaupt erst an einen Server gesendet wurden. Ein Fotoeditor, der Ihre Fotos zum "Verbessern" hochlädt. Eine Taschenrechner-App, die Nutzungsanalysen sendet. Ein Übersetzer, der jedes Wort loggt. Ein Wörterbuch, das ein Konto verlangt.
Die strukturelle Antwort ist, Apps zu nutzen, die Ihre Daten nirgendwohin senden. Berechnungen, Wörterbuch-Suche, PDF-Bearbeitung, Bildschirmsperre, Sprachaufnahmen — all das kann komplett auf Ihrem Gerät passieren. Wenn die App Ihre Daten nie hat, kann auch das nächste Datenleck sie nicht enthalten.
Das ist das Prinzip hinter jeder App im NDT-Studio-Katalog. Unsere 45 Offline-Wörterbücher verlangen kein Konto. Unser BMI-Rechner, PDF-Tools und Utility-Apps funktionieren ohne Internetverbindung und synchronisieren keine Daten zu einem Server. Nicht aus außergewöhnlichem Prinzip, sondern weil die Architektur die einfachste ist: kein Server, kein Datenleck.
Offline-Apps durchstöbern
Wir pflegen 61 kostenlose Offline-Apps für Android und iOS — über 45 Sprachen, plus Utility-Tools. Keine davon verlangt ein Konto; keine lädt Ihre Nutzung hoch. Den vollständigen Katalog anzeigen, um zu sehen, was als Ersatz für cloud-abhängige Versionen taugt, die Sie aktuell verwenden.
Alle NDT-Studio-Apps anzeigen →Kurz-FAQ
Wie weiß ich, ob meine Daten in einem Datenleck waren?
Das einfachste Tool ist Have I Been Pwned (haveibeenpwned.com). E-Mail eingeben; es gleicht gegen bekannte Leak-Datenbanken ab. Melden Sie sich für E-Mail-Benachrichtigungen an, um bei zukünftigen Lecks benachrichtigt zu werden. Wird von Troy Hunt betrieben und ist wirklich kostenlos.
Wenn ein Unternehmen meine Daten hat und gehackt wird, habe ich Anspruch auf etwas?
Hängt komplett von Ihrer Jurisdiktion und der Größe des Datenlecks ab. In den USA zahlen Sammelklagen manchmal 5-200 USD pro betroffener Person, normalerweise nach einem Jahr Papierkram. In der EU verlangt die DSGVO, dass das Unternehmen Sie innerhalb von 72 Stunden benachrichtigt, und kann zusätzliche Schutzmaßnahmen geben, aber Cash-Auszahlungen an Einzelpersonen sind selten. Realistische Erwartung: Sie bekommen vielleicht ein Jahr kostenloses Kreditmonitoring. Der größere Wert liegt darin, die beim betroffenen Dienst verwendeten Passwörter zu ändern.
Sind Offline-Apps wirklich sicherer oder ist das nur Marketing?
Sie sind tatsächlich sicherer für das spezifische Risiko von Datenlecks. Eine Offline-App kann keine Daten leaken, die sie nicht hat. Dennoch können Offline-Apps andere Schwachstellen haben — sie können auf Entwickler-Ebene mit Backdoor versehen sein, malware-haltige Bibliotheken enthalten oder Daten sammeln und später hochladen. Der richtige Test ist nicht "ist es offline" sondern "überträgt es persönliche Daten". Prüfen Sie die Datenschutzerklärung und Netzwerkberechtigungen der App vor der Installation.
Datenlecks werden weiter passieren — die strukturellen Ursachen werden nicht besser. Die realistische Strategie ist, die Angriffsfläche zu verkleinern: weniger Konten, stärkere Passwörter, 2FA wo möglich und eine Präferenz für Tools, die ohne Hochladen Ihrer Daten funktionieren. Offline-First-Apps sind die einfachste Version dieses Prinzips, und zufällig sind sie alles, was wir bei NDT Studio machen.