Die 10 größten Datenlecks in Frankreich [2026]

1. Einführung#

Frankreich hat sich zu einer der am stärksten von Datenlecks betroffenen Regionen in Europa entwickelt. Zwischen 2024 und 2025 wurden mehr als 145 Millionen Datensätze von französischen Bürgern in den Bereichen öffentliche Dienste, Gesundheitswesen, Telekommunikation und Einzelhandel kompromittiert. Das bedeutet statistisch gesehen, dass jeder französische Einwohner von mehreren Datenlecks betroffen war. Laut der CNIL wurden im Jahr 2024 über 5.600 Meldungen über Datenschutzverletzungen eingereicht – ein neuer Rekordwert.

Dieser Artikel listet die 10 bedeutendsten Datenlecks der jüngeren französischen Geschichte auf, von den 43 Millionen kompromittierten Datensätzen beim France Travail-Vorfall bis hin zum Leak der Gesundheitssoftware Cegedim Santé. Darüber hinaus werden die Melderegeln der CNIL, verhängte Strafen und Präventionsmuster beleuchtet, die für jedes in Frankreich tätige Unternehmen relevant sind.

2. Warum ist Frankreich ein attraktives Ziel für Datenlecks?#

Frankreichs stark digitalisierter öffentlicher Sektor, sein dichtes Zahlungsökosystem im Gesundheitswesen und drei große Telekommunikationsbetreiber, die jeweils zig Millionen von Abonnentendaten speichern, bilden zusammen eine überdimensionale Angriffsfläche. Hinzu kommen chronische Unterinvestitionen in die Cybersicherheit im Vergleich zu ähnlichen Ländern sowie Social-Engineering-Angriffe auf Berater an vorderster Front. Das Ergebnis ist die beispiellose Serie von Datenlecks, die Frankreich in den Jahren 2024-2026 erlebt hat.

2.1 Stark digitalisierter öffentlicher Sektor#

Frankreich verfügt über eine der fortschrittlichsten E-Government-Infrastrukturen in Europa. FranceConnect, die nationale Identitätsföderation, leitet den Zugang zu Steuern, Gesundheitswesen, Beschäftigung und Familienleistungen. Ein einziges kompromittiertes Beraterkonto kann daher Datensätze aus Jahrzehnten offenlegen, wie es bei France Travail, Pass'Sport und OFII der Fall war. Der öffentliche Sektor speichert Bürgerdaten von der Wiege bis zur Bahre und schafft so eine in ihrem Umfang unerreichte Konzentration sensibler Daten.

2.2 Dichtes Ökosystem von Drittanbietern#

Die französische Krankenversicherung stützt sich auf eine kleine Anzahl von "Tiers Payant"-Plattformen (Viamedis, Almerys, Cegedim), die Daten für Dutzende von Krankenkassen (Mutuelles) verarbeiten. Ein einziger Einbruch breitet sich daher auf zig Millionen Versicherte aus. Das gleiche Muster zeigt sich in der Telekommunikation (das Datenleck bei Bouygues Telecom 2025 über einen Drittlieferanten) und im E-Commerce. Selbst Organisationen mit ausgereiften internen Sicherheitsprogrammen bleiben durch ihre Lieferantennetzwerke verwundbar.

2.3 Chronische Unterinvestition in Cybersicherheit#

Unabhängige Analysen wie die von Edouard.ai schätzen die öffentlichen Cybersicherheitsausgaben Frankreichs auf etwa 0,03 % des BIP (eine Schätzung, keine offizielle Zahl) und damit deutlich niedriger als in vergleichbaren europäischen Ländern. Die durchschnittlichen CNIL-Strafen blieben in der Vergangenheit unter denen der EU-Partner, was die finanzielle Abschreckung für laxe Sicherheit verringerte – eine Lücke, die die Aufsichtsbehörde nun mit Rekordstrafen gegen Free Mobile, France Travail und andere schließt.

