SchwachstellenDatenschutzCyberkriminalität

Millionen britische Firmen gefährdet: Kritische Sicherheitslücke in Companies House

Millionen britische Firmen gefährdet: Kritische Sicherheitslücke in Companies House
Zusammenfassung

Die britische Behörde Companies House, zuständig für das zentrale Unternehmensregister des Vereinigten Königreichs, hat eine kritische Sicherheitslücke in ihrer WebFiling-Anwendung bestätigt. Die Schwachstelle, die bereits seit Oktober 2025 existierte und erst im März 2025 entdeckt wurde, ermöglichte es authentifizierten Nutzern, auf die Konten anderer Unternehmen zuzugreifen und dort Daten einzusehen oder zu manipulieren. Betroffen waren potenziell fünf Millionen registrierte Firmen, deren sensible Informationen wie Geburtsdaten von Geschäftsführern, Privataddressen und E-Mail-Adressen hätten offengelegt werden können. Die Ausnutzung erforderte keine besonderen technischen Kenntnisse. Obwohl Companies House versichert, keinen bekannten Missbrauch festgestellt zu haben, sind die Auswirkungen auch für deutsche Unternehmen relevant: Viele deutsche Firmen unterhalten Geschäftstätigkeiten oder Tochtergesellschaften in Großbritannien und sind daher in diesem Register eingetragen. Der Vorfall verdeutlicht Risiken bei zentralen behördlichen Registern und mahnt zur erhöhten Wachsamkeit gegenüber unbefugten Änderungen von Unternehmensdaten an.

Das britische Handelsregister Companies House bestätigte am Montag eine kritische Sicherheitslücke in seiner WebFiling-Plattform. Die Schwachstelle wurde bereits am 12. März 2025 von John Hewitt vom Sicherheitsunternehmen Ghost Mail entdeckt, existierte aber bereits seit Oktober 2025 in der Anwendung.

Das Sicherheitsloch ermöglichte es jedem angemeldeten Benutzer, auf die Konten anderer Unternehmen zuzugreifen. Ein Angreifer hätte dadurch Zugang zu vertraulichen Informationen von insgesamt fünf Millionen registrierten Firmen erhalten können – einschließlich Geburtsdaten von Geschäftsführern, privaten Wohnadressen und E-Mail-Adressen.

Besonders bemerkenswert war die Trivialität des Exploits: Ein Angreifer musste lediglich die Option “für ein anderes Unternehmen einreichen” auswählen, die eindeutige Unternehmenskennung eingeben und bei einer Authentifizierungsaufforderung mehrmals den Zurück-Button drücken – schon war er im Zielkonto angemeldet. Das Verfahren war derart einfach, dass es keinerlei technische Fachkenntnisse erforderte.

Darüber hinaus hätte ein Angreifer Unternehmensdetails ändern und nicht autorisierte Anmeldungen vornehmen können. Companies House betonte zwar, dass die Schwachstelle nur von authentifizierten Benutzern ausgenutzt werden konnte, und behauptet, von keinen bekannten Exploitationen Kenntnis zu haben. Dennoch handelt es sich um ein erhebliches Sicherheitsversäumnis bei einer kritischen Regierungsinstitution.

Die Behörde versicherte, dass Passwörter und Daten des Identitätsverifizierungsprozesses (etwa Reisepässe) nicht exponiert wurden und Änderungen an bereits eingereichten Dokumenten nicht möglich waren. Allerdings räumte man ein, dass ein Angreifer potentiell große Datenmengen hätten systematisch extrahieren können.

Für deutsche und internationale Unternehmen mit britischen Zweigstellen oder Tochterunternehmen ist dies relevant. Die Behörde fordert betroffene Firmen auf, ihre Einträge und Einreichungshistorie zu überprüfen und Unregelmäßigkeiten zu melden. Das Incident offenbart einmal mehr die Fragilität kritischer digitaler Infrastrukturen auch in etablierten Wirtschaftsnationen und unterstreicht die Notwendigkeit rigider Sicherheitstests bei staatlichen E-Government-Systemen.

Ähnliche Artikel