德国10大数据泄露事件 [2026]

Q: 在德国如何报告数据泄露事件？

根据GDPR第33条，德国的数据控制者必须在发现个人数据泄露后的72小时内向主管的州数据保护局（Landesdatenschutzbehörde）报告。如果泄露可能导致高风险，第34条要求不得无故拖延地通知受影响的个人。关键基础设施运营商还必须根据《BSI法案》（BSIG）向BSI报告。

关键事实

2024年，德国数据泄露的平均成本达到490万欧元（约合531万美元），使德国跻身全球成本最高的前五个国家之列（《IBM 2024年数据泄露成本报告》）。
德国始终是欧洲GDPR泄露通知数量最多的国家，自2018年5月GDPR生效以来，累计通知超过77,000起，在单次调查年份中约有32,000起（《DLA Piper GDPR罚款和数据泄露调查 2021和2024》）。
2020年对H&M纽伦堡处以3530万欧元的罚款，是德国监管机构有史以来开出的最大一笔GDPR罚款。
2025年3月的三星德国数据泄露事件通过第三方供应商Spectos暴露了约270,000条客户记录，这是该国2025年最受关注的第三方事件。
德国的数据控制者必须根据GDPR第33条在72小时内向主管监督机构（通常是16个州级DPA之一，联邦机构和电信/邮政提供商向BfDI）报告泄露事件。

1. 简介#

德国是欧洲最大的经济体，也是欧洲大陆数据泄露最严重的司法管辖区之一。2024年，德国数据泄露的平均成本达到490万欧元（约合531万美元），根据《IBM 2024年数据泄露成本报告》，该国在全球成本最高的国家中排名前五。自GDPR生效以来，德国机构提交的通知数量超过任何其他欧盟成员国。

企业 Passkey 白皮书. 面向 passkey 项目的实用指南、推广模式和 KPI。

获取白皮书

本文列出了德国历史上10起最重大的数据泄露事件——从2015年的联邦议院黑客攻击到2025年的三星德国数据泄露事件——以及适用于任何在德国运营的机构的报告规则、GDPR罚款和预防模式。

2. 为什么德国是数据泄露的热门目标？#

德国作为欧洲工业强国的地位、其在北约和欧盟中的地缘政治作用，以及由16个独立机构组成的碎片化数据保护体系，共同产生了一个巨大的攻击面。攻击者以德国公司为目标，以获取汽车、化工、工程和金融领域的高价值知识产权。国家支持的组织以政治机构为目标。防御较弱的中型企业（Mittelstand）供应商往往被作为进入大型企业的切入点而遭到利用。

2.1 拥有高价值知识产权的工业强国#

德国拥有汽车（大众、宝马、梅赛德斯-奔驰）、工程（西门子、博世）、化工（巴斯夫、拜耳）和金融（德意志银行、安联）等全球知名品牌。这些公司掌握着商业机密、制造数据、研发管线和客户记录。这种高价值IP的集中使得德国机构成为出于经济动机的网络犯罪分子和寻求竞争优势的国家支持的间谍组织的首要目标。

2.2 地缘政治重要性与国家支持的威胁#

德国在北约、欧盟和G7中的角色使其成为国家支持行动的目标。与俄罗斯有联系的组织APT28（Fancy Bear）曾多次针对联邦议院和政党。德国当局在2020年正式将2015年联邦议院的黑客攻击归咎于俄罗斯的GRU 26165部队。自2022年以来，德国对乌克兰的支持加剧了这些威胁，BSI和德国检察官已确认了多起归因案件。

2.3 复杂的监管环境和中型企业挑战#

德国通过16个独立的州级数据保护局执行GDPR，导致了一个碎片化的监管环境。德国的中型企业——数以万计的中小企业——处理着敏感的工业和客户数据，但通常缺乏企业级的网络安全资源。这创造了一个广泛而不均衡的攻击面，网络犯罪分子经常通过供应链和第三方媒介积极利用这一点。

