Die meisten Kontosicherheits-Tipps gehen davon aus, dass du sie einmal umsetzt und danach in Ruhe gelassen wirst. Das stimmt nicht. Anbieter ändern Verfahren, alte Sessions sammeln sich an, OAuth-Apps werden vergessen, Recovery-Daten veralten. Eine stündliche Routine pro Quartal hält dein Setup aktuell — und sorgt dafür, dass du im Ernstfall nicht auf Werkzeuge zurückgreifen musst, die vor zwei Jahren noch funktionierten. Dieser Artikel gibt dir eine konkrete Checkliste, die du tatsächlich abhaken kannst.
Was die Routine erreichen soll
Drei Ziele in einem Aufwasch:
- Aktualität. Recovery-Mails, Telefonnummern, Backup-Codes auf aktuellem Stand. Vertrauenspersonen noch erreichbar. Geräte-Listen aufgeräumt.
- Früherkennung. Datenlecks rechtzeitig sehen, ungewöhnliche Login-Aktivität bemerken, kompromittierte Drittanbieter-Apps abklemmen.
- Übung. Wer einmal pro Quartal die Sicherheits-Einstellungen seines Mail-Hauptkontos öffnet, weiß im Ernstfall, wo welcher Hebel sitzt — und vergeudet keine Zeit mit Suchen.
Realistischer Zeitbedarf: 45 bis 60 Minuten alle drei Monate. Wer das vier Mal im Jahr macht, hat einen Pflegestand, den die meisten IT-Profis nicht erreichen.
Die wichtigsten Konten — welche zuerst?
Nicht alle Konten verdienen denselben Aufwand. Die folgende Hierarchie sortiert nach Schaden, wenn das Konto übernommen wird:
| Priorität | Konto-Typ | Warum so kritisch |
|---|---|---|
| 1 | E-Mail-Hauptkonto | Recovery-Tor für fast alle anderen Konten |
| 2 | Passwort-Manager | Enthält Schlüssel zu allem |
| 3 | Identity-Provider (Apple ID, Google, Microsoft) | OS-Konto, iCloud-Schlüsselbund, Geräte-Sync |
| 4 | Online-Bank, Trading, Krypto | Direkter finanzieller Schaden |
| 5 | Online-Shops mit hinterlegter Karte (Amazon, eBay, PayPal) | Bestellungen auf deine Rechnung, Daten-Diebstahl |
| 6 | Soziale Hauptaccounts (X, Instagram, LinkedIn, Facebook) | Reputation, Folge-Phishing über deine Kontakte |
| 7 | GitHub, Cloud-Anbieter, Domain-Registrar (für Entwickler:innen) | Supply-Chain-Schaden, Identitäts-Hijack |
| 8 | Kommunikations-Plattformen (WhatsApp, Signal, Discord) | Identitäts-Diebstahl bei Kontakten |
| 9 | Behörden- und Versicherungs-Portale (ELSTER, ELOSS, GKV-/Privatversicherung) | Datendiebstahl, Identitätsmissbrauch |
| 10 | Streaming, Foren, kleinere Tools | Niedrige Priorität — aber Hygiene-Pflicht |
Die ersten drei sind die Eier-im-Korb-Konten: über sie kommen Angreifer typischerweise an alles andere. Wer nur eine Stunde pro Quartal investieren kann, konzentriert sich auf diese drei.
Die Quartals-Checkliste
Pro Konto die folgenden zehn Punkte durchgehen — die meisten sind in 1–2 Minuten erledigt:
Pro Top-3-Konto (Mail, Manager, Identity):
- Aktive Sessions ansehen und unbekannte Sitzungen abmelden.
- Verbundene Geräte prüfen — alte oder verkaufte Geräte entfernen.
- OAuth-Apps / Drittanbieter durchgehen — was länger als 12 Monate nicht genutzt wurde, raus.
- Anmeldeaktivität / Sicherheits-Log durchsehen — Standorte, Browser, Zeiten plausibel?
- 2FA-Methode noch wie vorgesehen aktiv? Backup-Codes nicht aufgebraucht?
- Recovery-Mail / Telefonnummer noch aktuell und sicher?
- Verschlüsselungs-/Recovery-Schlüssel (Apple ADP, Google Recovery, 1Password Secret Key) noch zugänglich?
- Push-Benachrichtigungen für neue Logins aktiv?
- Erbschaft / Notfall-Kontakt (Apple Nachlasskontakt, Google Inaktivitäts-Manager) konfiguriert?
- Mail-Filter und Weiterleitungs-Regeln prüfen — keine ungewollten Forwards eingerichtet?
Für die Konten 4–9:
- Login-Methode prüfen — gibt es seit dem letzten Quartal Passkey-Support? Wenn ja: umstellen.
- Aktive Sessions abmelden, wenn Liste vorhanden.
- Hinterlegte Zahlungs-Methoden prüfen — nur die nötigen aktiv?
