[datensicherheit.de, 25.02.2026] Laut einer ESET-Meldung vom 24. Februar 2026 hat in Frankreich vor Kurzem ein einziger kompromittierter Login dazu geführt, dass über eine Million Zugangsdaten von Bankkonten in den Händen eines Hackers gelandet sind – kein einziger Server habe dafür gehackt, keine Schadsoftware installiert werden müssen. Mit solchen erbeuteten Informationen könnten Cyberkriminelle in Zukunft Identitäten stehlen und Finanzbetrug begehen. ESET sieht in diesem Vorfall einen „Weckruf für den gesamten DACH-Raum“ und gibt IT-Verantwortlichen Empfehlungen, um die eigene IT-Sicherheit ihrer Organisationen härten zu können.

Angreifer konnte mithilfe gestohlener Zugangsdaten eines Regierungsbeamten Zugang zu FICOBA erlangen

Das französische Wirtschaftsministerium hat demnach bestätigt, dass sich ein Angreifer mithilfe gestohlener Zugangsdaten eines Regierungsbeamten Zugang zur nationalen Datenbank FICOBA verschaffte.

• Dadurch habe der Hacker Zugang zu Daten von rund 1,2 Millionen Bankkonten erlangen können – betroffen seien Kontonummern (IBANs), Namen, Adressen und in Teilen Steueridentifikationsnummern. Kein einziger Server sei dafür gehackt, kein technisches System überwunden worden – ein einziger kompromittierter Login habe genügt.

Benoît Grunemwald, „Cyber Security Evangelist“ bei ESET France, berichtet: „Der Vorfall rund um die FICOBA-Datenbank zeigt keine klassische technische Schwachstelle, sondern etwas Beunruhigendes: Der Zugang zu hochsensiblen Daten erfordert nicht immer einen direkten Angriff auf Server. Organisatorische Lücken in der Identitätsverwaltung, Authentifizierung und Zugriffskontrolle können genauso effektiv ausgenutzt werden.“ Die betroffenen Datenkategorien – von IBANs bis zu Steueridentifikationsnummern – seien eine gefährliche Grundlage für Finanzbetrug und Identitätsdiebstahl, so Grunemwalds Warnung.

Aktuelle Erkenntnisse der ESET-Forschung zur „Infostealer“-Bedrohung

Der FICOBA-Fall sei indes kein Einzelphänomen, sondern das Lehrbuchbeispiel einer Angriffsmethode, welche ESET-Forscher seit Jahren beobachteten und dokumentierten. Informationsdiebe wie „SnakeStealer“ extrahierten gezielt Passwörter aus Browsern, E-Mail-Clients und Datenbanken, schnitten Tastatureingaben mit und fertigten Screenshots an.

Zahlen aus ESETs eigener Telemetrie:

• +111 Prozent
  Anstieg von „SnakeStealer“-Detektionen im ersten Halbjahr 2025 gegenüber dem zweiten Halbjahr 2024. „SnakeStealer“ sei derzeit der am häufigsten detektierte „Infostealer“ in ESETs weltweiter Telemetrie und mache rund 20 Prozent aller „Infostealer“-Detektionen aus (Quelle: „ESET Threat Report H1 2025“, welivesecurity.com).
• 2,1 Milliarden
  Zugangsdaten – welche allein 2024 durch „Infostealer“-Malware gestohlen wurden – seien über 60 Prozent aller weltweit kompromittierten „Credentials“ (Quelle: „Flashpoint Global Threat Intelligence Report“).
• -86 Prozent
  Rückgang der „Lumma Stealer“-Detektionen im zweiten Halbjahr 2025, „nachdem ESET gemeinsam mit globalen Strafverfolgungsbehörden die Infrastruktur dieses Infostealers zerschlagen hat“ (Quelle: „ESET Threat Report H2 2025“, welivesecurity.com).