在实时 demo 中试用 passkeys。

试用 passkeys

3. 德国10大数据泄露事件#

下表总结了德国最大的十起数据泄露事件（按范围、年份和监管结果排序）。详细的案件描述和预防模式见下文。

排名	公司 / 实体	年份	记录或范围	监管结果
1	德国凭证大规模泄露	2014	1600万个电子邮件/密码对	GDPR实施前
2	德国联邦议院	2015	16 GB，5,000多台PC	国家归因 (2020)
3	德国政客数据泄露	2018/19	约1,000名公众人物	刑事诉讼
4	Knuddels.de	2018	180万（确认33万）	20,000欧元GDPR罚款
5	万事达卡Priceless Specials	2019	90,000名会员	展开调查
6	H&M纽伦堡	2014-19	数百名员工	3530万欧元GDPR罚款
7	Scalable Capital	2020	33,000名客户	每位客户2,500欧元赔偿
8	杜塞尔多夫大学医院	2020	30台服务器，紧急关闭	凶杀案调查
9	Motel One	2023	6 TB，150个信用卡详情	执法合作
10	三星德国 / Spectos	2025	约270,000条客户记录	BfDI正在审查中

3.1 德国凭证大规模泄露 (2014)#

详情	信息
日期	2014年4月 (BSI披露)
受影响客户数量	约1600万个电子邮件/密码组合
泄露数据	- 电子邮件地址 - 密码 - 在线服务登录凭证

2014年4月，德国联邦信息安全局(BSI)证实，德国北部警方发现了约1600万个被盗的电子邮件地址和密码。就在三个月前，也发生了类似的1600万条受损凭证事件，这使其成为当时德国历史上最大规模的凭证泄露事件。约有300万条凭证属于德国公民。被盗数据被活跃用于未经授权的在线购物和身份欺诈。

这一发现凸显了系统性的密码重复使用问题，以及在线服务对基于凭证的攻击的脆弱性。BSI启动了一个公共查询网站，以便公民可以检查自己的凭证是否受损。

预防方法：

部署抗钓鱼MFA（如通行密钥）以消除凭证重复使用风险
监控暗网凭证转储，并在暴露时强制重置

3.2 德国联邦议院黑客攻击 (2015)#

详情	信息
日期	2015年5月 (检测到)，2020年归因
受影响客户数量	5,000多台电脑，16 GB被窃取，议员电子邮件
泄露数据	- 议员电子邮件 - 议会内部文件 - 行政数据 - 副总理办公室数据

2015年5月，德国联邦议会的内部网络遭到入侵，这是德国历史上最重大的国家支持的网络攻击之一。俄罗斯军方情报机构GRU的下属单位APT28 (Fancy Bear / Sofacy) 利用伪装成联合国通信的鱼叉式网络钓鱼电子邮件安装恶意软件。攻击者获得了管理权限，入侵了5,000多台计算机并窃取了大约16 GB的数据，其中包括数万封议会电子邮件。

整个联邦议院的IT环境不得不下线并重建。2020年，德国正式将此次袭击归咎于GRU 26165部队，并对Dmitriy Badin发出了国际逮捕令。这一事件成为德国网络安全政策的转折点。

预防方法：

为政府用户实施反钓鱼控制和抗钓鱼身份验证
实施网络分段和最小权限访问，以限制横向移动

3.3 德国政客数据泄露 (2018/2019)#

详情	信息
日期	2018年12月 (2019年1月披露)
受影响客户数量	约1,000名公众人物
泄露数据	- 电话号码和地址 - 信用卡和财务数据 - 私人聊天记录 - 个人照片 - 身份证件

2018年12月，一名来自黑森州的20岁学生策划了被称为德国历史上最大规模的公众人物个人数据泄露事件。通过在Twitter上以类似“降临节历”的方式进行发布，攻击者泄露了包括总理安格拉·默克尔和总统弗兰克-瓦尔特·施泰因迈尔在内的1,000多名德国政界人士、记者和名人的被盗个人数据。这些数据包括私人电话号码、家庭住址、信用卡信息、个人聊天记录和照片。

肇事者于2019年1月被捕。他没有受过正规的计算机科学培训，且是单独行动。该案件暴露了德国政治精英中薄弱的数字卫生意识。

预防方法：

在所有个人和官方账户上强制使用强MFA
运行暗网监控，以查找与公职人员相关联的暴露凭证

3.4 Knuddels.de数据泄露 (2018)#

详情	信息
日期	2018年7月 (2018年9月披露)
受影响客户数量	约330,000名确诊 (最多180万名受影响)
泄露数据	- 电子邮件地址 - 用户名 - 以明文存储的密码 - 真实姓名和地址