- Bei finanziellen Konten: Buchungen der letzten drei Monate überfliegen, ungewöhnliche Aktivität?
Für alle Konten:
- Have I Been Pwned (haveibeenpwned.com) mit allen aktiven Mail-Adressen abfragen. Neue Treffer? → Passwort dort und überall, wo wiederverwendet, sofort ändern.
Have I Been Pwned: Datenlecks früh erkennen
HIBP ist seit 2013 das wichtigste freie Werkzeug, um zu erkennen, ob deine Mail-Adresse oder deine Passwörter in einem bekannten Datenleck aufgetaucht sind. Drei Nutzungsweisen:
- Einmalige Abfrage. Mail-Adresse eingeben, sehen welche Lecks dich treffen.
- Notify-Service. Mail-Adresse einmal registrieren — bei jedem neuen Leck, in dem deine Adresse auftaucht, kommt eine Benachrichtigung.
- Domain-Monitoring. Wenn du eine eigene Domain hast: alle Adressen unter der Domain werden in einer Übersicht beobachtet. Praktisch für die ganze Familie an einer eigenen Domain.
- Pwned Passwords. Mit der separaten Funktion lassen sich Passwörter (per k-Anonymity-Hash, nicht im Klartext) gegen die Leck-Datenbank prüfen. Viele Passwort-Manager (Bitwarden, 1Password, KeePassXC) integrieren diesen Check direkt — du siehst pro Eintrag im Tresor, ob das Passwort in einem Leck vorkommt.
Sobald HIBP eine neue Mail-Adresse als kompromittiert meldet:
- Sofort das Passwort des betroffenen Dienstes ändern.
- Prüfen, ob das Passwort woanders wiederverwendet wurde (im Manager nach „doppelten Passwörtern" suchen) — alle wiederverwendeten Stellen ändern.
- Bei kritischen Konten: alle aktiven Sessions abmelden, 2FA prüfen, Anmeldeaktivität durchsehen.
Vertieft im Artikel datenleck-grundlagen.
Der jährliche Recovery-Test
Einmal pro Jahr — z. B. mit dem Geburtstag oder zum Jahreswechsel verknüpft — kommt ein erweiterter Check dazu:
- Notfall-Kit auf Vollständigkeit prüfen. Recovery-Codes für alle Top-Konten vorhanden, lesbar, an einem sicheren Ort?
- Master-Passwort durchspielen. Liest du die Notiz noch richtig? Ist sie noch dort, wo du sie hingelegt hast?
- Hardware-Key-Backup testen. Zweiter YubiKey funktioniert noch, ist bei allen Konten registriert?
- Vertrauensperson-Daten aktualisieren. Apple Nachlasskontakt, Google Inaktivitäts-Manager, Manager-Emergency-Access — hat die Person noch die richtige Telefonnummer / Mail / Adresse?
- Vorsorge-Vollmacht prüfen. Wenn vorhanden — noch aktuell? Wenn nicht vorhanden — der jährliche Anlass, das anzugehen.
- Recovery-Pfade simulieren. Auf der Provider-Account-Seite den „Passwort vergessen"-Flow durchgehen (ohne ihn abzuschließen), prüfen ob die hinterlegten Recovery-Mittel noch funktionieren.
Das ist Aufwand. Aber jeder, der einmal bei einem Konto ohne Recovery-Pfad ausgesperrt war und stundenlang mit Supports telefoniert hat, weiß, dass dieser Aufwand sich lohnt.
Bei Verdachtsmomenten: Sonderlauf
Drei Situationen, die einen außerplanmäßigen Routine-Durchlauf auslösen sollten — auch wenn das letzte Quartal erst kürzlich abgehakt war:
1. Neuer HIBP-Treffer. Mail-Adresse oder Passwort in neuem Leck. Auch wenn du das betroffene Konto vielleicht gar nicht mehr nutzt — Wiederverwendung könnte dich treffen.
2. Ungewöhnliche Benachrichtigung. „Neue Anmeldung auf deinem Konto aus [unbekanntem Standort]", „dein Passwort wurde geändert" — sofort hinsehen, nicht ignorieren.
3. Phishing-Verdacht. Du hast auf einen Link geklickt und denkst hinterher, dass die Seite vielleicht gefälscht war. Auch wenn du nichts eingegeben hast: das Passwort sicherheitshalber ändern, Sessions abmelden, 2FA aktiv lassen.
4. Geräte-Verlust. Smartphone, Laptop, Tablet weg oder gestohlen — sofortiger Sonderlauf nach dem Protokoll im Artikel session-und-geraete-verwaltung.
5. Trennung, Konflikt, Wohnungswechsel. Persönliche Situationen, in denen jemand mit Geräte-/Wohnungs-Zugang sein Recht darauf verliert. Sessions an gemeinsamen Geräten abmelden, gemeinsame Vaults aufteilen, Notfall-Kontakte ggf. anpassen.
