Unternehmen nutzen IdentitätKontrollen jeden Tag zur Bestätigungwer ihre Kunden sind. Viele von ihnen vertrauen diese Aufgabe externen Unternehmen an. Eines dieser Unternehmen ist Onfido, das jetzt Teil von Entrust ist. Nun haben Berichte über unbefugte Zugriffe im Zusammenhang mit Onfido neue Bedenken darüber geweckt, wie Unternehmen sensible Kundendaten schützen.
Bisher sind nur wenige Details öffentlich geworden. Online-Berichten zufolge hat jemand möglicherweise auf Ausweisdokumente und Gesichts-Selfies zugegriffen, die Kunden bei Identitätsprüfungen hochgeladen hatten. Den Berichten zufolge informierte das französische Fintech-Unternehmen Spiko einige betroffene Benutzer etwa zehn Monate nach Entdeckung des Vorfalls.
Zum Zeitpunkt des Verfassens dieses Artikels haben weder Entrust noch Spiko detaillierte öffentliche Informationen veröffentlicht, die genau erklären, was passiert ist oder wie viele Menschen möglicherweise betroffen waren. Dadurch bleiben viele Fragen unbeantwortet. Dennoch sagen Cybersicherheits- und Datenschutzexperten, dass dieser Fall ein viel größeres Problem aufzeigt, das über ein einzelnes Unternehmen hinausgeht.
Unternehmen speichern einige der sensibelsten Informationen von Menschen
Anbieter von Identitätsprüfungen spielen in der heutigen Online-Welt eine wichtige Rolle. Banken, Kryptowährungsbörsen, Fintech-Unternehmen, Online-Shops und viele andere Unternehmen nutzen diese Unternehmen, um die Identität ihrer Kunden zu bestätigen. Um diese Überprüfungen durchzuführen, laden Kunden häufig Reisepässe, Personalausweise, Führerscheine, Adressnachweise und Gesichts-Selfies hoch.
Das bedeutet, dass diese Anbieter über riesige Sammlungen hochsensibler personenbezogener Daten verfügen. Dies macht sie auch zu attraktiven Zielen für Cyberkriminelle. Im Gegensatz zu Passwörtern können Menschen ihr Gesicht oder viele von der Regierung ausgestellte Ausweisdokumente nicht einfach ersetzen, nachdem sie preisgegeben wurden. Ein gestohlenes Passbild oder ein Selfie zur Gesichtserkennung könnte für Kriminelle viele Jahre lang nützlich bleiben.
Dies ist einer der Gründe, warum Datenschutzexperten weiterhin vor dem Schutz von Identitätsdaten warnen. Der gemeldete Vorfall ereignet sich, während Entrust nach der Übernahme des Identitätsprüfungsunternehmens Anfang des Jahres weiterhin Onfido in sein Geschäft aufnimmt.
Entrust hat seine Identitätssicherheitsdienste durch die Kombination der Technologie von Onfido mit seinen eigenen Produkten erweitert. Auch wenn die Ermittler nicht viele Details zu dem gemeldeten Vorfall bestätigt haben, hat der Fall die öffentliche Diskussion darüber, wie Anbieter von Identitätsprüfungen Kundendaten schützen, neu entfacht.
Datenschutzexperten warnen weiterhin vor zentralisierten KYC-Systemen
Der gemeldete Vorfall kommt auch zu einem Zeitpunkt, an dem immer mehr Unternehmen und Regierungen digitale Identitätsprüfungen ausweiten. Viele Finanzdienstleistungen, Online-Plattformen und Altersverifizierungssysteme verlassen sich mittlerweile auf Drittanbieter, um Kunden zu verifizieren. Datenschützer äußern seit Jahren Bedenken gegen diesen Ansatz.