2.4 Social Engineering und MFA-Lücken#

Mehrere der größten französischen Vorfälle (France Travail, Viamedis, Free) begannen mit Phishing oder Kontenübernahmen auf Berater- oder Mitarbeiterportalen, die keine Phishing-resistente MFA erzwangen. In jedem Fall nahmen die Angreifer die Menschen an den Endpunkten ins Visier und nicht die Kerninfrastruktur. Die FIDO Alliance stuft Passkeys als standardmäßig Phishing-resistent ein, da jeder Passkey an den legitimen Ursprung gebunden ist und nicht auf von Angreifern kontrollierten Websites wiederverwendet werden kann. Französische Behörden und Telekommunikationsunternehmen, die Passkeys oder hardwaregestützte Authentifizierung noch nicht eingeführt haben, bleiben der gleichen Angriffsklasse ausgesetzt.

3. Die 10 größten Datenlecks in Frankreich#

Die zehn größten französischen Datenlecks seit 2023 haben zusammen mindestens 145 Millionen Datensätze offengelegt und bis Januar 2026 CNIL-Strafen in Höhe von insgesamt 47 Millionen Euro nach sich gezogen. Sie umfassen öffentliche Dienste (France Travail, Pass'Sport), Plattformen des Gesundheitswesens (Viamedis, Almerys, Cegedim Santé), die Telekommunikation (Free, Bouygues Telecom) und den Einzelhandel (ManoMano, Sport 2000). Die folgende Tabelle fasst Umfang, Jahr und regulatorische Folgen zusammen; detaillierte Fallbeschreibungen und Präventionsmuster folgen.

3.1 France Travail Datenleck (2024)#

Im März 2024 gaben France Travail (ehemals Pôle Emploi) und Cap Emploi das bislang größte Datenleck in der französischen Geschichte bekannt. Angreifer nutzten Social Engineering, um die Konten von Cap-Emploi-Beratern (der Organisation, die Menschen mit Behinderungen unterstützt) zu kapern. Sie griffen auf Daten aller Personen zu, die in den letzten 20 Jahren registriert waren, sowie auf Kandidaten mit einem Profil auf francetravail.fr. Laut der CNIL könnten bis zu 43 Millionen Menschen betroffen sein.

Am 22. Januar 2026 verurteilte die CNIL France Travail zu einer Geldstrafe von 5 Millionen Euro gemäß Artikel 32 der DSGVO, wobei die gesetzliche Höchstgrenze für eine öffentliche Einrichtung bei 10 Millionen Euro liegt. Die Aufsichtsbehörde bemängelte die "Unkenntnis wesentlicher Sicherheitsprinzipien" und ordnete Korrekturmaßnahmen unter Androhung eines Zwangsgeldes von 5.000 Euro pro Tag an. Dies war bereits das zweite Datenleck bei France Travail: Im August 2023 hatte ein Vorfall bei einem Drittanbieter in Verbindung mit der Ransomware-Gruppe Cl0p, die eine Zero-Day-Schwachstelle in MOVEit Transfer ausnutzte, bereits die Daten von 10 Millionen Nutzern offengelegt.

Präventionsmethoden:

• Erzwingen Sie Phishing-resistente MFA (Passkeys) für alle Berater- und Administratorenkonten, die auf große Mengen an Bürgerdaten zugreifen
• Wenden Sie Anomalieerkennung für Massenabfragen und strenge Richtlinien zur Datenaufbewahrung für Bürgerdatenbanken an

3.2 ManoMano Datenleck (2026)#

Im Februar 2026 wurde der französische DIY-E-Commerce-Riese ManoMano von Bedrohungsakteuren bei einem Datenverkauf namentlich erwähnt, der in mehreren französischen Cybersicherheits-Trackern referenziert wurde. Der Akteur behauptete, bis zu 37,8 Millionen Kundendatensätze kompromittiert zu haben, darunter Identitätsdaten, Kontaktdaten und administrative Informationen. Der Umfang der Behauptung entspricht eher der kumulierten EU-Nutzerbasis der Plattform als den aktiven französischen Kunden, dennoch handelt es sich um einen der umfangreichsten Datenverkäufe mit Frankreich-Bezug, die je beobachtet wurden.

