Milliarden-Datenleck bei US-Firma: 60 Millionen deutsche Datensätze schutzlos im Netz

Was klingt wie der Albtraum eines jeden datenschutzbewussten Bürgers, könnte bittere Realität sein: Rund eine Milliarde personenbezogener Datensätze sollen bei dem US-amerikanischen Identitätsprüfungsunternehmen IDMerit zeitweise völlig ungeschützt im Internet zugänglich gewesen sein. Darunter angeblich auch 60 Millionen Datensätze aus Deutschland. Ein Vorfall, der einmal mehr die fundamentale Frage aufwirft, ob die blinde Digitalisierungsgläubigkeit unserer Zeit nicht längst zum Sicherheitsrisiko geworden ist.

Ein Terabyte sensibler Daten – offen wie ein Scheunentor

IDMerit ist kein kleiner Fisch. Das Unternehmen rühmt sich damit, Identitätsprüfungen für über fünf Milliarden Menschen weltweit durchführen zu können – das entspricht rund 60 Prozent der gesamten Weltbevölkerung. Finanzinstitute, Behörden und Unternehmen verlassen sich auf Firmen wie diese, um sogenannte KYC- und AML-Prozesse abzuwickeln, also jene Verfahren zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, die eigentlich der Sicherheit dienen sollen. Ausgerechnet ein solcher Sicherheitsdienstleister hätte nun selbst versagt.

Dem IT-Nachrichtenportal „Cybernews" zufolge soll die Sicherheitslücke im Herbst 2025 aufgetreten sein. Am 11. November 2025 habe man die offenen Datenbestände entdeckt und IDMerit umgehend informiert. Bis zum Folgetag sei die Lücke geschlossen worden. Doch einen ganzen Tag lang sollen rund ein Terabyte an hochsensiblen Informationen praktisch für jedermann einsehbar gewesen sein – ohne dass es dafür eines raffinierten Hackerangriffs bedurft hätte.

Was genau war betroffen?

Die Liste der möglicherweise exponierten Daten liest sich wie ein Handbuch für Identitätsdiebstahl: vollständige Namen, Adressen, Postleitzahlen, Geburtsdaten, staatlich vergebene Identifikationsnummern, Telefonnummern, E-Mail-Adressen, Geschlechtsangaben und sogar Metadaten von Telekommunikationsunternehmen. Hinzu kämen Informationen zu Verstoßstatus und sozialen Profilanmerkungen. Wer über solche Daten verfügt, hat praktisch den Generalschlüssel zur digitalen Identität eines Menschen in der Hand.

Betroffen sollen Nutzer in insgesamt 26 Ländern sein. Die USA führen die traurige Rangliste mit 204 Millionen Datensätzen an. Deutschland folgt mit geschätzten 60 Millionen – eine Zahl, die angesichts einer Bevölkerung von rund 84 Millionen Menschen erschreckend hoch ist. Auch Italien, Frankreich, Spanien, Griechenland, Rumänien, Norwegen sowie außereuropäische Staaten wie Mexiko, Kanada, China und Australien sollen betroffen sein.

IDMerit dementiert – doch die Zweifel bleiben

Das Unternehmen selbst bestätigte zwar den Vorfall, bestritt jedoch vehement, dass es zu einem tatsächlichen Datenabfluss gekommen sei. Ein Sprecher erklärte, man sei von einem „ethischen Hacker" darauf aufmerksam gemacht worden, dass bestimmte Datenports möglicherweise offen gewesen seien. Eine umfassende Überprüfung habe ergeben, dass es weder zu Datenlecks noch zu unbefugten Zugriffen gekommen sei. Auch Partnerfirmen hätten dies bestätigt.

Man nehme die Angelegenheit „sehr ernst" und werde weiter untersuchen. Schöne Worte. Doch wie viel sind solche Beteuerungen wert, wenn die Daten bereits einen ganzen Tag lang ungeschützt im Netz standen? Ob tatsächlich niemand zugegriffen hat, lässt sich im Nachhinein kaum mit absoluter Sicherheit feststellen. Die Erfahrung lehrt: Wo offene Türen sind, finden sich auch ungebetene Gäste.

Die Schattenseite der digitalen Identitätswirtschaft

Dieser Vorfall ist kein Einzelfall – und genau das macht ihn so beunruhigend. In den vergangenen Jahren häuften sich Datenpannen bei Unternehmen, die im Hintergrund der digitalen Wirtschaft operieren und von denen die meisten Bürger noch nie gehört haben. Diese Firmen sind längst Teil der kritischen Infrastruktur geworden, agieren aber weitgehend im Verborgenen. Die Regulierung hinkt der Realität meilenweit hinterher.

Besonders pikant ist die Tatsache, dass es sich bei IDMerit um ein US-amerikanisches Unternehmen handelt, das offenbar massenhaft Daten europäischer – und damit auch deutscher – Bürger verarbeitet. Wo bleibt hier die viel beschworene europäische Datensouveränität? Was nützt die strengste Datenschutz-Grundverordnung der Welt, wenn sensible Informationen von Millionen Deutschen bei einem Unternehmen in Übersee landen und dort offenbar nicht einmal grundlegend abgesichert werden?

Was Bürger jetzt tun sollten

Unabhängig davon, ob die eigenen Daten tatsächlich betroffen sind, empfiehlt sich erhöhte Wachsamkeit. Telefonanrufe von unbekannten Nummern, verdächtige SMS oder E-Mails könnten gezielte Phishing-Versuche sein. Wer in den kommenden Wochen und Monaten ungewöhnliche Kontaktversuche bemerkt, sollte besonders vorsichtig sein. Betriebssysteme auf Computern und Mobilgeräten sollten stets auf dem neuesten Stand gehalten werden, um bekannte Sicherheitslücken zu schließen.

Doch all diese Maßnahmen sind letztlich nur Symptombekämpfung. Das eigentliche Problem liegt tiefer: In einer Welt, in der immer mehr persönliche Daten digitalisiert, zentralisiert und an Drittunternehmen weitergegeben werden, wächst das Risiko eines katastrophalen Datenlecks mit jedem Tag. Die Politik – auch die neue Bundesregierung unter Friedrich Merz – wäre gut beraten, hier endlich klare Kante zu zeigen und die digitale Souveränität Deutschlands nicht nur als Sonntagsrede zu behandeln, sondern als strategische Priorität.

Ein Weckruf, der nicht verhallen darf

Dieser Vorfall sollte jedem Bürger vor Augen führen, wie verletzlich unsere digitale Infrastruktur tatsächlich ist. Während die Politik unermüdlich die Digitalisierung vorantreibt – von der elektronischen Patientenakte bis zur digitalen Identität –, bleiben grundlegende Sicherheitsfragen oft unbeantwortet. Es ist an der Zeit, dass wir als Gesellschaft eine ehrliche Debatte darüber führen, wie viel Digitalisierung wir wirklich brauchen und wo analoge Alternativen nicht nur nostalgisch, sondern schlicht sicherer wären.