ESET zur Relevanz des FICOBA-Vorfalls für die DACH-Region

Dieser Vorfall in Frankreich sei ein Warnsignal auch für den gesamten DACH-Raum (Deutschland-Österreich-Schweiz). ESET empfiehlt IT-Verantwortlichen in Behörden, Finanzinstituten und KRITIS-Betreibern, daher folgende Maßnahmen kritisch zu prüfen:

• „Privileged Access Management“ (PAM)
  Wer hat Zugriff auf welche Systeme und wird dieser Zugriff regelmäßig überprüft und entzogen, wenn er nicht mehr benötigt wird?
• Multi-Faktor-Authentifizierung (MFA)
  Sind alle privilegierten Konten mit einem zweiten Faktor gesichert? Damit gestohlene Passwörter allein für einen Zugang nicht ausreichen!
• Zero-Trust-Prinzip
  Kein Nutzer, kein Gerät oder kein System sollten pauschal als vertrauenswürdig gelten – weder innerhalb noch außerhalb des eigenen Netzwerks.
• NIS-2-Konformität
  Für betroffene Unternehmen und Behörden in Deutschland und Österreich gelten mit Umsetzung der NIS‑2‑Richtlinie strengere Meldepflichten bei Sicherheitsvorfällen und Datenpannen!
• „Infostealer“-Schutz:
  Klassische „Endpoint Protection“ allein bietet gegen moderne „Infostealer“ in der Regel keinen ausreichenden Schutz: Ergänzend sollten mindestens EDR-Lösungen und idealerweise ein mehrschichtiger, auf „Threat Intelligence“ gestützter Ansatz zum Einsatz kommen!

ESET erläutert Hintergrund des unbefugten Zugriffs auf FICOBA-Datenbank

Am 18. Februar 2026 habe das französische Wirtschaftsministerium gegenüber der Tageszeitung „Le Monde“ bestätigt, dass ein Angreifer unbefugten Zugriff auf die FICOBA-Datenbank („Fichier national des Comptes Bancaires et Assimilés“) erlangt habe.

• FICOBA ist das nationale Bankkontenverzeichnis Frankreichs – eine zentrale Infrastruktur, auf welche Behörden im Rahmen von Steuerprozessen und Sozialleistungen zugreifen.

Der cyberkriminelle Zugang sei eben nicht über eine Sicherheitslücke im System selbst erfolgt, sondern über gestohlene Anmeldedaten eines Beamten mit legitimen Zugriffsrechten. Die Behörden hätten jedoch rasch reagiert: Zugangsbeschränkungen seien verhängt, Strafanzeige erstattet, die französische Datenschutzbehörde CNIL sowie ANSSI (Agence nationale de la sécurité des systèmes d’information) eingeschaltet worden.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

eseT, Presse & Média
Notre expert est à votre disposition pour commenter l’actualité, répondre à toutes vos questions et partager son analyse du marché ainsi que ses perspectives sur le secteur. / Benoît Grunemwald – Expert cybersécurité

RÉPUBLIQUE FRANÇAISE, Service Public, 06.01.2025
Fichier des comptes bancaires (Ficoba)

BORN/CITY, 22.02.2026
Massiv-Trojaner und FICOBA-Leck erschüttern Online-Banking / Sicherheitsforscher warnen vor einer Doppelkrise: Ein neuer Trojaner ermöglicht die Fernsteuerung von Smartphones, während in Frankreich Daten von 1,2 Millionen Konten gestohlen wurden.

datensicherheit.de, 13.01.2025
Cyber-Kriminellen bevorzugen Login statt Einbruch / Personenbezogene Daten Hauptziel der Cyber-Angreifer

[datensicherheit.de, 21.11.2022] Die Verbraucherzentrale NRW warnt in ihrer aktuellen Stellungnahme vor dem sogenannten Single-Sign-On, d.h. vor dem Login über Social-Media-Accounts: Viele Internetshops, Plattformen und Apps bieten die Möglichkeit, sich mit einem Social-Media-Account, Google- oder Amazon-Konto zu registrieren (s. „Weiter mit Facebook“, „Weiter mit Google“ etc.). Die vordergründigen Vorteile liegen auf der Hand: Keine neue Registrierung, keine zusätzliche Angabe von Daten, kein lästiges Erstellen und Merken eines weiteren Passworts. „Der Komfort birgt allerdings auch Risiken”, betont Ayten Öksüz, Datenschutzexpertin bei der Verbraucherzentrale NRW, und führt aus: „Wenn das Passwort für den eigenen Social-Media-Account in die falschen Hände gerät, erhalten Dritte Zugang zu allen Seiten, die mit diesem Account genutzt werden. Außerdem kann der Anbieter des Benutzerkontos umfassende Daten darüber sammeln, was die Personen auf anderen Internetseiten machen.”

