SchwachstellenDatenschutzHackerangriffe

Britisches Unternehmensregister: Fünf Millionen Unternehmen fünf Monate lang gefährdet

Britisches Unternehmensregister: Fünf Millionen Unternehmen fünf Monate lang gefährdet
Zusammenfassung

# Britische Companies House bestätigt Sicherheitslücke mit massiver Reichweite Ein kritischer Sicherheitsfehler in der WebFiling-Plattform von Companies House, der britischen Behörde für Unternehmensregistrierung, hat fünf Millionen Firmen betroffen und sensitive Daten seit Oktober 2025 exponiert. Die Lücke ermöglichte es authentifizierten Nutzern, durch einfache Browser-Navigation auf Unternehmensseiten zuzugreifen und teilweise Informationen Dritter zu verändern – ohne dass zusätzliche Authentifizierung erforderlich war. Betroffene Daten umfassen Geburtsdaten, Privatwohnungen und E-Mail-Adressen von Geschäftsführern sowie mögliche unbefugte Eintragungen wie Jahresabschlüsse oder Geschäftsführerwechsel. Die Sicherheitslücke wurde erst nach fünf Monaten entdeckt, nachdem die Behörde ihre Systeme im Oktober aktualisiert hatte. Während Companies House derzeit keine Hinweise auf tatsächliche Missbräuche hat, können deutsche Unternehmen mit britischen Tochtergesellschaften oder Geschäftsbeziehungen betroffen sein. Der Fall verdeutlicht Risiken bei der Modernisierung von Infrastrukturbehörden und unterstreicht die Bedeutung robuster Sicherheitstests vor Systemupdates, auch für in Deutschland ansässige Organisationen mit UK-Registrierungen.

Das britische Unternehmensregister Companies House hat am Montag offiziell eine kritische Sicherheitslücke bestätigt, die fünf Millionen registrierte Unternehmen über fünf Monate hinweg gefährdet hat. Der WebFiling-Service wurde daraufhin zur Behebung der Schwachstelle abgeschaltet und ist mittlerweile wieder online.

Die Lücke wurde zunächst von John Hewitt von Ghost Mail entdeckt, dessen Meldung jedoch unbeantwortet blieb. Daraufhin machte Dan Neidle, Gründer der Non-Profit-Organisation Tax Policy Associates, die Schwachstelle öffentlich und beschrieb das Exploitationsverfahren detailliert: Ein angemeldeter Nutzer könne über sein eigenes Unternehmensdashboard zur Option “für ein anderes Unternehmen einreichen” navigieren, die Unternehmensnummer eines beliebigen anderen Unternehmens eingeben und dann mit Hilfe des Zurück-Buttons eines Browsers zum Dashboard des fremden Unternehmens gelangen – ohne Authentifizierung erforderlich zu sein.

Nach eigenen Angaben wurde die Sicherheitslücke durch ein System-Update im Oktober 2025 eingeführt. Companies House bestätigt, dass die Schwachstelle es ermöglicht hätte, persönliche Daten einzelner Unternehmen einzusehen und möglicherweise unbefugte Änderungen an Unternehmenseinträgen vorzunehmen.

Zu den exponierten Daten gehörten laut der Behörde Geburtsdaten, Wohnadressen und E-Mail-Adressen von Geschäftsführern. Besonders bemerkenswert: Die Agentur betont, dass Passwörter nicht kompromittiert wurden und dass kritische Daten aus der Identitätsüberprüfung – wie Passinformationen – nicht zugänglich waren. Zudem konnten bereits eingereichte Dokumente wie Jahresberichte nicht verändert werden.

Companies House hat den Vorfall dem britischen Information Commissioner’s Office (ICO) und dem National Cyber Security Centre (NCSC) gemeldet. Die Behörde untersucht derzeit, ob die Lücke tatsächlich ausgenutzt wurde. Nach bisherigem Stand liegen keine Meldungen über missbräuchliche Zugriffe vor, doch die Untersuchung läuft noch.

Die Affäre verdeutlicht erneut die Risiken großflächiger Datenexponierung durch softwareseitige Sicherheitsfehler. Für Unternehmen mit Aktivitäten in Großbritannien könnten die Folgen erheblich sein – sowohl hinsichtlich potentieller Identitätsdiebstähle als auch möglicher Geschäftsschäden durch unbefugte Änderungen an Firmendaten.

Ähnliche Artikel