Zwei unabhängige Sicherheitslecks haben diese Woche Milliarden hochsensibler Datensätze ausgespäht. Ein ungeschützter Datenberg enthält US-Sozialversicherungsnummern und Passwörter, während ein KI-Unternehmen eine Milliarde Identitätsprüfungsdaten verlor. Diese Vorfälle zeigen eine gefährliche Krise der Datensammlung und schlechten Verwaltung.
Unfassbarer Fund: Drei Milliarden Zugangsdaten im Netz
Cybersicherheitsforscher der Firma UpGuard entdeckten am 19. Februar 2026 eine gewaltige, ungeschützte Online-Datenbank. Der Fund ist atemberaubend: Geschätzte drei Milliarden E-Mail- und Passwort-Kombinationen sowie 2,7 Milliarden Datensätze mit US-Sozialversicherungsnummern lagen offen im Internet. Die Datenbank lief auf Elasticsearch und war ohne Passwortschutz zugänglich.
Die Herkunft bleibt rätselhaft. Experten vermuten einen Hacker oder einen schlecht gesicherten Anbieter von Threat Intelligence. Die Daten scheinen eine Kompilation aus zahlreichen verschiedenen Datenschutzverletzungen des letzten Jahrzehnts zu sein – nicht aus einem einzigen Hack. Tests bestätigten: Viele der Sozialversicherungsnummern sind authentisch und den genannten Personen zuzuordnen.
KI-Firma IDMerit verliert eine Milliarde Identitätsdaten
Nur einen Tag zuvor, am 18. Februar, veröffentlichte das Cybernews-Forschungsteam einen weiteren Paukenschlag. Der KI-gestützte Identitätsprüfdienst IDMerit hatte etwa eine Milliarde persönlicher „Know Your Customer“ (KYC)-Datensätze ungeschützt im Netz liegen lassen. Diese Daten, fast ein Terabyte groß, werden von Banken und Unternehmen zur Identitätsverifikation genutzt – ein Goldschatz für Kriminelle.
Die offengelegten Datensätze stammten von Personen aus 26 Ländern und enthielten vollständige Namen, Adressen, Geburtsdaten, Ausweisnummern, Telefonnummern und E-Mail-Adressen. Am stärksten betroffen waren die USA mit über 204 Millionen Einträgen, gefolgt von Mexiko (124 Millionen) und den Philippinen (72 Millionen). Interessant: Das Leck wurde bereits am 11. November 2025 entdeckt und am nächsten Tag von IDMerit geschlossen. Die Öffentlichkeit erfuhr erst jetzt davon.
Das fatale Risiko aggregierter Datenberge
Beide Vorfälle beleuchten eine kritische Schwachstelle: Die Aggregation von Daten aus unzähligen Quellen zu zentralen Mega-Sammlungen. Selbst wenn die Daten einer Person vor Jahren in einem kleinen Leck kompromittiert wurden, können sie heute mit anderen gestohlenen Informationen kombiniert werden. In der Hand von Kriminellen wird dieser Datensatz so exponentiell wertvoller und gefährlicher.
Mit KYC-Daten oder Sozialversicherungsnummern sind hochsophistizierte Angriffe möglich. Kreditbetrug, SIM-Swapping zur Übernahme von Handynummern, das Umgehen von Identitätsprüfungen und gezielte Phishing-Kampagnen werden damit einfach. Dass Drittanbieter wie IDMerit zu solchen Single Points of Failure werden können, stellt ein enormes Risiko für die gesamte digitale Wirtschaft dar.
Was bedeutet das für Betroffene?
Das unmittelbare Risiko für Verbraucher ist immens. Zwar ist die IDMerit-Datenbank seit Monaten gesichert, ob sie zuvor von Kriminellen abgegriffen wurde, ist unbekannt. Die von UpGuard gefundene Datenbank mit ihrem unbekannten Besitzer stellt eine noch volatilere und andauernde Bedrohung dar.
Die aktuellen Lecks zeigen, wie schnell Identitätsdiebstahl, SIM‑Swapping und gezielte Phishing‑Angriffe selbst gut geschützte Systeme aushebeln können. Ein kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen – von effektiven Zwei‑Faktor‑Methoden über Phishing-Abwehr bis hin zu Lieferanten-Audits für Drittanbieter. Besonders geeignet für Geschäftsführer und IT‑Verantwortliche, die ihre IT‑Sicherheit ohne große Budgets stärken wollen. Jetzt kostenlosen Cyber-Security-Guide herunterladen
Sicherheitsexperten raten dringend zu erhöhter Wachsamkeit. Die Überwachung von Finanzkonten und Kreditauskünften, die Aktivierung der Zwei-Faktor-Authentifizierung bei allen Online-Konten und äußerste Vorsicht bei unerwünschten Nachrichten sind jetzt wichtiger denn je. Für Unternehmen unterstreichen diese Vorfälle die dringende Notwendigkeit umfassender Datenaudits und strenger Sicherheitsprotokolle – besonders bei Drittanbietern, denen sensible Kundendaten anvertraut werden.