Hilfreiche Werkzeuge
Damit die Routine nicht zur Schlepp-Aufgabe wird, hier ein paar konkrete Hilfsmittel:
| Werkzeug | Was es leistet |
|---|---|
| haveibeenpwned.com | Leck-Check, Notify, Domain-Monitoring |
| Pwned Passwords im Manager | Passwort-Health-Score in Bitwarden / 1Password / Proton Pass |
| securityheaders.com | Anders gerichtet: zeigt Sicherheits-Header von Webseiten, die du für eigene Domain prüfen willst |
| accountschutz.bsi.bund.de | BSI-Empfehlungen für deutsche Anbieter und Behörden |
| Apple — "Wo ist?" | Geräte-Lokalisierung, Remote-Lock, Wipe |
| google.com/devices | Geräte- und Session-Verwaltung |
| account.microsoft.com/security | Anmeldeaktivität, OAuth-Apps |
| Eigenes Erinnerungs-System | Kalender-Eintrag mit Wiederholung („Kontosicherheit-Quartal Q1") oder eine wiederkehrende Aufgabe in der To-Do-App |
Die Erinnerung ist der wichtigste Punkt. Wer auf „ich mache das, wenn ich daran denke" setzt, macht es nie — bzw. nur nach einem Sicherheits-Schreck.
FAQ
Eine Stunde pro Quartal — wirklich genug?
Für eine normale Online-Identität: ja. Wer eine ausgesprochen exponierte Rolle hat (Journalismus, Politik, Aktivismus, prominente Geschäftsführung), sollte häufiger reinschauen und zusätzlich monatlich auf die Sicherheits-Logs der Top-3-Konten blicken. Für den Großteil der Bevölkerung ist eine Stunde pro Quartal das Optimum aus Aufwand und Wirkung.
Was, wenn ich dabei viele alte Konten finde?
Dann ist die Routine schon erfolgreich. Konten, die du seit Jahren nicht mehr nutzt, gehören entweder gelöscht (über die Account-Löschung des Anbieters) oder mit einem zufälligen Manager-Passwort sicher abgelegt. Inaktive Konten sind ein Daten-Leck-Risiko — viele kompromittierte Datenbanken stammen von Diensten, an deren Existenz du dich nicht mehr erinnerst.
HIBP findet mich nicht — bin ich sicher?
Nein, nur "noch nicht entdeckt". HIBP enthält nur Lecks, die öffentlich bekannt geworden sind. Es gibt zusätzlich kommerzielle Datenbanken (z. B. SpyCloud), die in der Untergrund-Szene aktiv eingekaufte Daten dazu sammeln. Der Notify-Service ist trotzdem wertvoll — er meldet sich, sobald neue Lecks publiziert werden.
Sollte ich auch alte E-Mails archivieren oder löschen?
Eine gute Frage außerhalb des Sicherheits-Themas, mit Sicherheits-Bezug: Alte Mails enthalten oft Passwort-Reset-Mails, Banking-Bestätigungen, Klartext-Passwörter aus den 2000ern. Wer das Mail-Konto übernimmt, hat damit Material. Empfehlung: regelmäßig (1× pro Jahr) Mails über fünf Jahre alt durchsehen und löschen, was nicht mehr nötig ist. Bei sensiblem Material lieber sofort löschen statt aufbewahren.
Was ist mit den Smart-Home-Geräten?
Sie gehören in die Quartals-Routine. Smart-TVs mit Streaming-Anmeldungen, Smart-Speaker mit Voice-Käufen, Smart-Locks mit Cloud-Verbindung — alle haben Account-Anbindungen, die regelmäßig durchgesehen werden sollten. Default-Passwörter raus, Firmware aktuell halten, ungenutzte Geräte vom Netz nehmen.
Wie binde ich Familie und Eltern in die Routine ein?
Ein gemeinsamer Quartals-Termin — zwanzig Minuten am Telefon oder bei einem Besuch. Mit älteren Angehörigen einmal gemeinsam einrichten (Notfall-Kit, Manager, 2FA), danach in den Quartalen kurz prüfen ob noch alles aktiv ist. Familienmanager mit klar getrennten Vaults sind hier ein guter Komfort-Hebel.
Reichen jährliche Checks?
Für sehr disziplinierte Setups und Personen mit niedrigem Threat-Model: ja, jährlich + Sonderläufe bei Verdacht reichen. Quartalsweise ist der Komfort-Modus für die meisten Erwachsenen mit normalem digitalen Alltag. Monatlich nur bei sehr exponierten Rollen.
Weiterführende Ressourcen
Externe Quellen
- Have I Been Pwned – Leck-Datenbank
- HIBP – Pwned Passwords (Hash-Liste)
- BSI – Accountschutz
- Google – Sicherheits-Check
- Apple – Sicherheits-Empfehlungen unter iCloud-Schlüsselbund
- Microsoft – Sicherheitsbericht der letzten 30 Tage
- Privacy Guides – allgemeine Empfehlungen zur Konto-Pflege
- Verbraucherzentrale – Digitale Selbstverteidigung