2018年7月，德国流行的聊天平台Knuddels.de遭到黑客入侵，黑客访问了约180万用户记录，包括一个未加密的密码文件。被盗数据于2018年9月发布在Pastebin和Mega上。该泄露被追溯到一台未接收安全更新的过期备份服务器。

Knuddels的泄露引发了德国史上首张GDPR罚单：巴登-符腾堡州数据保护局 (LfDI) 对其明文存储密码的行为处以20,000欧元罚款，因为这违反了GDPR第32条。该机构赞扬了Knuddels的透明度和合作态度，为德国的GDPR执法确立了重要先例。

预防方法：

使用现代哈希算法 (bcrypt, Argon2) 或无密码流程替代明文密码存储
按严格的节奏修补并退役旧有备份和暂存系统

3.5 万事达卡Priceless Specials数据泄露 (2019)#

详情	信息
日期	2019年8月
受影响客户数量	约90,000人
泄露数据	- 全名 - 支付卡号 - 电子邮件和家庭地址 - 电话号码 - 出生日期和性别

2019年8月，万事达卡的德国忠诚度计划“Priceless Specials”遭到泄露，暴露了约90,000名会员的个人信息。互联网上发布了包含姓名、支付卡号、电子邮件地址、家庭住址、电话号码、性别和出生日期的两个数据文件。其中未包含密码、卡片到期日和CVC代码，但泄露的数据仍然造成了重大的欺诈和身份盗窃风险。

此次泄露事件被追溯至在德国运营Priceless Specials的第三方服务提供商。万事达卡暂停了该计划，关闭了网站，并通知了德国和比利时的数据保护机构。随后出现了数十起正式投诉，凸显了即使是大型金融机构也面临的第三方供应商风险。

预防方法：

对每个第三方供应商施加安全审计、漏洞通知SLA和加密要求
持续监控处理客户PII的外部平台

获取面向企业的免费 passkey 白皮书。

免费获取

3.6 H&M员工监控数据泄露 (2014-2019)#

详情	信息
日期	自2014年起，2019年10月披露，2020年10月被罚款
受影响客户数量	H&M纽伦堡服务中心的数百名员工
泄露数据	- 医疗记录和诊断 - 休假和家庭详细信息 - 宗教信仰 - 绩效评估

至少自2014年以来，H&M纽伦堡服务中心的经理们系统性地收集了数百名员工的私生活细节。通过病假和休假后的“重返工作岗位谈话”，主管们记录了健康诊断、家庭问题、宗教信仰和度假经历。数据存储在大约50名经理可以访问的网络驱动器上，并用于雇佣决策。

这一做法是在2019年10月发现的，当时一次配置错误导致整个公司短暂可见该驱动器。2020年10月，汉堡数据保护局开出了3530万欧元的罚单——这是德国监管机构开出的最大一笔GDPR罚款，也是欧洲历史上最大的与就业相关的隐私罚款之一。

预防方法：

将员工数据收集限制在绝对必要和可审计的范围内
要求任何处理员工记录的经理必须接受强制性的GDPR培训

3.7 Scalable Capital数据泄露 (2020)#

详情	信息
日期	2020年4月至10月 (2020年10月披露)
受影响客户数量	约33,000人
泄露数据	- 姓名和地址 - 电子邮件地址 - 身份证件副本 - 税号 - 银行和证券账户数据 - 照片

2020年10月，总部位于慕尼黑的在线经纪公司Scalable Capital披露了一起泄露事件，暴露了约33,000名现有和前任客户的个人和财务信息。与典型的外部黑客攻击不同，此事件是一起内部案件：一名具有内部知识的个人访问了存储有身份证件副本、税务数据和银行账户详细信息的文档存档。被盗数据出现在暗网。

2021年12月，慕尼黑地区法院命令Scalable Capital向受影响客户支付2,500欧元的非物质损失赔偿——这是欧洲首个此类具有法律约束力的GDPR赔偿裁决。法院认为，Scalable Capital在业务关系终止后未能撤销访问凭证。

预防方法：

实施严格的入职-调动-离职访问控制以及即时凭证撤销
加密存储的身份证件和财务记录并记录每次访问

3.8 杜塞尔多夫大学医院勒索软件攻击 (2020)#

详情	信息
日期	2020年9月
受影响客户数量	为数千名患者提供服务的医院系统
泄露数据	- 30台服务器被加密 - 患者排班系统 - 紧急护理中断 - 患者记录的潜在访问

