Church's Chicken: Unbestätigte Datenleck-Meldungen sorgen für Verunsicherung

Cybersecurity-Forscher beobachten unbestätigte Meldungen über ein angebliches Datenleck bei Church’s Chicken. Der Vorfall erinnert an die großen Zahlungskarten-Leaks der Fast-Food-Kette von 2019.

Seit Ende Dezember 2025 kursieren in Fachkreisen Warnungen vor einem möglichen Sicherheitsvorfall bei der US-Fast-Food-Kette Church’s Chicken. Bisher gibt es jedoch weder eine Bestätigung des Unternehmens noch handfeste Beweise. Die Verunsicherung führt dazu, dass auch der Schwesterkonzern Checkers Drive-In Restaurants wieder in den Fokus rückt – obwohl für diese Marke aktuell keine neuen Vorfälle gemeldet sind. Ein Statusbericht.

Was ist über das angebliche Datenleck bekannt?

Auslöser der aktuellen Diskussion war eine Warnmeldung der Threat-Intelligence-Plattform Brinztech am 18. Dezember 2025. Ein Nutzer in einem Darknet-Forum behauptete demnach, im Besitz einer Datenbank mit etwa 21.200 Kundendatensätzen von Church’s Chicken zu sein.

Die angeblichen Daten sollen aus dem Zeitraum vom 1. bis 30. November 2025 stammen und personenbezogene Informationen (PII) wie Namen, Telefonnummern, E-Mail-Adressen und Bestellverläufe enthalten. Eine zweite Plattform, Botcrawl, griff die Meldung am 21. Dezember auf.

Aktuelle Gerüchte um ein Datenleck bei Church’s Chicken zeigen, wie schnell persönliche Kundendaten in falsche Hände geraten können. Ein kostenloses E‑Book erklärt, welche Sofortmaßnahmen Restaurants und Verbraucher jetzt ergreifen sollten, wie man Phishing erkennt und welche Meldepflichten gelten. Mit praxisnahen Schritt‑für‑Schritt‑Anleitungen, Checkliste und Empfehlungen zur Kreditüberwachung – auch ohne eigene IT‑Abteilung sofort umsetzbar. Jetzt kostenlosen Cyber-Security-Report herunterladen

Doch bis heute, dem 11. Januar 2026, bleibt der Vorfall unbestätigt. Church’s Chicken oder dessen Mutterkonzern High Bluff Capital Partners haben weder eine Pressemitteilung veröffentlicht noch betroffene Kunden informiert. In der Cybersecurity-Branche ist es nicht unüblich, dass Angreifer alte Daten neu verpacken oder frei erfundene Behauptungen aufstellen, um ihren Ruf in kriminellen Foren zu steigern.

Warum fehlt eine offizielle Bestätigung?

Die ausbleibende Stellungnahme des Unternehmens ist aus regulatorischer Sicht zunächst nicht ungewöhnlich. Church’s Chicken ist seit 2021 ein privates Unternehmen und unterliegt nicht den strengen Meldefristen der US-Börsenaufsicht SEC, die für börsennotierte Firmen gelten.

Stattdessen greifen bundesstaatliche Meldegesetze. Diese verlangen eine Benachrichtigung der Betroffenen und der Behörden „ohne unangemessene Verzögerung“, typischerweise innerhalb von 30 bis 60 Tagen nach der Entdeckung und Bestätigung eines Vorfalls.

Das Schweigen des Unternehmens deutet auf drei mögliche Szenarien hin:
1. Die interne forensische Untersuchung läuft noch.
2. Es hat überhaupt kein Leck gegeben; die angeblichen Daten sind gefälscht oder stammen von einem Drittanbieter.
3. Ein eventueller Vorfall wird als nicht wesentlich eingestuft, weil keine hochsensiblen Daten wie Kreditkartendetails betroffen sind.

Verbrauchern wird geraten, die Meldungen mit Vorsicht zu genießen, aber wachsam zu bleiben.

Verwechslungsgefahr: Der Unterschied zu den großen Breaches von 2019

Die aktuellen Gerüchte werden oft mit den tatsächlichen, schwerwiegenden Sicherheitsvorfällen von 2019 verwechselt. Eine klare Unterscheidung ist wichtig.

