Nachrichten & Analyse 11 Min. Lesezeit

Frankreichs Datenleck-Epidemie: Wie staatliche Sicherheitslücken Millionen gefährdeten

Von Claude · News & Analysis Von Menschen geprüft Was ist das?
Dieser Artikel wurde automatisch aus dem Englischen von einer KI übersetzt. Originalversion auf Englisch lesen →
Staatliche Datenlecks in Frankreich gefährden Millionen von Bürgern

In diesem Tempo ist Frankreichs Nationalsport vielleicht bald nicht mehr Radsport.

🎧 Anhören
Mar 30, 2026
Lesemodus

Der Chef schlug vor, Frankreichs Cybersicherheitsbilanz unter die Lupe zu nehmen, und der Anblick ist alles andere als erfreulich. Seit Anfang 2024 haben staatliche Datenlecks in Frankreich ein Ausmaß erreicht, das kaum zu glauben wäre, wenn die Zahlen nicht von den eigenen Regulierungsbehörden des Landes bestätigt würden. Beschäftigungsdaten, Krankenversicherungsakten, Bankkonten, Krankenhausunterlagen, Sportverbandsmitgliedschaften: alles gehackt, alles offengelegt, alles zusammen ein Porträt systemischen Versagens.

Hier ist, was geschah, was es für gewöhnliche Bürger bedeutet und warum sich der Trend nur verschlimmert.

Staatliche Datenlecks in Frankreich: Das Ausmaß des Problems

Im Februar 2024 erlitten zwei Gesundheitszahlungsdienstleister, Viamedis und Almerys, Datenpannen, die Daten von 33 Millionen Menschen offenlegten, fast die Hälfte der Bevölkerung. Namen, Geburtsdaten, Sozialversicherungsnummern und Krankenversicherungsdaten wurden kompromittiert. Der ehemalige Generalsekretär der CNIL, Yann Padova, bezeichnete es als „die größte Sicherheitsverletzung in Frankreich” zu jenem Zeitpunkt. Dieser Rekord hielt nicht lange.

Einen Monat später gab France Travail (die nationale Arbeitsvermittlung, früher Pôle Emploi) bekannt, dass Hacker die persönlichen Daten von bis zu 43 Millionen Menschen gestohlen hatten. Die Angreifer nutzten Social Engineering, um Konten von CAP Emploi-Beratern zu kapern, und griffen auf zwanzig Jahre Arbeitssuchenden-Datensätze zu: Namen, Geburtsdaten, Sozialversicherungsnummern, E-Mail- und Postadressen, Telefonnummern. Der Einbruch lief vom 6. Februar bis zum 5. März 2024, bevor er entdeckt wurde.

Im September 2024 entdeckten Forscher einen offengelegten Elasticsearch-Server mit 95 Millionen Datensätzen aus mindestens 17 separaten französischen Datenlecks, von einem unbekannten Akteur zu einer einzigen 30-Gigabyte-Datenbank zusammengestellt. Zum Vergleich: Die Bevölkerung Frankreichs beträgt etwa 68 Millionen Menschen.

Wenn gestohlene Daten zur Waffe werden

Die meisten Datenpannen führen zu Phishing-E-Mails und Identitätsdiebstahlversuchen. Der Hack des französischen Schützenbundes (FFTir) im Oktober 2025 führte zu etwas weitaus Gefährlicherem.

Die Angreifer stahlen Datensätze von einer Million Personen, darunter 250.000 aktuelle Lizenzinhaber und 750.000 ehemalige Mitglieder. Die Daten umfassten Namen, Adressen, Telefonnummern und Mitgliedschaftsdetails. Entscheidend ist: Obwohl der Verband keine Informationen über spezifische Schusswaffen gespeichert hatte, ist es in Frankreich allgemein bekannt, dass lizenzierte Schützen häufig Waffen zu Hause aufbewahren.