2020年9月10日，杜塞尔多夫大学医院 (UKD) 遭受了勒索软件攻击，导致约30台服务器被加密，并迫使其注销紧急护理。攻击者利用了CVE-2019-19781，这是一个自2020年1月起便已有补丁的Citrix漏洞。该勒索软件与DoppelPaymer家族有关。一名需要紧急治疗的78岁妇女被迫转移到30公里外的一家医院，并因延误而死亡。

德国检察官对过失致人死亡展开了调查，这被广泛报道为可能与网络攻击有关的首批死亡案件之一。勒索信是写给海因里希·海涅大学，而不是该医院——攻击者似乎找错了目标。当警方通知他们生命处于危险中时，他们撤回了勒索要求并提供了加密解密密钥。

预防方法：

在几天（而不是几个月）内修补面向互联网的设备（VPN、负载均衡器）
将临床系统与企业IT分离并维护经过测试的离线备份

3.9 Motel One勒索软件攻击 (2023)#

详情	信息
日期	2023年9月
受影响客户数量	未知 (据称被盗取了3年预订、6 TB的数据)
泄露数据	- 客户姓名和地址 - 3年的预订确认信 - 支付方式信息 - 150个信用卡详细信息 - 内部公司文件

2023年9月，总部位于慕尼黑、在13个国家拥有90多家酒店的经济型连锁酒店Motel One遭到BlackCat/ALPHV勒索软件团伙的攻击。Motel One声称操作影响保持在“相对最低”。BlackCat声称已提取了近2450万个文件，总计约6 TB，包括三年的预订确认信。Motel One确认，客户地址和150个信用卡详细信息被访问。

Motel One聘请了认证的IT安全专家，配合执法部门和数据保护机构工作，并亲自通知了受影响的150名持卡人。该案件凸显了酒店业长期保留PII数据集的风险敞口。

预防方法：

将预订和支付数据的保留窗口降至监管底线
部署EDR和网络分段，以便及早阻止横向移动

3.10 三星德国泄露事件 (通过Spectos) (2025)#

详情	信息
日期	2025年3月泄露
受影响客户数量	约270,000条三星德国客户记录
泄露数据	- 全名 - 电子邮件地址 - 实际地址 - 电话号码 - 订单号和产品数据 - 客户支持工单内容 (包括交易详情)

2025年3月，一名使用化名“GHNA”的威胁行为者在一个流行的黑客论坛上发布了约270,000条三星德国客户记录。数据并非直接来自三星，而是来自Spectos GmbH，一家总部位于德累斯顿的服务质量测评合作伙伴，负责运营三星德国的客户支持票务基础设施。Hudson Rock的研究人员将此次入侵与2021年从一名Spectos员工那里窃取的信息窃取凭证联系在一起——这些凭证在将近四年后仍然有效并且被重复使用。

这些记录暴露了完整的客户支持上下文：姓名、电子邮件地址、送货地址、订单号、物流追踪详情和支持工单的全部内容。这种组合对于针对三星客户进行高度个性化的网络钓鱼活动具有独特的价值。该漏洞目前是2025年德国热门的数据泄露新闻，并促使监管机构重新关注供应链身份卫生和陈旧供应商凭证。

预防方法：

按照严格的时间表轮换和过期供应商凭证，并强制所有供应商账户使用抗钓鱼MFA
持续扫描与组织及其供应链相关的、来源于信息窃取者的凭证

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

4. 在德国如何报告数据泄露事件#

根据GDPR第33条的规定，德国的数据控制者必须在发现个人数据泄露事件后的72小时内，向主管的州数据保护局报告。如果泄露可能对个人的权利和自由造成高风险，GDPR第34条要求不得无故拖延地通知受影响者。关键基础设施运营商还必须根据《BSI法案》(BSIG)向BSI报告。

根据GDPR第33条，数据控制者必须在发现个人数据泄露后的不超过72小时内，将事件通知给主管监督机构。如果通知被推迟，控制者必须提供推迟的原因。通知必须说明泄露的性质、类别和大致受影响人数、可能的后果，以及已采取或拟采取的措施。

4.2 主管机构：16个州级DPA和BfDI#

与集权的司法管辖区不同，德国有16个州级数据保护局 (Landesdatenschutzbehörden) 以及联邦数据保护和信息自由专员 (BfDI)。控制者主要机构所在地的州DPA（例如，H&M德国归汉堡DPA，Scalable Capital归巴伐利亚DPA）是主管机构。联邦机构和电信部门归BfDI管辖。这种联邦化模式是德国数据保护法的固有特点。