Die Offenlegung unterstreicht, wie große Verbrauchermarktplätze in Frankreich für Angreifer ebenso attraktiv geworden sind wie Banken oder Telekommunikationsunternehmen, insbesondere wenn die Daten mit früheren Leaks kombiniert werden können, um "Identitätsgraphen" für Betrug zu erstellen.

Präventionsmethoden:

• Überwachen Sie Untergrundforen und Marktplätze kontinuierlich auf offengelegte Kundenlisten und setzen Sie strenge API-Ratenlimits für Kundenendpunkte durch
• Minimieren Sie die Speicherung historischer Kundenprofile mit geringer Aktivität

3.3 Viamedis und Almerys Datenleck (2024)#

Im Januar und Februar 2024 wurden Viamedis und Almerys, zwei französische Zahlungsabwickler für Zusatzkrankenversicherungen, in rascher Folge kompromittiert. Die CNIL bestätigte, dass die Vorfälle insgesamt 33 Millionen Menschen und damit fast die Hälfte der französischen Bevölkerung betrafen.

Das Eindringen bei Viamedis wurde auf einen Phishing-Angriff zurückgeführt, der auf medizinisches Fachpersonal abzielte und es Angreifern ermöglichte, gestohlene Zugangsdaten im Anbieterportal wiederzuverwenden. Es wird vermutet, dass Almerys über ein ähnliches Portal für medizinisches Fachpersonal angegriffen wurde.

Präventionsmethoden:

• Stellen Sie Phishing-resistente MFA (Passkeys) für jedes medizinische Fachpersonal bereit, das auf Daten von Versicherten zugreift
• Segmentieren Sie Tiers-Payant-Plattformen, damit ein kompromittiertes Portal nicht die gesamte nationale Datenbank offenlegen kann

3.4 Free Datenleck (2024)#

Im Oktober 2024 bestätigte Free (Frankreichs zweitgrößter ISP und eine Tochtergesellschaft der Iliad-Gruppe), dass Angreifer ein internes Verwaltungstool kompromittiert und Daten zu 19,46 Millionen Free Mobile- und 5,17 Millionen Freebox-Verträgen exfiltriert hatten, einschließlich der IBANs aller 5,11 Millionen Freebox-Kunden. Die Daten wurden schnell auf BreachForums von einem als "drussellx" bekannten Bedrohungsakteur versteigert, wobei das Höchstgebot 175.000 Euro erreichte.

Free betonte, dass Passwörter, Zahlungskartendaten und Kommunikationsinhalte nicht betroffen waren, doch die Kombination aus IBAN, vollständigem Namen und Geburtsdatum reicht für Lastschriftbetrug und hochwertiges Phishing aus. Am 13. Januar 2026 verhängte die CNIL Sanktionen in Höhe von 27 Millionen Euro gegen Free Mobile und 15 Millionen Euro gegen Free (insgesamt 42 Millionen Euro) wegen unzureichender Sicherheit bei Abonnentendaten – eine der höchsten kombinierten DSGVO-Strafen, die jemals in Frankreich für ein Datenleck verhängt wurden.

Präventionsmethoden:

• Schützen Sie privilegierte interne Tools mit Phishing-resistenter MFA und Just-in-Time-Zugriff
• Tokenisieren Sie IBANs und Zahlungskennungen, damit Abonnentendatensätze nicht direkt monetarisiert werden können

3.5 Cegedim Santé (MLM) Datenleck (2025)#

Im Oktober 2025 drangen Angreifer in "MonLogicielMedical.com" (MLM) ein, eine medizinische Praxismanagement-Software von Cegedim Santé, die von Tausenden französischen Ärzten genutzt wird. Laut dem französischen Gesundheitsministerium kompromittierte der Vorfall administrative Daten von rund 15 Millionen französischen Patienten, die einen Zeitraum von bis zu 15 Jahren und 19 Millionen digitale Zeilen von Patientenakten umfassten.

In einer Klarstellung vom Februar 2026 gab Cegedim Santé an, dass es sich bei den betroffenen Daten ausschließlich um administrative Informationen handelte (identitätsbezogene Informationen wie Nachname, Vorname und Geschlecht), und dass strukturierte klinische Akten, medizinische Freitextkommentare und sensible Diagnosen wie der HIV-Status nicht betroffen waren. Am 27. Oktober 2025 wurde ein Strafverfahren wegen "Eingriffs in ein automatisiertes Datenverarbeitungssystem" eingeleitet.