Sie sagen, dass die Platzierung von Millionen von Identitätsdatensätzen in einer kleinen Anzahl von Unternehmen wertvolle Ziele für Angreifer darstellt. Selbst wenn Unternehmen strenge Sicherheitsmaßnahmen anwenden, erhöht die Speicherung so vieler Informationen an einem Ort die möglichen Auswirkungen, wenn ein Vorfall eintritt.
Die Debatte über den digitalen Datenschutz ist global.China hat die Kontrollen für den Internetzugang verschärft, einschließlich eines Vorgehens gegen unbefugte VPN-Nutzung.
Ein einziges Sicherheitsereignis könnte Informationen offenlegen, die vielen Personen gleichzeitig gehören. Entrust hat dieses wachsende Problem auch in seinem Identitätsbetrugsbericht 2026 erörtert.
Laut Entrust werden Identitätsangriffe von Jahr zu Jahr ausgereifter. Das Unternehmen sagte, dass Kriminelle jetzt mehr KI-generierte Deepfakes, biometrische Betrugsversuche und andere identitätsbasierte Angriffe nutzen. Entrust ist davon überzeugt, dass Organisationen sich nicht nur auf eine einzige Identitätsprüfung verlassen sollten. Stattdessen sagt das Unternehmen, dass Unternehmen die Identität ihrer Kunden während der gesamten Beziehung schützen sollten.
Der gemeldete Onfido-Vorfall spiegelt auch einen breiteren Trend in der Identitätsprüfungsbranche wider. Mehrere Anbieter haben in den letzten Jahren Sicherheitsvorfälle oder Fälle von Datenexposition offengelegt.
Diese Ereignisse haben zu einer stärkeren Aufmerksamkeit für die Art und Weise geführt, wie KYC-Anbieter Kundeninformationen sammeln, speichern und schützen. Forscher warnen auch weiterhin davor, dass Identitätsprüfungsunternehmen einige der sensibelsten Informationen in der digitalen Welt verwalten.
Ein Großteil dieser Anbieter speichert staatlich ausgestellte Ausweisdokumente zusammen mit biometrischen Informationen, was ihre Datenbanken besonders wertvoll macht, falls Angreifer jemals Zugriff erhalten.
Viele Fragen sind noch immer unbeantwortet
Viele Fakten über den gemeldeten Onfido-Vorfall bleiben unbekannt. Beamte haben die Gesamtzahl der betroffenen Benutzer nicht bestätigt. Sie haben auch nicht genau bestätigt, auf welche Informationen jemand zugegriffen hat. Bis weitere Details veröffentlicht werden, werden Unternehmen, die auf externe Anbieter zur Identitätsprüfung angewiesen sind, wahrscheinlich mit mehr Fragen von Kunden konfrontiert sein.
Die Leute möchten vielleicht wissen, wie lange Unternehmen Identitätsdaten aufbewahren. Sie fragen sich möglicherweise auch, wie schnell Unternehmen reagieren, nachdem sie einen Sicherheitsvorfall entdeckt haben. Eine weitere wichtige Frage ist, wie offen Unternehmen Informationen mit betroffenen Nutzern teilen. Der gemeldete Vorfall hat auch die Debatte über die Risiken neu entfacht, die mit der Aufbewahrung großer Mengen an KYC-Daten bei externen Anbietern einhergehen.
Da Regierungen und Privatunternehmen die Anforderungen an die digitale Identität immer weiter ausweiten, wird der Schutz dieser Informationen noch wichtiger. Die Überprüfung der Identität einer Person ist nur ein Teil der Arbeit.
Unternehmen müssen außerdem Reisepässe, Personalausweise, Gesichts-Selfies und andere persönliche Aufzeichnungen schützen, nachdem sie diese gesammelt haben. Der gemeldete Onfido-Vorfall wird vorerst noch geprüft und viele wichtige Details müssen noch bestätigt werden.
Bis weitere Informationen verfügbar sind, erinnert der Fall Unternehmen weiterhin daran, dass das Sammeln von Identitätsdaten auch die Verantwortung für deren Sicherheit mit sich bringt.