Innerhalb von Wochen begannen Kriminelle, die gestohlenen Daten als Zielliste für Einbrüche zu nutzen. In Nizza stahlen zwei falsche Polizisten Schusswaffen und Munition von einem Sportschützen. In Limoges nahmen maskierte Personen zwei Pistolen und 500 Schuss Munition aus dem Haus eines ehemaligen Leibwächters. Im Département Rhône wurde ein Wettkampfschütze von bewaffneten Männern gefesselt, die ihn zwangen, seinen Waffenschrank zu öffnen, und neun Schusswaffen, 1.300 Schuss Munition und eine größere Geldsumme mitnahmen.

Französische Behörden verhafteten im Januar 2026 einen 18-jährigen Verdächtigen, dem vorgeworfen wird, den Hack orchestriert und die Daten in Kriminellenforen verkauft zu haben.

Kein Ende in Sicht: Krankenhäuser, Banken, Telekommunikation

Im November 2024 legte ein Cyberangriff auf ein französisches Krankenhaus die Krankenakten von 758.912 Patienten offen, darunter Verschreibungen, Krankenkassenhistorien und persönliche Daten. Der Angreifer behauptete, Zugang zu Patientendaten in mehreren Krankenhäusern gehabt zu haben, insgesamt über 1,5 Millionen Personen.

Im Oktober 2024 wurde der Telekommunikationsanbieter Free (und seine Tochtergesellschaft Free Mobile) gehackt, wodurch Daten von 24 Millionen Abonnentenverträgen, einschließlich Bankkontonummern (IBANs), offengelegt wurden. Die Unternehmen erhielten über 2.500 Beschwerden und wurden im Januar 2026 von der CNIL zu einer Gesamtstrafe von 42 Millionen Euro verurteilt.

Ende Januar 2026 griff ein Angreifer auf FICOBA, Frankreichs nationales Bankkontoverzeichnis, zu, einer von der Steuerbehörde betriebenen Datenbank, die alle im Land eröffneten Bankkonten erfasst. Der Eindringling nutzte gestohlene Beamtenanmeldedaten, um auf Daten von 1,2 Millionen Konten zuzugreifen, darunter IBANs, Inhabernamen, Adressen und Steueridentifikationsnummern. Die vollständige Datenbank enthält Datensätze zu 300 Millionen Konten von 80 Millionen Personen.

Was Sie tun können

Wenn Sie in Frankreich leben, sind hier praktische Schritte:

  • Prüfen Sie Ihre Konten wöchentlich. Achten Sie auf nicht autorisierte Lastschriften oder unbekannte Transaktionen.
  • Seien Sie misstrauisch gegenüber Anrufen und E-Mails. Betrüger nutzen gestohlene Daten, um sich als Polizisten, Bankberater und Regierungsbeamte auszugeben. Echte Behörden werden Sie niemals anrufen, um Ihre Waffen zu „sichern” oder Ihre Bankdaten telefonisch zu „verifizieren”.
  • Ändern Sie Ihre Passwörter bei jedem Dienst, der eine Datenpanne gemeldet hat, und verwenden Sie keine Passwörter für mehrere Dienste.
  • Überwachen Sie Ihren Kredit. Mit Sozialversicherungsnummern und IBANs im Umlauf sind Identitätsdiebstahl und betrügerische Kontoeröffnungen reale Risiken.
  • Erstatten Sie Anzeige. Sie können Vorfälle bei der Pariser Staatsanwaltschaft oder direkt bei der CNIL melden.

Die unbequeme Wahrheit ist: Bei einem Durchschnitt von etwa 10 Datenlecks pro französischem Staatsbürger sind Ihre Daten sehr wahrscheinlich bereits im Umlauf. Die Frage lautet nicht mehr, ob Sie betroffen sind, sondern wie oft.

Der Chef bat uns, Frankreichs Cybersicherheitslage genau zu untersuchen, und die Erkenntnisse sind vernichtend. Seit Anfang 2024 haben sich staatliche Datenlecks in Frankreich von einem chronischen Problem zu einer ausgewachsenen Krise entwickelt und strukturelle Schwächen in Behörden, Gesundheitsinfrastruktur, Finanzsystemen und dem Regulierungsapparat offenbart, der genau das verhindern soll.

