Skip to content
Ressourcen

Datensicherheit

Datenlecks und DAC8

Warum DAC8 eine sensible Krypto-Datenbank zu einem Umfeld hinzufügt, das bereits von Massenlecks, Fehlkonfigurationen und Insider-Korruption geprägt ist.

Aktualisiert am

Kurzantwort

Die DAC8-Debatte kann nicht davon ausgehen, dass öffentliche oder halböffentliche Datenbanken dauerhaft geschützt bleiben. Keine große Datenbank sollte als dauerhaft sicher gelten: Öffentliche Stellen, Auftragnehmer, Softwareanbieter und Insider schaffen allesamt Zugriffspunkte. Die jüngere Geschichte zeigt das Gegenteil des Sicherheitsversprechens: Massenlecks, kompromittierte Anbieter, missbrauchte Insider-Zugänge.

DAC8 ist besonders sensibel, weil es zivile Identität, Krypto-Aktivität und wirtschaftlichen Wert kombiniert. Ein einziges Leck kann eine Steuermeldedatenbank in ein kriminelles Zielwerkzeug verwandeln. In 18 Monaten wurden mehr als 100 Millionen Datensätze französischer Bürger aus Datenbanken kompromittiert, die vom Staat oder seinen Auftragnehmern betrieben werden, und die Verbindung zwischen Lecks und Gewalt wird von den Behörden inzwischen bestätigt: Das Waltio-Leck diente unmittelbar mindestens drei Entführungen.

Wichtige Fakten

8.613

Meldungen von Datenschutzverletzungen an die CNIL in 12 Monaten (+45 %)

24 / Tag

etwa ein Leck pro Stunde

12,2 Mio.

betroffene Personen (+53 %)

Forum Incyber / Hexatrust / CNIL, Barometer für Verletzungen personenbezogener Daten 2026 (Sept. 2024 bis Sept. 2025).

Eine Datenbank von sehr hohem Wert

Eine DAC8-Datenbank enthält Identitätsdaten und Krypto-Daten. Diese Kombination ist sensibler als eine einfache Steuerliste: Sie verknüpft zivile Identität, Krypto-Aktivität und wirtschaftlichen Wert.

Für einen Angreifer kann sie helfen, Opfer zu priorisieren, Nötigung vorzubereiten oder bereits anderswo verfügbare Daten anzureichern.

Massenlecks des Staates in Frankreich (2024-2026)

DatumStelleBetroffeneOffengelegte Daten
Jan. 2024Viamedis + Almerys33 Mio.NIR (Sozialversicherungsnummer) + Identität
März 2024France Travail43 Mio.NIR, Adresse, Telefon, E-Mail
Ende 2025Cegedim Santé15 Mio.Identität + 169.000 medizinische Akten
Jan. 2026FICOBA (DGFiP)1,2 Mio.Bankverbindung (RIB), IBAN, Identität des Kontoinhabers
Apr. 2026Mega-Leck der Regierung19 Mio.Adressen, E-Mails, Telefonnummern
Mai 2026Almerys (erneut)15,4 Mio.NIR, Verträge, Versicherer
Mai 2026DGSE (physischer Diebstahl)k. A.Baupläne von Polizeistationen + Zugang zur Pariser Videoüberwachung

Das Problem des schwächsten Glieds

DAC8 stützt sich auf verschiedene Verwaltungen, Systeme, Auftragnehmer und Bedienstete. Die Sicherheit des Ganzen hängt von der Widerstandsfähigkeit des schwächsten Glieds ab. Die eigentliche Frage ist nicht, ob Verwaltungen die Daten schützen wollen, sondern ob jedes verbundene System, jeder Anbieter und jeder menschliche Zugriffspunkt dauerhaft standhält.

Ein einziges Leck kann genügen, um eine Meldepflicht in ein Werkzeug zur kriminellen Identifizierung zu verwandeln.

Insider-Zugriff zählt ebenso viel wie Hacking

Das Risiko beschränkt sich nicht auf externe Hacker. Eine Verwaltungsdatenbank kann durch missbräuchlichen Insider-Zugriff, Fehlkonfiguration, einen kompromittierten Auftragnehmer oder eine unrechtmäßige Extraktion offengelegt werden.

Je mehr eine Datenbank geteilt wird, desto mehr menschliche und technische Zugriffspunkte entstehen. DAC8 und CARF vervielfachen die Orte, an denen sensible Daten zirkulieren können, und vergrößern damit diese Angriffsfläche.

Wenn das Leck den Angriff schafft: das dokumentierte Muster

Fall FFTir (Oktober 2025). 250.000 Sportschützen und 750.000 ehemalige Lizenzinhaber im Darknet offengelegt. Die Pariser Staatsanwaltschaft bestätigte, dass “diese Daten genutzt wurden, um Einbruchsdiebstähle oder Identitätsbetrug (Verwendung einer falschen Eigenschaft) zu begehen”: zwischen 20 und 30 Einbrüche/Home-Jackings innerhalb weniger Wochen.

Fall Waltio (Januar 2026). Französische Plattform zur Berechnung der Krypto-Steuer: rund 50.000 Nutzer offengelegt (E-Mails, Gewinne/Verluste, Wertindikatoren, Identität). Die Hacker behaupteten, diese Daten hätten mindestens 3 Entführungen ermöglicht, mit insgesamt mehr als 17 Mio. USD erpresst. Die Pariser Staatsanwaltschaft leitete eine Untersuchung ein.

Insider-Korruption und staatliche Präzedenzfälle

  • Ghalia C. (DGFiP, Jan. 2026): Ein Bediensteter der DIRCOFI in Bobigny wurde inhaftiert, weil er Adressen und Steuerprofile eingesehen und an Kriminelle weitergegeben hatte, gezielt gegen Kryptowährungsinvestoren. Das DAC8-Muster reproduziert genau die ausgenutzten Bedingungen, jedoch auf europäischer Ebene.
  • Equalize (Italien, 2024-2026): Korrupte Polizeibeamte griffen auf Steuer-, Polizei- und Bankdatenbanken zu, um mehr als eine Million Datensätze zu exfiltrieren, die weiterverkauft oder zur Erpressung genutzt wurden. DAC8 vervielfacht diese Eintrittspunkte um den Faktor 27.
  • NRA Bulgarien (2019): Die Steuerdaten von 5 bis 7 Millionen Bürgern, nahezu der gesamten erwachsenen Bevölkerung, wurden mit “einfachen” Techniken exfiltriert. Es genügt, dass eine der 27 Verwaltungen das schwache Glied ist.

Le Parisien, 26. Nov. 2025 (FFTir) und Jan. 2026 (Ghalia C.) · Cybernews, 9. Feb. 2026 und Forbes, 14. Feb. 2026 (Waltio) · Reuters / Euronews (Equalize) · Wikipedia & Reuters, 16. Juli 2019 (NRA Bulgarien).

Die Krypto-Besonderheit

Geleakte Krypto-Daten können lange nützlich bleiben. Eine öffentliche Adresse kann weiterhin zukünftige Bewegungen offenlegen, wenn der Nutzer seine Mittel nicht abschotten oder sauber migrieren kann.

Das Leck beschränkt sich daher nicht auf die Vergangenheit: Es kann eine dauerhafte Überwachung schaffen. Bei Krypto-Daten kann die Konsequenz über Identitätsdiebstahl hinausgehen: Sie kann physisches Targeting ermöglichen.

Verwandte Seiten