Präventionsmethoden:

• Erzwingen Sie eine starke Authentifizierung (Passkeys) für jeden Arzt, der auf medizinische Cloud-Software zugreift
• Wenden Sie eine strikte Datenminimierung und Trennung zwischen administrativen Identitätsdaten und klinischen Aufzeichnungen in SaaS-Medizinplattformen an

3.6 France Travail MOVEit Datenleck (2023)#

Noch vor dem aufsehenerregenden Vorfall im Jahr 2024 wurde France Travail Opfer eines Drittanbieter-Datenlecks im Zusammenhang mit der Ransomware-Gruppe Cl0p, die eine Zero-Day-Schwachstelle in der Software Progress MOVEit Transfer ausnutzte. Der Angriff legte die persönlichen Informationen von rund 10 Millionen Arbeitssuchenden offen, darunter Namen, NIRs und Kontaktdaten. Es war Teil der weltweiten MOVEit-Lieferkettenangriffswelle, die Hunderte von Organisationen auf der ganzen Welt betraf, und deutete auf das noch größere Datenleck derselben Behörde im Jahr 2024 hin.

Präventionsmethoden:

• Führen Sie ein aktuelles Inventar über internetfähige Dateiübertragungssoftware von Drittanbietern und wenden Sie Virtual Patching für Zero-Day-Fenster an
• Segmentieren Sie Dateiübertragungspipelines von zentralen HR- und Bürgerdatenbanken

3.7 Bouygues Telecom Datenleck (2025)#

Am 4. August 2025 entdeckte Bouygues Telecom, einer der größten Mobilfunkanbieter Frankreichs mit rund 14,5 Millionen Mobilfunkkunden und einem Gesamtkundenstamm von rund 23 Millionen, einen Cyberangriff auf ein Kundenverwaltungssystem. Zwei Tage später bestätigte das Unternehmen, dass Angreifer auf persönliche und vertragliche Daten von 6,4 Millionen Kunden zugegriffen hatten, einschließlich der IBANs. Passwörter und Zahlungskartennummern wurden nicht kompromittiert.

Das Datenleck, das vermutlich von einem Drittlieferanten ausging, wurde der CNIL und der ANSSI gemeldet. Gemäß Artikel 323-1 des französischen Strafgesetzbuchs (Code pénal) drohen dem Angreifer bis zu drei Jahre Haft wegen unbefugten Zugriffs auf ein automatisiertes Datenverarbeitungssystem, bei Veränderung von Daten oder Beeinträchtigung des Systems sogar bis zu fünf Jahre. Bouygues Telecom selbst sieht sich wegen seines Risikomanagements bei Drittanbietern einer DSGVO-Prüfung durch die CNIL gegenüber. Der Vorfall ist Teil eines breiteren Musters, das auch SFR (September 2025, Bankdaten) und Free in den Jahren 2024-2025 betraf.

Präventionsmethoden:

• Behandeln Sie Drittlieferanten als Teil der zentralen Angriffsfläche und fordern Sie Phishing-resistente MFA über alle verbundenen Systeme hinweg
• Tokenisieren Sie IBANs und andere Zahlungskennungen, um den Wert von Massendatendiebstahl einzuschränken

3.8 Pass'Sport Datenleck (Dezember 2025)#

Pass'Sport ist ein Regierungsprogramm unter der Leitung des Sportministeriums, das anspruchsberechtigten Jugendlichen einen Zuschuss von 70 Euro (zuvor 50 Euro) für Sportvereinsmitgliedschaften gewährt. In der Nacht vom 17. auf den 18. Dezember 2025 tauchte im Internet eine 15 GB große Datei mit mehr als 22 Millionen Datenzeilen auf. Erste Medienberichte schrieben das Datenleck fälschlicherweise der Familienkasse (Caisse d'Allocations Familiales, CAF) zu, die jedoch öffentlich jedes Eindringen in caf.fr dementierte. Das Sportministerium bestätigte später, dass die Daten aus dem Informationssystem von Pass'Sport stammten und etwa 3,5 Millionen Haushalte sowie 6,4 Millionen eindeutige E-Mail-Adressen von Begünstigten und deren Eltern oder Erziehungsberechtigten umfassten.