Der bestätigte Vorfall bei Church’s Chicken 2019: Im November 2019 gab das Unternehmen bekannt, dass Unbefugte die Zahlungssysteme in etwa 165 eigenen Filialen kompromittiert hatten. Dabei wurden Zahlungskartendaten abgeschöpft. Der aktuell behauptete Datensatz ist deutlich kleiner und enthält laut Angaben eine andere Art von Informationen.

Der Checkers/Rally’s-Vorfall 2019: Die Schwesterkette Checkers (zu der auch Rally’s gehört) meldete im Mai 2019 einen Malware-Angriff auf über 100 Standorte, der Kartendaten aus den Jahren 2015 bis 2019 betraf.

Wichtig: Für Checkers und Rally’s liegen keine Meldungen über neue Vorfälle im Jahr 2025 oder 2026 vor. Erhöhte Suchanfragen sind vermutlich auf algorithmische Verknüpfungen mit den alten Ereignissen zurückzuführen.

Update: Der Checkers-Class-Action-Settlement ist abgeschlossen

Für Verbraucher, die nach den rechtlichen Folgen des Checkers-Leaks von 2019 fragen: Der Gerichtsprozess ist beendet. Die Sammelklage Cotter v. Checkers Drive-In Restaurants, Inc. wurde mit einem Vergleich beigelegt.

Der Anspruchszeitraum für Entschädigungen ist geschlossen. Berechtigte Kläger, die zwischen Dezember 2015 und Oktober 2019 in betroffenen Filialen gezahlt hatten, konnten bis zu 5.000 US-Dollar für nachweisbare Kosten oder bis zu 20 US-Dollar in Restaurant-Gutscheinen erhalten. Meldungen in sozialen Medien über “neue” Entschädigungszahlungen beziehen sich auf späte Auszahlungen oder sind Fehlinformationen.

Analyse: Das veränderte Bedrohungsbild für Restaurants

Die Gastronomie bleibt ein lukratives Ziel für Cyberkriminelle. Doch die Angriffsmuster haben sich seit 2019 gewandelt.

Während Schadsoftware an Kassensystemen (POS-Malware) weiterhin eine Gefahr darstellt, rücken heute verstärkt die Datenbanken im Hintergrund von Loyalty-Programmen und Bestell-Apps in den Fokus. Genau diese Art von Kundendaten – Nutzerprofile mit Gewohnheiten und Kontaktdaten – wird im aktuellen Church’s-Chicken-Fall behauptet.

„Der Wechsel vom Abgreifen von Kreditkarten zum Ernten von personenbezogenen Daten ermöglicht andere Arten von Kriminalität“, so die Einschätzung von Sicherheitsexperten. „Kreditkarten kann man sperren. Eine geleakte Historie persönlicher Gewohnheiten nährt hingestens gezielte Phishing- und Social-Engineering-Angriffe.“

Sollten sich die Meldungen bewahrheiten, würde dies eher auf ein Problem in der Lieferkette oder einer Datenbank-Konfiguration hindeuten als auf einen Malware-Angriff wie 2019.

Was Verbraucher jetzt tun können und was kommt

In den kommenden Wochen ist mit einer Klärung der Lage zu rechnen. Entweder Church’s Chicken dementiert den Vorfall nach Abschluss der Untersuchung offiziell. Oder das Unternehmen bestätigt das Leck und versendet Benachrichtigungsschreiben an betroffene Kunden, verbunden mit Angeboten für Kreditüberwachungsdienste.

Verbraucher, die besorgt sind, sollten:
* Auf eine offizielle Kommunikation per E-Mail oder Post warten.
* Vorsicht bei unerwünschten Nachrichten walten lassen, die Passwort-Änderungen oder Zahlungsdetails verlangen. Kriminelle nutzen oft bereits die Gerüchte über ein Leck, um Phishing-Kampagnen zu starten.

Für Kunden von Checkers und Rally’s gibt es derzeit keinen Anlass zu besonderer Besorgnis. Die Lage ist stabil, neue Vorfälle sind nicht bekannt.

PS: Viele Phishing-Kampagnen nutzen Gerüchte über Datenlecks, um an Zugangsdaten zu kommen. Ein kostenloser Experten-Report zeigt konkret, welche Nachrichten Sie sofort ignorieren sollten, welche Kontoeinstellungen zusätzlichen Schutz bringen und welche Schritte Betroffene schnell ergreifen können. Enthalten: 4-Schritte-Plan, Checklisten und ein handlicher Leitfaden für Betreiber und Kunden. Gratis Cyber-Security-Report jetzt herunterladen