LexisNexis-Datenleck offenbart fatale Sicherheitslücken

Die Tech-Branche steckt in einer neuen Sicherheitskrise. Massive Passwortlecks bei Konzernen wie LexisNexis und Figure Technology zeigen fundamentale Schwächen im Umgang mit sensiblen Zugangsdaten auf. Die jüngsten Vorfälle werfen ein grelles Licht auf die anhaltende Nachlässigkeit bei grundlegenden Sicherheitspraktiken.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind, zeigen die jüngsten Datenlecks eindrucksvoll. Dieser kostenlose Leitfaden hilft Geschäftsführern, die IT-Sicherheit proaktiv zu stärken und ihr Unternehmen ohne hohe Investitionen vor kostspieligen Angriffen zu schützen. Experten-Report: Cyber Security Strategien entdecken

LexisNexis: Klartext-Passwörter und ungepatchte Lücken

Im Zentrum des aktuellen Skandals steht der globale Datenriese LexisNexis. Wie der Branchendienst American Banker am 6. März 2026 berichtete, erbeutete die Hackergruppe FulcrumSec über zwei Gigabyte strukturierter Daten aus der Cloud-Infrastruktur des Unternehmens. Die Analyse des Angriffs offenbart erschreckende Mängel.

Die Angreifer stahlen nicht nur 45 Passwort-Hashes von Mitarbeitern, sondern auch 53 Cloud Secrets – hochsensible Zugangsschlüssel für Datenbanken und Dienste. Unfassbar: Diese Schlüssel lagen im Klartext vor. Zudem befanden sich unter über 82.000 erbeuteten Support-Tickets auch unverschlüsselte Kundenpasswörter.

Wie konnte das passieren? Der initiale Zugang gelang Ende Februar über eine kritische, bekannte Schwachstelle namens React2Shell. Obwohl US-Behörden diese Lücke bereits im Dezember 2025 als aktiv ausgenutzt einstuften, blieb das System monatelang ungepatcht. Die Hacker verspotteten zudem die internen Sicherheitspraktiken: Ein simples Passwort wie „Lexis1234“ wurde in mindestens fvünf verschiedenen Datenbanken wiederverwendet.

Eine Branche unter Beschuss

Der Vorfall bei LexisNexis ist kein Einzelfall, sondern Teil einer besorgniserregenden Serie. Bereits Mitte Februar traf es den Fintech-Anbieter Figure Technology Solutions. Die Gruppe ShinyHunters gab sich als Urheber eines Leaks von fast einer Million Nutzerdatensätzen aus – inklusive E-Mail-Adressen, Geburtsdaten und Telefonnummern.

Diese Datenflut ist brandgefährlich. Sie liefert Angreifern perfektes Material für gezielte Phishing-Kampagnen, die wiederum zur Beschaffung weiterer Passwörter und finanzieller Zugangsdaten genutzt werden.

Die Dimension des Problems zeichnete sich schon im Januar ab. Ein Sicherheitsforscher entdeckte damals eine ungesicherte Datenbank mit rund 149 Millionen gestohlenen Login-Daten für globale Tech-Plattformen, Streamingdienste und Finanzkonten. Solche Sammlungen entstehen oft durch Infostealer-Malware, die automatisch gespeicherte Passwörter aus infizierten Browsern ausliest.

Die aktuelle Flut an gestohlenen Nutzerdaten dient Kriminellen oft als Basis für hochprofessionelle Phishing-Attacken auf Unternehmen. Mit dieser praxisnahen 4-Schritte-Anleitung erfahren IT-Verantwortliche, wie sie psychologische Angriffsmuster erkennen und ihre Organisation wirksam vor Hacker-Methoden schützen. Kostenloses Anti-Phishing-Paket herunterladen

Systematisches Versagen vor den Augen der Aufseher

Das wiederkehrende Muster der Lecks zeigt eine klare Diskrepanz: Zwischen den hochtrabenden Datenschutzrichtlinien der Unternehmen und der gelebten Praxis klafft eine riesige Lücke. Die Speicherung von Passwörtern im Klartext und die Wiederverwendung schwacher Zugangsdaten durch Systemadministratoren verstoßen direkt gegen etablierte Sicherheitsstandards.

Die regulatorischen Konsequenzen werden schärfer. Als Präzedenzfall verhängte die britische Datenschutzbehörde ICO im Dezember 2025 eine Geldstrafe von umgerechnet 1,4 Millionen Euro gegen LastPass UK Ltd. Der Vorwurf: unzureichende technische Schutzmaßnahmen während eines Datendiebstahls 2022. Die Botschaft der Aufseher ist klar: Technologiekonzerne müssen den Zugang zu ihren Systemen rigoros beschränken und Sicherheitsupdates zeitnah einspielen.

Die monatelange Verzögerung bei der Behebung der React2Shell-Schwachstelle bei LexisNexis wirft daher fundamentale Fragen auf. Wie effektiv sind interne Compliance-Prüfungen wirklich, wenn bekannte, kritische Lücken monatelang offen bleiben?

Die Zukunft: Mehr Druck, strengere Regeln

Die Ereignisse des ersten Quartals 2026 werden die Landschaft der Unternehmenssicherheit nachhaltig verändern. Branchenbeobachter erwarten, dass Aufsichtsbehörden den Umgang mit Cloud-Zugangsdaten und Mitarbeiterpasswörtern viel strenger unter die Lupe nehmen werden.

Der Zwang zur Multi-Faktor-Authentifizierung und das komplette Verbot der Klartext-Speicherung von Zugangsdaten in der Cloud werden wahrscheinlich verbindliche Standards. Unternehmen dürften mit kürzeren Meldepflichten und deutlich höheren Geldstrafen bei nachgewiesener Fahrlässigkeit konfrontiert werden.

Die Sicherheitsbranche rät zu einem grundlegenden Strategiewechsel: weg von reaktiven Schadensmeldungen nach einem Hack, hin zum proaktiven Threat Hunting. Unbefugter Zugriff muss erkannt werden, bevor gigantische Datenbanken abfließen können.

Die wiederholte Offenlegung von Millionen Passwörtern ist mehr als nur ein Imageschaden. Sie ist ein Weckruf: Robuster Datenschutz ist kein lästiges Compliance-Häkchen, sondern eine fundamentale betriebliche Notwendigkeit in einer zunehmend vernetzten digitalen Wirtschaft. Die Tech-Branche steht vor der dringenden Aufgabe, verlorengegangenes Vertrauen zurückzugewinnen. Die Uhr tickt.