Die offengelegten Aufzeichnungen deckten den Zeitraum von September 2024 bis November 2025 ab und enthielten vollständige Identitäten, Postanschriften, Telefonnummern und E-Mail-Adressen, aber keine Bankdaten oder Passwörter. Der Datensatz ist besonders wertvoll für gezieltes Phishing gegen Familien mit Minderjährigen, und ein großer Teil wurde inzwischen bei Have I Been Pwned gelistet.

Präventionsmethoden:

• Wenden Sie den strengstmöglichen Schutz für Systeme an, die Daten von Minderjährigen verarbeiten, einschließlich verpflichtender Phishing-resistenter MFA für Administratoren
• Minimieren Sie die Dauer, für die Daten der Begünstigten nach Ablauf des Programms gespeichert werden

3.9 Sport 2000 Datenleck (2024)#

Im April 2024 erlitt der französische Sportartikelhändler Sport 2000 ein Datenleck, das später von Have I Been Pwned gelistet wurde. Ein Bedrohungsakteur, der unter dem Pseudonym "ChatNoir7331" operierte, bot in einem Hacking-Forum eine Datenbank mit 4,4 Millionen Zeilen und 3,2 Millionen eindeutigen E-Mail-Adressen zum Verkauf an. Der Datensatz wurde anschließend im Juni 2024 kostenlos wiederveröffentlicht. Das Leak umfasste Namen, E-Mail- und Postanschriften, Telefonnummern, Geburtsdaten und eine detaillierte Kaufhistorie, die mit bestimmten Filialstandorten verknüpft war.

Die Kombination aus Kontaktdaten und filialspezifischer Kaufhistorie macht das Leak bei Sport 2000 besonders nützlich für hochgradig gezieltes Phishing ("Ihre letzten Einkäufe bei Sport 2000 in Lyon...") und verdeutlicht, wie mittelgroße französische Einzelhändler Datenlecks im Verbrauchermaßstab verursachen können, wenn Marketingdatenbanken schlecht segmentiert sind.

Präventionsmethoden:

• Segmentieren Sie Marketing- und Transaktionsdatenbanken und rotieren Sie Zugriffstokens, die von Marketing-Tools von Drittanbietern verwendet werden
• Minimieren Sie die Speicherung historischer Kaufdaten, die mit identifizierbaren Kunden verknüpft sind

3.10 Fédération Française de Football Datenleck (2025)#

Im Jahr 2025 gab die Fédération Française de Football (FFF) ein Datenleck bekannt, bei dem die personenbezogenen Daten ihrer registrierten Mitglieder offengelegt wurden. Die FFF gibt an, für die Saison 2023-2024 etwa 2,38 Millionen registrierte Mitglieder zu haben. Gemäß der eigenen "vol de données"-Meldung der FFF umfasste der Vorfall Identitäts- und Kontaktdaten (Namen, Geburtsdaten, Lizenznummern und einige Identitätsdokumente) und schloss Gesundheitsdaten explizit aus. Der Vorfall bei der FFF war Teil einer Welle, die auch die Fédération Française de Voile, die Fédération Française de Gymnastique, die Fédération Française de Tir und andere betraf. Dies bestätigt, dass französische Sportverbände aufgrund ihrer großen, historisch gespeicherten Datensätze und vergleichsweise geringen IT-Sicherheitsbudgets ein attraktives Ziel darstellen.

