Bonn/Siebengebirge – Seit fünf Jahren stellt die Universität Bonn mit dem Leak Checker ein digitales Verbraucherschutzangebot bereit. Das Online-Tool des Lehrstuhls für IT-Sicherheit am Institut für Informatik 4 ermöglicht es Nutzerinnen und Nutzern, kostenfrei und datenschutzkonform zu prüfen, ob ihre Zugangsdaten in bekannten Datenleaks auftauchen.
„Neue Datenleaks sehen wir im Sekundentakt“, sagt Prof. Michael Meier, Leiter des Lehrstuhls für IT-Sicherheit. „Mit dem Leak Checker wollten wir den Nutzern die Möglichkeit geben, sich proaktiv über ihre Betroffenheit zu informieren.“ Besonders kritisch: In vielen Leaks finden sich vollständige Zugangsdaten, mit denen Kriminelle alle möglichen Arten von Online-Accounts übernehmen können, zum Beispiel Social-Media-Accounts, E-Mail-Konten oder Zugänge zu Online-Shops.
Vom Forschungsprojekt zum Dauerangebot
Der Leak Checker ist aus dem vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojekt EIDI („Effektive Information nach digitalem Identitätsdiebstahl“) hervorgegangen, in dem die Bonner Sicherheitsinformatiker bereits Milliarden geleakter Identitätsdaten analysierten. Ziel war es, Methoden zu entwickeln, die Verbraucherinnen und Verbraucher vor Account-Übernahmen schützen. Mit dem Leak Checker kann man die eigene Betroffenheit nachvollziehen und ggf. entsprechende Schutzmaßnahmen wie zum Beispiel einen Passwortwechsel vornehmen.
Die hohe Nachfrage führte dazu, dass die Universität den Dienst dauerhaft etablierte. Das Transfer Center enaCom der Universität Bonn unterstützte bei der Ausgründung des Start-ups Identeco, das den Leak Checker seitdem in Zusammenarbeit mit der Universität betreibt. Das Start-up hilft Unternehmen unter anderem beim Aufspüren möglicher Datenleaks.
Hohe Nachfrage zeigt wachsenden Bedarf
Die Zahlen belegen die Relevanz: Über 1,6 Millionen Anfragen wurden seit dem Start gestellt, zeitweise mehr als 10.000 pro Tag. 2025 erreichte die Nutzung mit über 770.000 Anfragen einen neuen Höchststand. Die Datenbank, die der Prüfung zugrunde liegt, umfasst inzwischen mehr als 57 Milliarden geleakte Datensätze – Tendenz stark steigend.
Meier erklärt: „Die Nachfrage zeigt deutlich, wie groß der Informationsbedarf in der Bevölkerung ist. Als Universität verstehen wir den Leak Checker auch als Beitrag zur digitalen Aufklärung.“ Das Team beantwortet wöchentlich zahlreiche Supportanfragen per E-Mail und Telefon und empfiehlt, den Leak Checker regelmäßig zu nutzen. Denn: „Der Schwarzmarkt mit gestohlenen Identitäten steht nicht still”, sagt Dr. Matthias Wübbeling, Akademischer Oberrat am Institut für Informatik 4 und Geschäftsführer von Identeco. „Wir finden jeden Monat über 300 Millionen neue Datensätze in allen möglichen Ecken des Netzes.”
Forschung zu Passwortsicherheit geht weiter
Auch nach Ende der Projektförderung bleibt Account-Sicherheit ein Forschungsschwerpunkt am Lehrstuhl für IT-Sicherheit: Mehr als 50 Abschlussarbeiten der letzten Jahre beschäftigten sich mit Account-Takeover und geleakten Identitätsdaten. Auf Basis der Daten des Jahres 2025 aus ihrer Datenbank entstand in Kooperation mit Identeco eine umfangreiche Passwortstudie, die das Nutzungsverhalten von Verbraucher*innen analysierte – darunter auch Mitglieder großer Universitäten und Fußballvereine der ersten und zweiten Bundesliga. Neben den Passwörtern, die man über gängige deutsche Freemailer, wie beispielsweise gmx.de oder web.de, den Verbraucher*innen zuordnen kann, wurden dabei insbesondere die Passwörter untersucht, die Benutzer der Vereine in der ersten und zweiten Fußball Bundesliga sowie den größten deutschen Universitäten zugeordnet werden können.
Die Untersuchung zeigt, dass Passwörter häufig wiederverwendet werden und oft regionale Bezüge oder Hinweise auf Vereine und Institutionen enthalten, etwa Städtenamen wie „Bonn“, „Frankfurt“ oder „München“ oder Vereinsnamen wie „Borussia“ oder „Eintracht“. Das nach wie vor beliebteste Passwort bleibt aber „123456“.
Dr. Matthias Wübbeling erklärt: „Grundsätzlich sind Passwörter, die Hinweise auf den Nutzer selbst oder den genutzten Dienst enthalten, leichter zu erraten als abstrakt gewählte Passwörter.“ Die Studie liefert damit wertvolle Erkenntnisse, wie die Sicherheit von Online-Accounts verbessert werden können.
Wer wissen möchte, ob er oder sie schon einmal von einem Datenleak betroffen war, kann das über den kostenlosen Leak Checker der Uni Bonn tun: https://leakchecker.uni-bonn.de
Zum Whitepaper: https://identeco.de/de/blog/whitepaper_passwords_germany_2025
Katrin Piecha
