Wenn etwas in der Mail steht von wegen "Sie sind wohl großer Fan von Erwachsenenseiten", ggf. inklusive der Behauptung von Aufnahmen per Webcam - das ist eine Standardmail.

Das Passwort stammt vermutlich aus irgendwelchen Leaks, ggf. nach Abgleich mit Rainbow-Tables. Dass die Quelle dein kompromittierter Rechner war, ist natürlich nicht auszuschließen, aber von einem gezielten Hack würde ich nicht ausgehen. Bei mir kam auch mal so eine Mail mit dem echten Passwort rein - das war zu dem Zeitpunkt aber längst geändert. Ich weiß nicht mehr, welcher Dienst es war, der vor etlichen Jahren mal ein größeres Leck hatte, aber daraus stammte das. Ab und zu kommt so eine Mail noch rein, dann aber mit Passwörtern die mir völlig unbekannt sind.

Wenn die Mailadresse Ausgangspunkt für den Zugang zu anderen Diensten war, würde ich da die Zugangsdaten aber jetzt ändern. Zumindest konnte der Angreifer ja auf dein Postfach zugreifen, wie es scheint.

Wenn er Zugriff auf deinen Rechner hätte, dann hätte man auch direkt auf deinem Rechner eine Nachricht interlassen können und eine eMail wäre unnötig.

Ja, aber irgendwoher muss das Kennwort kommen. Entweder es wurde irgendwo ebenfalls verwendet, wo es ein Leak gab, oder es wurde via Phishing eingegeben oder es hatte vielleicht doch jemand Malware auf dem PC. Das muss aber nicht der Schreiber der Mail sein, so dass das noch lange nicht hieße, dass derjenige Zugriff hat oder hatte. Solche abgegriffenen Daten werden ja im Darknet verkauft, so dass die "Verwertung" andere übernehmen.

Phishing ist unwahrscheinlich. Zumindest kann ich mir das nicht vorstellen, da ich weder auf unbekannte E-Mail-Anhänge klicke, noch mich über E-Mail Links anmelde. Wenn sich z.B. PayPal meldet, rufe ich Paypal in einem neuen Tab selbst auf. Niemals über ein Link. Den Trick kenne ich. Und was E-Mail-Anhänge angeht, so werden nur die von Personen angeklickt die ich kenne, z.B. Arbeitgeber oder Kollegen. Wobei für den Arbeitgeber und Kollegen habe ich eine andere E-Mail.

Was mir aber gerade einfällt ist, dass ich das Postfach für eBay nutze, und darüber gelegentlich Rechnungen bekomme. Es sind aber ganz sicher nur PDF-Dateien, weil WEB.de immer ein Thumbnail der PDF anzeigt.

Das ist immer meine größte Sorge, da viele Leute diese E-Mail Adresse bekommen. Auch viele Chinesen. Ich bekomme schon gelegentlich Phishing E-Mails, und einige sind verdammt gut. Einige sind so gut, dass ich für einen Moment einen Schrecken bekomme, weil alles perfekt ist.

Was interessant ist, die E-Mail ist auf den 28.02.2054 datiert.

Übrigens habe ich mein Passwort über die Webseite https://haveibeenpwned.com überprüft. Ist unbekannt.

Das ist auch Standard, denn dadurch wird die bei den meisten Anbietern ganz oben in der Liste angezeigt, denn es ist ja die neueste Mail...

Wenn dir kein Weg einfällt, wie das Passwort gestohlen werden konnte, sprich du es nicht für andere Anbieter verwendet hast, und auch sonst vorsichtig warst, würde ich zur Sicherheit den PC neu aufsetzen oder ein Backup verwenden, das älter ist als das Passwort.

Ich werde mir überlegen was ich machen werde.

Was mir auffällt ist, dass es in der E-Mail keine Umlaute gibt, obwohl der Rest gutes Deutsch ist.

Eine solche E-Mail habe ich schon mehrfach erhalten. Für mich hat sich das ganze immer an der Stelle erledigt, wo behauptet wird ich würde Pornoseiten besuchen (was ich definitiv nie mache).

Das mit dem Passwort hatte ich jedoch noch nie gesehen, dass ist neu. Ich würde die E-Mail so bewerten, dass der Hacker zwar dein Passwort erhalten hat, jedoch nie einen Zugriff auf deinen PC oder deinem Postfach hatte.

Wenn er wirklich einen Zugriff hätte, dann wären ganz andere Aktionen erfolgt (Stichwort Sozial Engineering). Der Hacker hätte bei all den Informationen ganz andere Möglichkeiten gehabt, mit denen viel mehr Geld erbeutet werden könnte.

Ein zurücksetzen aller Passwörter wird jedoch das Minimum sein.

Mit fast 100%er Wahrscheinlichkeit ist es eine Masche um an deine Daten zu kommen.
Ich habe schon mehrere E-Mails in der Art bekommen. Allerdings haben Sie mein Passwort nie genannt.
Für dein altes Passwort gibt es viele Möglichkeiten es zu erfahren.
Hier paar Beispiele.
1: Du hast das Passwort für andere Zwecke auch benutzt und die Datenbank geleakt wurde.
2: Dein Passwort war schwach (8 oder weniger Zeichen) und wurde per Bruteforce geknackt
3: Du hast die einen Stealer eingefangen (Höchstwahrscheinlich dein Fall). Dann würde ich überall das Passwort ändern.
4: Du hast irgendein Skript bestätigt, der dein Passwort geloggt hat.
...
...
Es gibt noch viele andere Arten deine Daten zu klauen, Hirn einschalten beim Surfen im Netz ist die beste Lösung. Bitte NIE dem AV 100% vertrauen.
Gerade hier in Forum wissen bestimmt viele, dass AV schnell zu umgehen ist.
Selbst falls du tatsächlich Dreck am Stecken haben solltest, haben die Piraten garantiert nichts von dir, außer dem Passwort, den Sie nutzen wollen, um dich zu erpressen.
Tipp: Passwortmanager mit Verstand nutzen und Passwörter mit 20+ Zeichen benutzen. Beispiel: Ci=g~w_Y3#!g]Qztv$37
Per Bruteforce zu Lebenszeit kaum zu knacken. ACHTUNG! Das ist keine Sicherheit gegen einen Stealer.
Wie schon gesagt, den Verstand nutzen hilft am meisten.