4.3 关键基础设施 (KRITIS) 的BSI报告#

关键基础设施 (KRITIS) 的运营商必须额外根据《BSI法案》第8b条将“重大中断”报告给联邦信息安全局 (BSI)。2025年转化为《BSI法案》的NIS2指令将强制报告要求扩展至更多领域，包括数字服务提供商、制造业和废物管理部门。报告遵循阶段性时间表：24小时内早期预警，72小时内完整通知，并在一个月内提交最终报告。

4.4 个人通知 (第34条)#

当泄露很可能对个人的权利和自由造成高风险时，GDPR第34条要求以清晰明了的语言直接通知受影响的人员。Knuddels、Scalable Capital和Motel One等案件均触发了第34条的义务。未能及时通知是在底层泄露基础之上引发额外监管处罚的常见诱因。

订阅我们的 Passkeys Substack，获取最新消息。

5. 德国数据泄露趋势#

在这十个案例中反复出现四种模式：针对民主机构的国家支持行动、第三方和供应链的妥协、勒索软件造成生命安全影响，以及造成实际财务风险的GDPR判例法。理解这些模式比记住个别事件更具可操作性。

5.1 国家支持的攻击针对民主机构#

德国在遭遇针对其政治机构的国家支持行动频率方面在欧洲尤为突出。2015年的联邦议院黑客攻击（后来归咎于GRU 26165部队）以及APT28针对政党的反复攻击说明，德国的地缘政治角色使其成为网络间谍活动的首要目标。自2022年俄罗斯入侵乌克兰以来，德国当局已确认多起归因于俄罗斯军事情报部门的袭击。

5.2 第三方供应商是关键的薄弱环节#

万事达卡Priceless Specials、Scalable Capital、Motel One和2025年三星/Spectos的泄露事件都有一个共同的根本原因：漏洞发生在第三方，而不是主要品牌上。即使是拥有成熟内部安全计划的公司，仍然面临其供应商网络带来的风险敞口。特别是三星德国的案例表明，多年前从分包商窃取的凭证仍可能解锁生产系统。

5.3 勒索软件已成为危及生命的问题#

2020年杜塞尔多夫大学医院的攻击表明，针对关键基础设施的勒索软件是一个生命安全问题，而不仅仅是一个IT或财务问题。德国的医院、公共事业公司和市政管理部门屡遭攻击。这些攻击通常利用未打补丁、面向互联网的设备——这些漏洞为人所知，而且在被利用数月前就已提供了可用的补丁。

5.4 GDPR执法正在重塑问责制#

德国处于GDPR执法的前沿。H&M的3530万欧元罚款、Knuddels收到的首张GDPR罚单以及Scalable Capital非物质损失赔偿这一具有里程碑意义的裁决共同塑造了欧洲各地组织处理数据保护的方式。虽然爱尔兰在欧盟GDPR罚款总额上领先（根据DLA Piper的2026年调查），且欧盟法院的Österreichische Post判决确认非物质损害赔偿主张是覆盖欧盟范围的补救措施，但德国因高额的单项罚款、检察机关调查高管的意愿以及不断增加的成功索赔案例而脱颖而出。

查看实际有多少人在使用 passkeys。

查看采用数据

6. 结论#

德国最重大的十起数据泄露事件讲述了一个一致的故事：凭证是共同点。2014年的大规模泄露、联邦议院的鱼叉式钓鱼、Knuddels的明文密码、Scalable Capital的内部人员、Motel One的勒索软件，以及2025年三星/Spectos事件，均可追溯至凭证受损、凭证重复使用或凭证处理失败。高达3530万欧元的GDPR罚款、490万欧元的平均违约成本、按客户计算的赔偿，以及刑事调查，使得德国成为欧盟中最不容宽恕的执法环境。

应对措施也同样一致：抗钓鱼的身份验证（例如通行密钥）、严格的入职-调动-离职访问控制、积极的供应商凭证轮换、持续的信息窃取监控，以及72小时违规通知准备就绪。在2026年将这些视为董事会层面优先事项的组织，将可以避免过去十年里在德国发生的一系列违规事件所造成的监管处罚和声誉受损。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。与 Passkey 专家交谈 →

德国10大数据泄露事件 [2026]

企业 Passkey 白皮书

1. 简介#