Companies House: Fünf-Monats-Lücke legte Millionen Unternehmerdaten offen

Das britische Unternehmensregister Companies House hat seine Onlinedienste nach einem schweren Sicherheitsleck wiederhergestellt. Die Schwachstelle gab fünf Monate lang Zugriff auf private Daten von Millionen Geschäftsführern. Der Vorfall wirft grundlegende Fragen zur IT-Sicherheit staatlicher Register auf.

Kritische Schwachstelle durch simplen Browser-Trick

Die Sicherheitslücke war erschreckend simpel. Jeder eingeloggte Nutzer des WebFiling-Portals konnte die Authentifizierung umgehen, indem er einfach die Registrierungsnummer eines Unternehmens eingab und viermal die "Zurück"-Taste seines Browsers drückte. Dieser rudimentäre Trick gewährte vollen Zugriff auf das interne Dashboard der Zielgesellschaft – ohne Hacking-Werkzeuge oder besondere Expertise.

Der Vorfall beim Companies House zeigt drastisch, wie verwundbar Unternehmensdaten durch einfache IT-Lücken sind. Dieser kostenlose Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Effektive Strategien gegen Cyberkriminelle entdecken

Die Lücke war laut internen Untersuchungen durch ein Routine-Update im Oktober 2025 eingeschleust worden. Entdeckt wurde sie erst am 12. März 2026 von John Hewitt, einem Operations-Direktor beim Dienstleister Ghost Mail. Nachdem eine erste Meldung an die Behörde ohne sofortige Reaktion blieb, demonstrierte er die Schwachstelle dem Steuerexperten Dan Neidle. Dessen Social-Media-Video, das den einfachen Zugriff auf private Unternehmensdaten zeigte, zwang Companies House schließlich zum Handeln: Am 13. März wurde das System abgeschaltet.

Was Angreifer sehen – und ändern – konnten

Das Ausmaß der offengelegten Daten ist gravierend. Unbefugte konnten während des fünfmonatigen Zeitfensters sensible Informationen einsehen, die normalerweise vor Betrug schützen sollen: vollständige Geburtsdaten und private Wohnadressen von Geschäftsführern sowie deren dienstliche E-Mail-Adressen.

Noch bedrohlicher: Die Lücke erlaubte es, auch unautorisierte Eintragungen im Namen der betroffenen Firmen vorzunehmen. Angreifer hätten theoretisch Direktorendaten ändern, Firmenadressen verschieben oder sogar betrügerische Bilanzen einreichen können.

Trotz der schwerwiegenden Zugriffslücke blieben einige kritische Daten geschützt. Laut offiziellen Statements vom 16. März wurden keine Passwörter kompromittiert. Auch Identitätsdokumente wie Passinformationen blieben unzugänglich, und historische Dokumente konnten nicht verändert werden. Die manuelle Natur des Exploits macht zudem einen Massendatenabfluss unwahrscheinlich – Angreifer hätten jede Firma einzeln aufrufen müssen.

Behördenreaktion und laufende Untersuchungen

Nach der Wiederherstellung des Systems entschuldigte sich CEO Andy King öffentlich für den technischen Fehler und die daraus resultierende Datenexposition. Die Behörde hat den Vorfall umgehend der Information Commissioner's Office (ICO) und dem National Cyber Security Centre (NCSC) gemeldet. Beide Stellen führen nun Untersuchungen zum vollen Ausmaß des Vorfalls durch.

Zur Schadensbegrenzung analysiert Companies House derzeit seine Systemlogs auf verdächtige Aktivitäten zwischen Oktober 2025 und März 2026. Gleichzeitig kontaktiert die Behörde alle fünf Millionen registrierten Unternehmen per E-Mail mit Hinweisen zur Absicherung ihrer Konten.

Unternehmen wird dringend geraten, ihre WebFiling-Konten umgehend zu prüfen. Bei unbefugten Änderungen empfehlen Experten, diese mit Zeitstempel und Screenshots zu dokumentieren und direkt an das Register zu melden. Companies House kündigte an, gegen jeden, der die Schwachstelle ausgenutzt hat, hart vorzugehen.

Grundsatzfrage: Wie sicher sind staatliche Digitalregister?

Der Vorfall bei Companies House unterstreicht eine wachsende Sorge unter Cybersicherheitsexperten: die Widerstandsfähigkeit zentralisierter staatlicher Digitalregister. Das britische Unternehmensregister dient als Grundlage für geschäftliche Rechenschaftspflicht und Compliance – die Integrität seiner Daten ist daher von entscheidender Bedeutung.

Die offengelegten Daten, insbesondere vollständige Geburtsdaten und Wohnadressen, sind für Kriminelle hochwertiges Material. Sie ermöglichen sophistizierten Identitätsdiebstahl, gezielte Phishing-Kampagnen und Social-Engineering-Angriffe. Besonders gefährdet sind kleine Unternehmen, denen oft mehrstufige Autorisierungsprotokolle größerer Konzerne fehlen.

Wenn sensible Firmendaten offenliegen, nutzen Hacker oft psychologische Schwachstellen der Mitarbeiter für weitere Angriffe aus. Dieser kostenlose Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor Phishing und anderen Hacker-Methoden schützen. Anti-Phishing-Guide für Unternehmen kostenlos anfordern

Die Tatsache, dass ein simpler Browserfehler fünf Monate lang die Authentifizierung einer nationalen Datenbank umgehen konnte, wirft grundlegende Fragen zu den Software-Testprotokollen in öffentlichen IT-Abteilungen auf. Die verspätete Entdeckung eines so basalen Fehlers könnte das öffentliche Vertrauen in die Fähigkeit des Staates, sensible Unternehmensdaten zu schützen, nachhaltig beschädigen.

Was folgt aus dem Sicherheitsdebakel?

Mit dem Abklingen der akuten technischen Krise rückt die regulatorische Aufarbeitung in den Fokus. Die Untersuchungen von ICO und NCSC werden voraussichtlich einen umfassenden Bericht zum Versagen der Zugangskontrollen liefern. Abhängig von den Ergebnissen könnte Companies House mit Strafen rechnen oder zu einer Überholung seiner digitalen Sicherheitsarchitektur verpflichtet werden.

In den kommenden Wochen rechnen Experten mit einer Zunahme gezielter Phishing-Angriffe auf britische Unternehmer, die die während des Fünf-Monats-Fensters exponierten E-Mail-Adressen und persönlichen Details ausnutzen. Unternehmen müssen besonders wachsam sein und strengere interne Verifizierungsprozesse für unerwartete Kommunikation bezüglich ihrer Unternehmensdaten oder Finanzkonten einführen.

Letztlich dürfte dieser Vorfall die Forderungen nach rigoroseren, unabhängigen Sicherheitsaudits für alle digitalen Plattformen der britischen Regierung beschleunigen – insbesondere bevor größere Systemupdates für die Öffentlichkeit freigegeben werden.

boerse | 68771828 |