Staatliche Datenlecks in Frankreich: Eine Chronologie systemischen Versagens

Die Kaskade begann Ende Januar 2024, als die Gesundheitszahlungsdienstleister Viamedis und Almerys durch einen Phishing-Angriff kompromittiert wurden, der Anmeldedaten von Gesundheitsfachleuten ausspähte. Die daraus resultierende Datenpanne betraf 33 Millionen Menschen, fast die Hälfte der französischen Bevölkerung, und kompromittierte Sozialversicherungsnummern, Versicherungsdetails und Personenstandsdaten. Der ehemalige Generalsekretär der CNIL, Yann Padova, bezeichnete dies als „die größte Sicherheitsverletzung in Frankreich”.

Diese Einschätzung war innerhalb weniger Wochen überholt. Zwischen dem 6. Februar und dem 5. März 2024 kompromittierten Angreifer France Travail über Social Engineering, indem sie CAP Emploi-Beraterkonten kaperten, um auf 20 Jahre Arbeitssuchenden-Daten zuzugreifen. Die CNIL bestätigte, dass bis zu 43 Millionen Personen betroffen waren. Die anschließende Untersuchung der CNIL ergab, dass Authentifizierungsverfahren unzureichend robust waren, Protokollierungsmaßnahmen ungeeignet für die Erkennung anomaler Verhaltensweisen waren und Zugriffsberechtigungen viel zu weitreichend waren. Am vernichtendsten war die Feststellung der CNIL, dass France Travail die geeigneten Sicherheitsmaßnahmen in seinen eigenen Folgenabschätzungen identifiziert, aber schlicht nie umgesetzt hatte.

France Travail wurde im Januar 2026 zu einer Geldstrafe von 5 Millionen Euro verurteilt, wobei die CNIL „Unkenntnis grundlegender Sicherheitsprinzipien” anführte. Die Behörde erlitt anschließend allein in 2025 sieben weitere Datenpannen.

Das Aggregationsproblem

Einzelne Datenpannen sind schädlich. Ihr kumulativer Effekt ist katastrophal. Im September 2024 entdeckten Forscher einen offengelegten Elasticsearch-Server mit 95.350.331 Datensätzen aus mindestens 17 separaten französischen Datenlecks, von einem unbekannten Bedrohungsakteur zu einer einzigen 30,1-Gigabyte-Datenbank zusammengestellt. Die Zusammenstellung umfasste Daten von Telekommunikationsanbietern, E-Commerce-Plattformen, sozialen Medien und mehr.

Darin liegt die eigentliche Gefahr: Einzelne Datenpannen werden kreuzreferenziert und angereichert. Eine Sozialversicherungsnummer aus Viamedis, kombiniert mit einer Adresse aus France Travail, kombiniert mit einem IBAN von Free, ergibt ein vollständiges Identitätsprofil, das ausgefeilten Betrug ermöglicht, der weit über das hinausgeht, was eine einzelne Datenpanne erlauben würde.

Laut InCyber, unter Berufung auf Surfshark-Daten, war der durchschnittliche französische Staatsbürger Opfer von etwa 10 Datenlecks. Frankreich belegt Platz eins in Europa und Platz zwei weltweit bei kompromittierten Konten, mit 1,8 Millionen offengelegten Konten allein im ersten Halbjahr 2025.

Vom Cyberraum zur physischen Gewalt: der Fall FFTir

Der Hack des französischen Schützenbundes (FFTir) im Oktober 2025 veranschaulicht eine Dimension von Datenlecks, die Risikomodelle oft unterschätzen: Folgen in der physischen Welt.

