OFII-Datenleck gefährdet persönliche Daten ausländischer Bürger

Ein Angriff auf einen Subunternehmer der französischen Einwanderungsbehörde hat sensible Daten offengelegt. Die Hintergründe sind unklar, doch die Risiken für Betroffene sind konkret.

Paris – Die digitale Sicherheit der französischen Einwanderungsverwaltung steht nach einem schweren Datenleck in der Kritik. Wie das Französische Amt für Einwanderung und Integration (OFII) bestätigte, wurden persönliche Informationen ausländischer Bürger durch einen Angriff auf einen externen Dienstleister gestohlen. Eine gerichtliche Untersuchung läuft.

Subunternehmer als schwaches Glied

Das Leck entstand nicht in den eigenen Systemen der Behörde, sondern bei einem privaten Bildungsträger. Dieser verwaltet im Auftrag des OFII die Datenbank für den „Republikanischen Integrationsvertrag“ (CIR), der Sprach- und Bürgerkurse für Langzeitaufenthalte regelt. Hacker nutzten Sicherheitslücken im Netzwerk des Subunternehmers aus.

Anfang Januar tauchten erste gestohlene Datensätze im Untergrundforum BreachForums auf. Die geleakten Informationen sind hochsensibel: Sie enthalten Namen, Geburtsdaten, Telefonnummern, Nationalitäten und sogar den konkreten Aufenthaltsstatus – etwa als Flüchtling, im Familiennachzug oder für eine Arbeitsstelle.

Ein erfolgreicher Hackerangriff auf einen Subunternehmer kann ganze Datenbanken kompromittieren – und gerade Behördendaten sind besonders attraktiv für Kriminelle. Viele Organisationen sind auf Angriffsvektoren wie Phishing und schlecht abgesicherte Dienstleister nicht ausreichend vorbereitet. Das kostenlose E-Book „Cyber Security Awareness Trends“ erklärt aktuelle Angriffsarten, praktische Sofortmaßnahmen zur Absicherung von Drittanbietern und wie Sie gezielte Betrugsversuche erkennen und abwehren. Jetzt kostenlosen Cyber-Security-Report herunterladen

Verwirrung um das Ausmaß des Lecks

Das genaue Ausmaß ist unklar und sorgt für Verunsicherung. Die OFII spricht offiziell vom Diebstahl „einer begrenzten Anzahl von Datensätzen“, die weniger als 1.000 Einträge umfassen. Der mutmaßliche Täter behauptet dagegen, im Besitz einer Datenbank mit rund 2 Millionen Einträgen zu sein. Diese Diskrepanz untersuchen nun Forensiker der Pariser Staatsanwaltschaft.

Sicherheitsexperten warnen vor den konkreten Gefahren. Die Kombination aus Kontaktdaten und Aufenthaltsstatus sei perfekt für gezielte Betrugsangriffe geeignet. „Kriminelle könnten sich als Behördenmitarbeiter ausgeben und mit Visa-Entzug drohen“, so Analysten. Das Risiko für Phishing und Identitätsdiebstahl sei enorm.

Serie von Angriffen auf den französischen Staat

Das OFII-Leck ist kein Einzelfall. Es folgt auf einen schweren Cyberangriff auf das französische Innenministerium im Dezember 2025. Damals wurden interne E-Mails und vertrauliche Dokumente gestohlen. Diese Serie nährt die Debatte um die „digitale Souveränität“ des Staates.

Kritiker monieren die Abhängigkeit von einem undurchsichtigen Netz privater Subunternehmer für Kernaufgaben der Verwaltung. Jeder externe Partner stelle ein zusätzliches Sicherheitsrisiko dar, das schwer zu kontrollieren sei. Das Innenministerium plant zwar, kritische Daten bis 2027 in eine souveräne Cloud zu migrieren. Doch dieser Fall zeigt: Die aktuellen Systeme und Schnittstellen bleiben angreifbar.

Rechtliche Konsequenzen und politischer Druck

Die OFII hat Strafanzeige erstattet und Sanktionen gegen den kompromittierten Dienstleister verhängt. Gleichzeitig prüft die Behörde im Eilverfahren alle externen Partner auf Einhaltung der EU-Datenschutzgrundverordnung (DSGVO).

Als verantwortliche Stelle („Data Controller“) könnte der OFII bei nachgewiesenen Sicherheitsversäumnissen hohe Bußgelder riskieren. Juristen betonen: „Die Verantwortung kann nicht ausgelagert werden. Der Staat bleibt der Garant für die Daten, die er von Bürgern erhebt.“

Der Digitalausschuss des Parlaments hat für nächste Woche eine Anhörung mit der OFII-Führung und dem betroffenen Subunternehmer einberufen. Das Ziel: Die Sicherheitslücken aufklären und Konsequenzen ziehen. Für die Millionen Menschen im französischen Einwanderungssystem ist der Vorfall eine deutliche Warnung vor den digitalen Risiken behördlicher Verfahren.

PS: Behörden und ihre Dienstleister müssen jetzt reagieren. Dieses Gratis-E-Book fasst bewährte Maßnahmen zusammen, mit denen öffentliche Stellen und Organisationen ihre IT-Sicherheit ohne große Investitionen stärken können. Konkrete Checklisten für die Bewertung von Drittanbietern, Schulungsmaßnahmen gegen Social-Engineering und Notfallpläne helfen, Datenlecks zu verhindern oder Schäden schnell zu begrenzen. Gratis E-Book „Cyber Security Awareness Trends“ herunterladen