Präventionsmethoden:

• Priorisieren Sie Investitionen in die Cybersicherheit bei Verbänden und gemeinnützigen Organisationen, die jahrzehntelange Mitgliederdaten aufbewahren
• Entfernen Sie historische Datensätze, die für den Betrieb der Lizenzen nicht mehr benötigt werden

4. Wie meldet man ein Datenleck in Frankreich?#

Französische Verantwortliche müssen eine Verletzung des Schutzes personenbezogener Daten gemäß Artikel 33 der DSGVO innerhalb von 72 Stunden, nachdem sie davon Kenntnis erlangt haben, an die CNIL melden. Führt die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen, verlangt Artikel 34 der DSGVO eine unverzügliche Benachrichtigung. Betreiber von wesentlichen Diensten (OIV) und Betreiber von wichtigen Diensten (OSE) melden Vorfälle gemäß geltendem französischen Recht zusätzlich an die ANSSI; die vollständige Umsetzung der NIS2-Richtlinie in französisches Recht war 2026 noch im Gange.

4.1 Die 72-Stunden-Regel der DSGVO (Artikel 33)#

Gemäß Artikel 33 der DSGVO muss ein Verantwortlicher der CNIL eine Verletzung des Schutzes personenbezogener Daten spätestens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, melden. Wenn sich die Meldung verzögert, muss der Verantwortliche eine Begründung dafür liefern. Die Meldung muss die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen beschreiben.

4.2 Zuständige Behörde: die CNIL#

Im Gegensatz zu den 16 Datenschutzbehörden der Bundesländer in Deutschland hat Frankreich eine einzige nationale Aufsichtsbehörde: die Commission Nationale de l'Informatique et des Libertés (CNIL). Die CNIL setzt die DSGVO sowohl für öffentliche als auch für private Verantwortliche durch und ist befugt, Verwaltungsstrafen in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist. Jüngste kombinierte Sanktionen gegen Free Mobile und Free (42 Millionen Euro, davon 27 Millionen gegen Free Mobile) sowie France Travail (5 Millionen Euro) zeigen, dass die CNIL von Verwarnungen zu einer strengeren Durchsetzung übergegangen ist.

4.3 ANSSI-Meldepflicht für OIV, OSE und NIS2#

Betreiber von wesentlichen Diensten (OIV) und Betreiber von wichtigen Diensten (OSE) müssen erhebliche Cybervorfälle zusätzlich an die ANSSI, die französische nationale Cybersicherheitsagentur, melden. Die NIS2-Richtlinie weitet die Meldepflicht auf weitere Sektoren aus, einschließlich Anbieter digitaler Dienste, die verarbeitende Industrie und die Abfallwirtschaft. Ihre Umsetzung in französisches Recht war 2026 noch nicht abgeschlossen, und die ANSSI hat angekündigt, während des gesamten Prozesses zu kommunizieren; die Europäische Kommission gab zudem eine mit Gründen versehene Stellungnahme wegen unvollständiger Umsetzung ab. Nach Inkrafttreten erfolgen die Meldungen in einem mehrstufigen Zeitrahmen: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats.

4.4 Individuelle Benachrichtigung (Artikel 34)#

Wenn ein Datenleck voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, fordert Artikel 34 der DSGVO eine direkte Benachrichtigung der betroffenen Personen in klarer und einfacher Sprache. Die Fälle France Travail, Viamedis, Free und Cegedim Santé haben alle Pflichten nach Artikel 34 ausgelöst. Das Versäumnis zu benachrichtigen, ist ein häufiger Grund für zusätzliche behördliche Strafen, die über die Strafe für den eigentlichen Verstoß hinausgehen.

5. Trends bei Datenlecks in Frankreich#

Vier Muster wiederholen sich in den zehn Fällen: die Konzentration von Bürgerdaten in einem stark digitalisierten öffentlichen Sektor, Kompromittierungen bei Drittanbietern und in der Lieferkette als dominanter Einstiegspunkt, Credential Stuffing, das französische öffentliche Portale zu leichten Zielen macht, und eine CNIL, die bei der Durchsetzung rasant aufholt. Das Verständnis dieser Muster ist umsetzbarer als das Auswendiglernen einzelner Vorfälle.