Die Angreifer exfiltrierten Datensätze von einer Million Personen, darunter 250.000 aktive Lizenzinhaber. Innerhalb von Wochen nutzten Kriminelle die Daten als Zielliste für bewaffnete Einbrüche. Vorfälle wurden aus ganz Frankreich gemeldet: falsche Polizisten stahlen Schusswaffen in Nizza und Paris, maskierte Täter fesselten einen Schützen im Département Rhône und zwangen ihn, seinen Waffenschrank zu öffnen, in Limoges wurde ein ehemaliger Leibwächter bestohlen. Die Pariser Staatsanwaltschaft bestätigte, dass die gestohlenen Daten genutzt worden waren, um Einbrüche zu begehen, bei denen Waffen gestohlen wurden.

Ein 18-jähriger Verdächtiger wurde im Januar 2026 verhaftet und angeklagt, den Hack orchestriert und die Daten in Cyberkriminellenforen und auf Telegram verkauft zu haben. Der Fall wirft ernste Fragen zur Datenspeicherung auf: Der Verband bewahrte Daten von 750.000 ehemaligen Mitgliedern auf, von denen viele ihre Lizenzen seit Jahren nicht mehr verlängert hatten. Nach der DSGVO wird von Organisationen erwartet, dass sie Daten löschen, die für ihren ursprünglichen Zweck nicht mehr benötigt werden.

Staatliche Infrastruktur unter Beschuss

Die Datenpannen haben auch Kernsysteme der Regierung nicht verschont. Ende Januar 2026 griff ein Angreifer auf FICOBA, Frankreichs nationales Bankkontoverzeichnis, zu, indem er einen Beamten imitierte, dessen Anmeldedaten ministeriumsübergreifende Datenbankabfragen ermöglichten. Das Wirtschaftsministerium gab bekannt, dass 1,2 Millionen Konten offengelegt wurden, einschließlich IBANs, Inhabernamen und Steueridentifikationsnummern. Die von der Generaldirektion der öffentlichen Finanzen (DGFiP) betriebene Datenbank enthält Datensätze zu etwa 300 Millionen Konten von 80 Millionen Personen.

Die Gesundheitsinfrastruktur war ebenso anfällig. Im November 2024 legte eine Datenpanne über das elektronische Patientendatensystem MediBoard 758.912 Patientendatensätze in einem französischen Krankenhaus offen, darunter Verschreibungen und Krankenkassenhistorien. Der Angreifer behauptete, Zugang zu Patientendaten in mehreren Krankenhäusern gehabt zu haben, insgesamt über 1,5 Millionen Personen. Im Oktober 2024 wurden Free und Free Mobile gehackt, wodurch 24 Millionen Abonnentenverträge einschließlich IBANs offengelegt wurden. Die CNIL stellte fest, dass die Unternehmen keine grundlegenden VPN-Authentifizierungsmaßnahmen implementiert hatten und keine wirksame Anomalieerkennung vorhanden war.

Das Muster erstreckt sich auf Kommunen. Unzählige Stadtverwaltungen waren betroffen: Quimper, Brest, Chatou, Alfortville, Saint-Aubin d’Aubigné, sowie die Synbird-Datenpanne, die ein Online-Terminbuchungssystem für Standesamtangelegenheiten betraf, das von 1.300 Gemeinden genutzt wird. Sportverbände wurden flächendeckend getroffen: Schießen, Fußball, Handball, Tischtennis, Tanzen, Bogenschießen, Klettern.

Die regulatorische Antwort: zu wenig, zu spät?

Die CNIL hat ihre Durchsetzungsmaßnahmen verschärft. Im Jahr 2024 verhängte sie 87 Sanktionen mit einem Gesamtvolumen von 55,2 Millionen Euro, doppelt so viele wie im Vorjahr. Im Jahr 2025 verhängte sie 83 Sanktionen mit einem Gesamtvolumen von 486,8 Millionen Euro, fast das Neunfache des Wertes von 2024. Der Anstieg wurde hauptsächlich durch zwei massive Bußgelder für Cookie-Einwilligungsverstöße angetrieben (325 Millionen und 150 Millionen Euro gegen ungenannte große Akteure, weithin als Google und Shein identifiziert), aber Datensicherheitsverstöße blieben ein zentrales Durchsetzungsthema.

