Leider kann auch der Schlüsselbund ausgelesen werden, es gibt eine Software dafür die alle Passwörter durchprobiert (Dictionary-Attacke). Wenn das Passwort relativ kurz ist und der Angreifer sehr determiniert ist, ist das möglich. Ich würde jedoch nicht direkt davon ausgehen, dass das auch hier der Fall ist. Ausschließen lässt es sich nicht.
Auch von mir die Frage, lässt sich einschätzen wie IT-affin diese Person ist?
Ich habe nun festgestellt, dass jeder der das möchte, das Passwort kinderleicht und in nicht einmal zwei Minuten über den Recoverymodus zurücksetzen kann
Wie hast du das festgestellt? Hast du in den Recoverymodus gebootet und es probiert? Konntest du das Passwort darüber zurücksetzen? Ich vermute ja?
Ich würde an dieser Stelle noch nichts auf Null setzen, sondern im Gegenteil das Gerät erstmal gar nicht nutzen. Also überhaupt nicht mehr einschalten. Was du wissen musst: Da es sich um einen WG-Mitbewohner handelt, der in deiner Abwesenheit physischen Zugriff auf dein Gerät hatte und dich stalkt, solltest du zu 100% davon ausgehen, dass derjenige Zugriff auf sämtliche Inhalte deines Computers inklusive Onlineaccounts hatte und jede Chance genutzt haben wird, das Gerät komplett auszulesen.
Wenn du mit deinem Passwort nicht mehr reingekommen bist und es selber zurücksetzen konntest über die Recovery, dann geh bitte davon aus, dass der Stalker auch den Reset durchgeführt hat und ein eigenes Passwort gewählt hat um reinzukommen und zumindest alle lokalen Daten wie Fotos Browserverlauf und die Inhalte der Mailapp kopieren konnte. Anders gesagt, alles was du jetzt aktuell nach deinem Reset machen kannst, ohne in Apps ein Passwort extra einzugeben, konnte er auch machen.
Vermutlich wird er keinen Zugriff auf deine Passwörter gehabt haben, wenn du aber bereits irgendwo eingeloggt warst wie bei Gmail, dann könnte er diesen noch aktiven Login genutzt haben um deine Onlineaccounts zu durchsuchen, und eben einiges zu verändern.
Daher ist der erste Schritt, ein anderes Gerät zu nutzen, das derjenige nie zu Gesicht bekommen konnte, notfalls einen billigen Windowslaptop bei Saturn mitnehmen. Über dieses Gerät loggst du dich überall ein, E-Mail usw. und änderst innerhalb weniger Minuten sämtliche Passwörter auf zufällig gewählte, für jede Webseite bzw jedes Service ein anderes Passwort. Hier ist die Gefahr, dass du die Passwörter verlierst und dich selbst aussperrst. Daher solltest du einen Passwortmanager auf dem Laptop installieren, dann musst du dir nur ein Hauptpasswort merken, und der Manager macht den Rest.
Das ist jetzt sicherlich etwas zuviel auf einmal - hast du vielleicht Freunde, über deren Computer du das machen könntest?
Du kannst das auch über dein Handy erledigen und den Passwortmanager dort installieren - falls du sicher bist, dass der Stalker keinen Zugriff darauf hatte.
Bist du zufällig in Wien zuhause? In Anbetracht der Sache vielleicht blöd sowas zu fragen, aber falls es so wäre, kann ich dir meine Unterstützung anbieten, auch IT-forensisch.
Es hängt leider stark davon ab, wie IT-affin die Person ist. Ich gehe hier vom schlimmsten aus, zB wäre es möglich, dass dein Handy kompromittiert ist, weil die Person es dir nachts aus deinem Schlafzimmer gestohlen hat und irgendwie entsperren konnte, zB ein Entsperrmuster lässt sich beobachten. Es kann aber auch sein, dass die Person relativ tollpatschig ist und kaum etwas an Informationen abgegriffen hat. Jedenfalls wäre es gut, hier eine klare Trennlinie ziehen zu können und auf einen Schlag Passwörter und Geräte zurückzusetzen (mit vorher zurechtgelegtem Plan). Das wäre zumindest eine Hilfe, um besser schlafen zu können und nicht what-if-Gedanken zu haben.
Lebst du noch mit der Person in der gleichen WG? Ich hoffe nicht, das wird sonst für dich als Laie unmöglich werden, die Geräte abzusichern.