5.1 Die Digitalisierung des öffentlichen Sektors schafft eine landesweite Angriffsfläche#

France Travail, OFII, FICOBA und Pass'Sport zeigen, wie viele Bürgerdaten in wenigen öffentlichen Plattformen konzentriert sind. Ein kompromittiertes Beraterkonto bei Cap Emploi reichte aus, um 43 Millionen Datensätze offenzulegen; eine geleakte Pass'Sport-Partnerintegration reichte aus, um 3,5 Millionen Haushalte offenzulegen. Frankreichs Abhängigkeit von FranceConnect und gemeinsamen Logins für öffentliche Dienste verstärkt dieses Risiko: Ein einziges kompromittiertes Passwort, das mit einer NIR (Sozialversicherungsnummer) verknüpft ist, kann mehrere öffentliche Dienste auf einmal entsperren.

5.2 Drittanbieter sind eine kritische Schwachstelle#

Viamedis, Almerys, Cegedim Santé, Bouygues Telecom und der MOVEit-Vorfall bei France Travail im Jahr 2023 haben die gleiche Ursache: eine Kompromittierung bei einem Dritten, nicht bei der Hauptmarke. Selbst Organisationen mit ausgereiften internen Sicherheitsprogrammen bleiben durch ihre Lieferantennetzwerke verwundbar. Das Modell der Tiers-Payant-Krankenversicherung, bei dem eine Handvoll von Abwicklern Daten für Dutzende von Krankenkassen verarbeitet, ist besonders anfällig für Datenlecks an einem Single Point of Failure.

5.3 Credential Stuffing macht öffentliche Portale zu leichten Zielen#

Credential Stuffing ist zum Standard-Folgeangriff nach jedem französischen Datenleck geworden. Im Februar 2024 behauptete die Hacker-Gruppe LulzSec, bis zu 600.000 CAF-Konten allein durch Passwort-Wiederverwendung kompromittiert zu haben, ohne dass es zu einem technischen Einbruch bei caf.fr gekommen war. Ein darauffolgendes Leak im August 2024 legte 60.369 weitere CAF-Login-Kombinationen (NIR + Passwort) in einem Hacking-Forum offen. Solange französische öffentliche Dienste Passwort-Logins akzeptieren, wird jedes neue Datenleck irgendwo in Europa Credential Stuffing-Angriffe auf sie begünstigen.

5.4 Die CNIL-Durchsetzung holt auf#

Bis Januar 2026 ist die CNIL von Verwarnungen zu einer strafenden Durchsetzung übergegangen. Am 13. Januar 2026 wurden Free Mobile und Free gemeinsam zu einer Geldstrafe von 42 Millionen Euro (27 Millionen gegen Free Mobile und 15 Millionen gegen Free) verurteilt, und France Travail wurde am 22. Januar 2026 gemäß Artikel 32 der DSGVO zu einer Geldstrafe von 5 Millionen Euro verurteilt (die gesetzliche Höchstgrenze für eine öffentliche Einrichtung beträgt 10 Millionen Euro). Historisch gesehen blieben die durchschnittlichen CNIL-Strafen weit unter den Obergrenzen der DSGVO. In Kombination mit der wachsenden Zahl von schadensersatzähnlichen Sammelklagen nach Artikel 82 ist Frankreich in die gleiche Durchsetzungsstufe aufgestiegen wie Deutschland, die Niederlande und Irland.

6. Fazit#

Frankreichs zehn größte Datenlecks der jüngsten Zeit erzählen eine übereinstimmende Geschichte: Zugangsdaten und Zugriffe von Dritten sind die gemeinsamen Nenner. Die durch Social Engineering übernommenen Beraterkonten bei France Travail, die gephishten medizinischen Fachkräfte bei Viamedis, das kompromittierte interne Tool bei Free, die geleakte Partnerintegration bei Pass'Sport und der Drittlieferant von Bouygues Telecom lassen sich alle auf dieselbe zugrunde liegende Schwäche zurückführen: Menschen und Lieferanten authentifizieren sich mit Passwörtern an Systemen, die jahrzehntelange Bürgerdaten enthalten.