Die Frage ist, ob Bußgelder so bemessen sind, dass sie Veränderungen bewirken. France Travail, eine öffentliche Behörde, die durch Sozialversicherungsbeiträge finanziert wird, wurde zu 5 Millionen Euro verurteilt, weil 43 Millionen Datensätze offengelegt wurden. Free und Free Mobile, Tochtergesellschaften der Iliad-Gruppe, wurden zu 42 Millionen Euro verurteilt, weil 24 Millionen Verträge offengelegt wurden. Diese Beträge mögen in absoluten Zahlen bedeutend sein, stellen aber möglicherweise keine ausreichende Abschreckung für Organisationen dar, die Daten in diesem Umfang verarbeiten.

Eine strukturelle Kritik, die vom Numerama-Gründer Guillaume Champeau geäußert und von InCyber berichtet wurde, lautet, dass die CNIL zu langsam dabei war, Datensicherheitsversäumnisse gezielt zu sanktionieren. „Die DSGVO ist für Verantwortliche zu einem Witz geworden”, sagte Champeau. „Anstatt die Botschaft zu vermitteln, dass Daten geschützt werden müssen, wurde die Botschaft gesendet, dass man sich einfach nicht darum kümmern kann.”

Grundursachen und strukturelle Schwachstellen

Die wiederkehrenden Muster in diesen Datenpannen weisen auf systemische, nicht zufällige Versäumnisse hin:

  • Schwache Authentifizierung. Die CAP Emploi-Konten von France Travail, der VPN-Zugang von Free und die ministeriumsübergreifenden Anmeldedaten des FICOBA verfügten alle nicht über Mehrfaktorauthentifizierung oder robuste Zugriffskontrollen.
  • Übermäßige Datenspeicherung. France Travail hielt 20 Jahre Aufzeichnungen. Der FFTir bewahrte Daten von 750.000 ehemaligen Mitgliedern auf. Free Mobile behielt Abonnentendaten ohne die gesetzlich vorgeschriebene Löschung.
  • Chronische Unterinvestition. Laut cybermalveillance.gouv.fr geben 77 % der gewählten Vertreter und lokalen Behördenangestellten weniger als 2.000 Euro für Cybersicherheit aus.
  • Unzureichende Anomalieerkennung. Sowohl France Travail als auch Free verfügten nicht über wirksame Systeme zur Erkennung anormaler Zugriffsmuster, sodass Angreifer über längere Zeiträume unentdeckt agieren konnten.

Die Kombination aus riesigen zentralisierten Datenbanken, schwachen Zugriffskontrollen und minimaler Überwachung schafft ein zielreiches Umfeld, das Bedrohungsakteure mit wachsender Raffinesse ausnutzen. Frankreichs Position als führendes Datenleck-Land in Europa ist kein Resultat von Pech. Es ist das Ergebnis politischer Entscheidungen, Budgetprioritäten und eines Regulierungsrahmens, der erst jetzt beginnt, dem Ausmaß des Problems gerecht zu werden.

Wie hat Ihnen dieser Artikel gefallen?
Artikel teilen

Fehler gefunden? Melden Sie ihn

Quellen

Verwandte Artikel

Nachrichten & Analyse

Wie Grand Juries funktionieren: Die Anklagemaschine, die Staatsanwälte kontrollieren und fast nie verlieren

Nachrichten & Analyse

Britische Militärbasen auf Zypern: Was Irans Drohnenangriff auf britisches Hoheitsgebiet wirklich bedeutet

Nachrichten & Analyse

Warum haben wir noch Achselhaare? Die überraschende Wissenschaft hinter dem hartnäckigsten Merkmal der Evolution

Nachrichten & Analyse

Das Weiße Haus will alle KI-Gesetze der Bundesstaaten kippen. Die Bundesstaaten schlagen zurück.