Wie eine ungeschützte Datenbank Millionen Identitäten offenlegt
Im Februar 2026 wurde ein Datenleck beim US-Identitätsprüfungs-Dienstleister IDMerit öffentlich. Wie die Forscher von Cybernews berichten, lag eine ungeschützte MongoDB-Datenbank ohne Passwortschutz offen im Internet. Ursache war eine Fehlkonfiguration, kein Hackerangriff. Deutschland war von dem Vorfall besonders stark betroffen.
Was ist passiert?
IDMerit ist ein Dienstleister für Identitätsprüfung, der unter anderem Verfahren zur Kundenidentifizierung (KYC) und Identity-Verification anbietet. Im Rahmen dieser Tätigkeit verarbeitet das Unternehmen große Mengen personenbezogener Daten. Nach den Recherchen von Cybernews war eine MongoDB-Datenbank des Anbieters ohne Passwortschutz frei über das Internet erreichbar.
Die offene Datenbank wurde bereits im November 2025 entdeckt. Es handelte sich ausdrücklich nicht um einen Angriff von außen, bei dem Schutzmechanismen überwunden werden mussten, sondern um eine Fehlkonfiguration: Die Schutzmechanismen fehlten schlicht, sodass die Daten offen zugänglich waren. Die Forscher von Cybernews bestätigten die Echtheit der Datensätze.
Welche Daten waren betroffen?
Weltweit waren laut Cybernews rund 1 Milliarde Datensätze betroffen. Deutschland war dabei mit rund 60 Millionen Datensätzen das viertstärkste Land. Auch Security Insider berichtete über den Vorfall.
Exponiert war eine besonders heikle Kombination personenbezogener Informationen:
- vollständige Namen
- Privatadressen
- Geburtsdaten
- nationale Ausweis- bzw. ID-Nummern
- Telefonnummern
- E-Mail-Adressen
Diese Daten verknüpfen Identität, Kontaktweg und amtliche Kennungen. Genau diese Verbindung macht den Vorfall so kritisch: Sie erlaubt es Kriminellen, Personen sehr genau zu adressieren und ihre Identität in betrügerischer Absicht zu missbrauchen.
Warum ist eine Fehlkonfiguration so gefährlich?
Datenlecks durch Fehlkonfigurationen unterscheiden sich grundlegend von klassischen Hackerangriffen. Bei einem Angriff müssen Schutzmechanismen erst überwunden werden. Bei einer offenen Datenbank fehlen diese Schutzmechanismen von vornherein, die Daten liegen ungeschützt im Netz. Das senkt die Hürde für einen Zugriff drastisch und macht es zugleich schwer nachzuvollziehen, wer in welchem Zeitraum auf die Informationen zugegriffen hat.
Das Hauptrisiko für Betroffene liegt in Identitätsdiebstahl und gezieltem Phishing. Wer Name, Adresse, Geburtsdatum und eine amtliche Ausweisnummer einer Person kennt, kann sehr glaubwürdig wirkende Betrugsversuche gestalten oder versuchen, im Namen der betroffenen Person zu handeln.
Wie können Sie sich schützen?
Da der Vorfall einen Dienstleister betrifft, lässt sich als Privatperson nicht unmittelbar beeinflussen, ob die eigenen Daten enthalten waren. Umso wichtiger ist erhöhte Wachsamkeit:
- E-Mail-Adresse prüfen: Über unseren E-Mail-Leak-Check können Sie kostenlos prüfen, ob Ihre Adresse in bekannten Leaks auftaucht.
- Phishing erkennen: Seien Sie misstrauisch bei Nachrichten, die persönliche Details über Sie kennen. Klicken Sie nicht unüberlegt auf Links und geben Sie keine weiteren Daten preis.
- Identitätsmissbrauch im Blick behalten: Achten Sie auf unerwartete Vorgänge, etwa Schreiben zu Verträgen oder Konten, die Sie nicht selbst veranlasst haben.
- Im Zweifel direkt kontaktieren: Wenden Sie sich über offizielle Kanäle an betroffene Unternehmen, statt auf Links in unaufgeforderten Nachrichten zu reagieren.
Verwandte Meldungen
- 16 Milliarden Zugangsdaten: Einordnung des Mega-Leaks – wie veröffentlichte Zugangsdaten dauerhaft zum Risiko werden.
- Samsung-Deutschland-Datenleck: 270.000 Kundentickets – ein weiterer Vorfall mit massenhaft betroffenen Kunden.
- Otelier-Datenleck: Millionen Hotelgäste betroffen – ein ähnliches Muster offen zugänglicher Daten.
Fazit
Das IDMerit-Datenleck zeigt, dass nicht erst ein raffinierter Angriff zu einem massiven Datenschutzvorfall führen muss. Eine einzelne ungeschützte Datenbank genügte, um die Daten von rund 60 Millionen Menschen in Deutschland offenzulegen. Das größte Risiko für Betroffene ist Identitätsdiebstahl und gezieltes Phishing. Prüfen Sie daher jetzt mit unserem E-Mail-Leak-Check, ob Ihre Adresse in bekannten Leaks auftaucht, und reagieren Sie auf unerwartete Nachrichten mit besonderer Vorsicht.