Die Gegenmaßnahmen sind ebenso konsistent: Phishing-resistente Authentifizierung wie Passkeys, strenge Governance für den Zugriff durch Dritte, kontinuierliches Dark-Web-Monitoring und die Bereitschaft zur 72-Stunden-CNIL-Meldung. Da die CNIL nun acht- und neunstellige Geldstrafen verhängt, werden französische Unternehmen, die diese Themen 2026 als Priorität für die Geschäftsführung behandeln, sowohl die regulatorischen Strafen als auch den Reputationsschaden vermeiden, der die letzten drei Jahre der französischen Datenlecks geprägt hat.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen (FAQ)#

Was war das Datenleck bei France Travail im Jahr 2024?#

Im März 2024 gaben France Travail (ehemals Pôle Emploi) und Cap Emploi das bislang größte Datenleck in der französischen Geschichte bekannt. Angreifer nutzten Social Engineering, um die Konten von Cap-Emploi-Beratern zu kapern und exfiltrierten persönliche Daten von bis zu 43 Millionen Arbeitssuchenden der letzten 20 Jahre, darunter Namen, Geburtsdaten, Sozialversicherungsnummern, France Travail-IDs und Kontaktdaten. Am 22. Januar 2026 verurteilte die CNIL France Travail gemäß Artikel 32 der DSGVO zu einer Geldstrafe von 5 Millionen Euro; die gesetzliche Höchstgrenze für eine öffentliche Einrichtung liegt hier bei 10 Millionen Euro.

Wie meldet man ein Datenleck in Frankreich?#

Unter Artikel 33 der DSGVO müssen französische Verantwortliche die CNIL innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen. Wenn der Verstoß wahrscheinlich zu einem hohen Risiko für die betroffenen Personen führt, schreibt Artikel 34 vor, sie ohne unangemessene Verzögerung zu benachrichtigen. Betreiber von wesentlichen Diensten (OIV) und wichtigen Diensten (OSE) melden gemäß geltendem französischen Recht an die ANSSI; die vollständige Umsetzung der NIS2-Richtlinie in französisches Recht war 2026 noch im Gange.

Was ist die höchste jemals von der CNIL verhängte Geldstrafe nach einem Datenleck in Frankreich?#

Am 13. Januar 2026 verhängte die CNIL gemeinsam gegen Free Mobile (27 Millionen Euro) und Free (15 Millionen Euro) eine Gesamtstrafe von 42 Millionen Euro wegen unzureichender Sicherheit. Diese trug zu einem Datenleck im Jahr 2024 bei, das 24,6 Millionen Verträge, darunter 5,11 Millionen IBANs, offenlegte. Dies ist eine der größten kombinierten DSGVO-Sanktionen, die jemals in Frankreich für ein Datenleck verhängt wurden. France Travail wurde am 22. Januar 2026 gemäß Artikel 32 zu einer Strafe von 5 Millionen Euro verurteilt.

Warum ist Frankreich zu einem so beliebten Ziel für Datenlecks geworden?#

Frankreich kombiniert einen stark digitalisierten öffentlichen Sektor (France Travail, CAF, DGFiP, OFII), ein dichtes Zahlungsökosystem im Gesundheitswesen (Viamedis, Almerys, Cegedim) und drei große Telekommunikationsbetreiber, die jeweils zig Millionen von Abonnentendatensätzen speichern. Chronische Unterinvestitionen in die Cybersicherheit im Verhältnis zum BIP, eine starke Abhängigkeit von Plattformen von Drittanbietern und Social-Engineering-Angriffe gegen Berater mit Kundenkontakt erklären, warum zwischen 2024 und 2025 mehr als 145 Millionen französische Datensätze offengelegt wurden.

Wie befeuern französische Datenlecks Credential-Stuffing-Angriffe?#

Datenlecks legen E-Mail-Adressen, Sozialversicherungsnummern und oft auch Passwörter offen, die in Dark-Web-Foren gehandelt werden. Angreifer verwenden diese Anmeldedaten dann für Angriffe auf Banken, öffentliche Dienste und Einzelhändler wieder und nutzen so die Mehrfachverwendung von Passwörtern aus. Der CAF-Vorfall im Februar 2024 kompromittierte bis zu 600.000 Konten rein durch Credential Stuffing, ohne dass es einen technischen Einbruch bei caf.fr gab. Dies zeigt, wie französische Datenlecks auch lange nach ihrer Offenlegung Angriffe weiter befeuern.