DatenschutzHackerangriffeCyberkriminalität

DocketWise-Datenpanne: 143.000 Menschen betroffen – Sensible Daten kompromittiert

Von CyberDeutsch Redaktion
DocketWise-Datenpanne: 143.000 Menschen betroffen – Sensible Daten kompromittiert
Zusammenfassung

Ein schwerwiegender Datenleck bei der Immigrations- und Rechtsfall-Management-Plattform DocketWise hat über 143.000 Menschen betroffen und hochsensible persönliche Informationen gefährdet. Unbekannte Angreifer verschafften sich Zugang zu den Systemen durch gestohlene Anmeldedaten für Partner-Repositories und konnten sensible Daten wie Sozialversicherungsnummern, Führerscheindaten, Reisepassnummern, finanzielle Kontoinformationen, Kreditkartendaten und medizinische Informationen entnehmen. Das Unternehmen entdeckte den Vorfall erst im Oktober 2025 und benachrichtigt die Betroffenen seit April 2026. Für deutsche Nutzer, Anwaltskanzleien und Behörden ist dieser Vorfall bedenklich, da internationale Rechtsfallverwaltungsplattformen auch hierzulande eingesetzt werden und ähnliche Sicherheitslücken aufweisen könnten. Die Attacke verdeutlicht eine wachsende Schwachstelle: Viele Organisationen verlassen sich auf Third-Party-Systeme ohne adequate Sicherheitskontrollen. Deutsche Datenschutzbehörden und Unternehmen sollten ihre Lieferantenketten überprüfen und stärkere Zugangskontrollen bei sensiblen Partnersystemen implementieren, um vergleichbare Vorfälle zu verhindern.

DocketWise startete die Ermittlungen im Oktober 2025, nachdem ein Angreifer Zugang zu Third-Party-Partner-Repositories erlangt hatte. Das Unternehmen nutzte diese geklonten Repositories als Datenmigrations-Pipeline für seine Anwendung – eine Konstellation, die zeigt, wie Schwachstellen in der Lieferketten-Sicherheit zu großflächigen Datenpannen führen können.

Die offengelegten Informationen waren außerordentlich umfangreich und sensibel: Namen, Geburtsdaten, Sozialversicherungsnummern, Führerschein- und Reisepassnummern gehören ebenso dazu wie Bankkontonummern, Kreditkartendaten, Steueridentifikationsnummern, Krankenversicherungsnummern und medizinische Behandlungsinformationen. Auch Benutzernamen und Zugangsdaten zu nicht-finanziellen Konten wurden kompromittiert.

Besonders kritisch: Die Plattform enthielt Unterlagen von Anwaltskanzleien, darunter personenbezogene Daten von Mandanten. Dies hat nicht nur technische, sondern auch juristische Konsequenzen. Nach DSGVO müssen auch deutsche Anwaltskanzleien und deren betroffene Mandanten benachrichtigt werden.

Das Unternehmen begann Anfang April 2025 mit Benachrichtigungen und meldete dem Maine Attorney General zunächst etwa 116.000 betroffene Personen. In einer aktualisierten Meldung korrigierte DocketWise diese Zahl auf 143.480 Personen nach oben. Die Dunkelziffer könnte weiter wachsen, da die Untersuchung andauert.

Als Maßnahmen bietet DocketWise zwei Jahre kostenlose Kreditüberwachung und Identitätswiederherstellungsdienste an – eine Standard-Reaktion, die jedoch für europäische Betroffene weniger hilfreich ist, da deutsche und europäische Kreditkartensysteme anders funktionieren als US-amerikanische.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt kontinuierlich vor solchen Supply-Chain-Angriffen, die sich auf legitime Zugangsdaten konzentrieren. Dies unterstreicht die Notwendigkeit verbesserter Third-Party-Risk-Management-Prozesse. Unternehmen sollten verstärkt auf Zugriffskontrollen, Monitoring und Segmentierung achten, um solche Szenarien zu verhindern.

Ähnliche Artikel