1,2 Millionen Bankkonten kompromittiert – kein Server-Hack, sondern ein gestohlener Login
ESET-Experten warnen: Gestohlene Zugangsdaten sind längst das gefährlichste Angriffswerkzeug
Jena (pts018/24.02.2026/11:00)
Das französische Wirtschaftsministerium hat bestätigt, dass sich ein Angreifer mithilfe gestohlener Zugangsdaten eines Regierungsbeamten Zugang zur nationalen Datenbank FICOBA verschaffte. Dadurch verschaffte sich der Hacker Zugang zu Daten von rund 1,2 Millionen Bankkonten. Betroffen sind Kontonummern (IBANs), Namen, Adressen und in Teilen Steueridentifikationsnummern. Kein einziger Server wurde gehackt. Kein technisches System wurde überwunden, ein einziger kompromittierter Login genügte.
"Der Vorfall rund um die FICOBA-Datenbank zeigt keine klassische technische Schwachstelle, sondern etwas Beunruhigendes: Der Zugang zu hochsensiblen Daten erfordert nicht immer einen direkten Angriff auf Server. Organisatorische Lücken in der Identitätsverwaltung, Authentifizierung und Zugriffskontrolle können genauso effektiv ausgenutzt werden. Die betroffenen Datenkategorien von IBANs bis zu Steueridentifikationsnummern sind eine gefährliche Grundlage für Finanzbetrug und Identitätsdiebstahl", sagt Benoit Grunemwald, Cyber Security Evangelist, ESET France.
Was die ESET-Forschung dazu sagt
Der FICOBA-Fall ist kein Einzelphänomen, sondern das Lehrbuchbeispiel einer Angriffsmethode, die ESET-Forscher seit Jahren beobachten und dokumentieren. Informationsdiebe wie SnakeStealer extrahieren gezielt Passwörter aus Browsern, E-Mail-Clients und Datenbanken, schneiden Tastatureingaben mit und fertigen Screenshots an. Die Zahlen aus ESETs eigener Telemetrie sprechen eine klare Sprache:
- +111 Prozent: Anstieg von SnakeStealer-Detektionen in H1 2025 gegenüber H2 2024. SnakeStealer ist derzeit der am häufigsten detektierte Infostealer in ESETs weltweiter Telemetrie und macht rund 20 Prozent aller Infostealer-Detektionen aus. (Quelle: ESET Threat Report H1 2025, welivesecurity.com)
- 2,1 Milliarden: Zugangsdaten, die allein 2024 durch Infostealer-Malware gestohlen wurden, sind über 60 Prozent aller weltweit kompromittierten Credentials. (Quelle: Flashpoint Global Threat Intelligence Report)
- -86 Prozent: Rückgang der Lumma Stealer-Detektionen in H2 2025, nachdem ESET gemeinsam mit globalen Strafverfolgungsbehörden die Infrastruktur dieses Infostealers zerschlagen hat. (Quelle: ESET Threat Report H2 2025, welivesecurity.com)
Relevanz für Deutschland, Österreich und die Schweiz
Der Vorfall in Frankreich ist ein Warnsignal für den gesamten DACH-Raum. ESET empfiehlt IT-Verantwortlichen in Behörden, Finanzinstituten und KRITIS-Betreibern, folgende Maßnahmen kritisch zu prüfen:
- Privileged Access Management (PAM): Wer hat Zugriff auf welche Systeme und wird dieser Zugriff regelmäßig überprüft und entzogen, wenn er nicht mehr benötigt wird?
- Multi-Faktor-Authentifizierung (MFA): Sind alle privilegierten Konten mit einem zweiten Faktor gesichert? Gestohlene Passwörter allein dürfen nicht ausreichen.
- Zero-Trust-Prinzip: Kein Nutzer, kein Gerät oder kein System sollte pauschal als vertrauenswürdig gelten. Dies gilt weder innerhalb noch außerhalb des eigenen Netzwerks.
- NIS2-Konformität: Für betroffene Unternehmen und Behörden in Deutschland und Österreich gelten mit Umsetzung der NIS‑2‑Richtlinie strengere Meldepflichten bei Sicherheitsvorfällen und Datenpannen.
- Infostealer-Schutz: Klassische Endpoint Protection allein bietet gegen moderne Infostealer in der Regel keinen ausreichenden Schutz. Ergänzend sollten mindestens EDR-Lösungen und idealerweise ein mehrschichtiger, Threat‑Intelligence‑gestützter Ansatz zum Einsatz kommen.
Hintergrund: Was ist passiert
Am 18. Februar 2026 bestätigte das französische Wirtschaftsministerium gegenüber der Tageszeitung Le Monde, dass ein Angreifer unbefugten Zugriff auf die FICOBA-Datenbank (Fichier national des Comptes Bancaires et Assimilés) erlangt hat. FICOBA ist das nationale Bankkontenverzeichnis Frankreichs, eine zentrale Infrastruktur, auf die Behörden im Rahmen von Steuerprozessen und Sozialleistungen zugreifen.
Der Zugriff erfolgte nicht über eine Sicherheitslücke im System selbst, sondern über gestohlene Anmeldedaten eines Beamten mit legitimen Zugriffsrechten. Die Behörden reagierten rasch: Zugangsbeschränkungen wurden verhängt, Strafanzeige erstattet, die französische Datenschutzbehörde CNIL sowie ANSSI (Agence nationale de la sécurité des systèmes d'information) wurden eingeschaltet.
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Michael Klatte |
| Tel.: | +49 3641 3114 257 |
| E-Mail: | michael.klatte@eset.de |
| Website: | www.eset.de |