Login per Single-Sign-On als Generalschlüssel

Viele Web-Shops, Plattformen und Apps erfordern für die Nutzung eine einmalige Registrierung, wofür in der Regel eine E-Mail-Adresse und ein Passwort benötigt werden. Manchmal müssen auch noch weitere persönliche Angaben gemacht werden. „Als äußerst praktisch erscheint es, wenn der Seitenbetreiber stattdessen oder zusätzlich die Möglichkeit bietet, sich mit einem anderen, bereits bestehenden Konto einzuloggen. Das kann zum Beispiel ein Social-Media-Account von Facebook oder ein Google- oder Amazon-Konto sein, womit auch gleich bezahlt werden kann“, so Öksüz. Hierbei spreche man im weitesten Sinne von Single-Sign-On: Das Benutzerkonto diene dann als eine Art Generalschlüssel für den Zugang zu anderen Diensten.

Missbrauch der Login-Option per Single-Sign-On

„Anfang Oktober informierte Facebook darüber, dass Kriminelle mit mehr als 400 Apps für ,Android’ und ,iOS’ die Login-Daten von ,facebook’-Mitgliedern gestohlen hätten“, berichtet Single-Sign-On. Diese hätten die Möglichkeit „Login mit Facebook“ angezeigt, über die man sich vermeintlich mit seinem „facebook“-Account habe anmelden können. „Allerdings waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen geschickt haben.“ Die hätten damit die „facebook“-Konten der Betroffenen übernehmen können. Wie bei einem Generalschlüssel für ein Haus, könne der Schaden beim Verlust eines Single-Sign-On-Account-Passworts besonders groß werden. Kriminelle hätten dann leichtes Spiel. „Wenn sie das eine Passwort kennen, erhalten sie überall Zugriff“, warnt Öksüz.

Single-Sign-On auch aus Sicht des Datenschutzes bedenklich

Unabhängig von Fragen der Sicherheit sei die Anmeldung per Single-Sign-On auch aus Sicht des Datenschutzes bedenklich. So erhielten Anbieter des Single-Sign-On oftmals Informationen aus dem öffentlichen Profil der Kunden. Öksüz stellt klar: „Das sind im Zweifel mehr Daten als bei einer regulären Registrierung erforderlich gewesen wären.“ Gleichzeitig sammelten Facebook, Google usw. Daten über das Nutzerverhalten auf all jenen Webseiten, auf denen sich Nutzer mit ihrem Profil anmelden. Aus diesen Informationen könnten umfassende persönliche Profile gebildet werden, welche dann auch Werbezwecken dienten. Das Problem laut Öksüz: „Die zielgerichtete Werbung führt nicht automatisch zum besten und günstigsten Angebot.“

Single-Sign-On beeinflusst Social-Media-Profil

Eine weitere Gefahr bestehe darin, „dass auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt“. Denn um das Login auf einer anderen Internetseite nutzen zu können, werde auf „facebook“ oder „Google“ eine entsprechende App freigeschaltet. Einige davon verlangten weitreichende Rechte, etwa im Namen der Nutzer unbemerkt Dinge zu „liken“ oder zu posten. „Die Rechte werden bei der Einrichtung des Logins aufgelistet. Wichtig ist es dabei, jeden Punkt zu lesen und (falls möglich) einzelne Rechte durch Wegklicken kleiner Haken zu entfernen“, rät Öksüz. Ferner empfiehlt sie: „Ist das bei Rechten, die man nicht erlauben will, nicht möglich, bleibt nur eines: Den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf ,Abbrechen’ zu beenden.“

Login per Single-Sign-On nicht nutzen, um möglichst wenige persönliche Daten weiterzugeben

„Wer möglichst wenig persönliche Daten weitergeben möchte, sollte den Login per Single-Sign-On nicht nutzen“, unterstreicht Öksüz. Wer indes auf den Komfort nicht verzichten möchte, sollte das entsprechende Benutzerkonto besonders gut absichern: „Dazu gehört ein starkes Passwort, das für kein anderes Konto genutzt wird.“ Idealerweise sichere man seine Konten soweit möglich auch noch über eine Zwei-Faktor-Authentifizierung ab. Login bzw. bestimmte Aktionen, wie die Bestätigung einer Zahlung, klappten dann erst durch einen zweiten Schritt – etwa die Eingabe einer per SMS erhaltenen PIN oder über die Bestätigung über eine spezielle App auf dem Smartphone.

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen
Sicher im Internet – Handy, Tablet und PC schützen