Ein Wort zur Finanzierung: CypherpunkGuide trägt keine Überwachungswerbung — keine Werbenetzwerke, keine Tracking-Pixel, keine gesponserten Inhalte. Die Finanzierung ist transparent: heute Leserspenden, später ein Abo und redaktionell passende Affiliate-Partnerschaften. Wir sind unseren Leserinnen und Lesern verpflichtet, nicht den Werbetreibenden.
Ein Social-Media-Konto kannst du löschen. Aus dem Finanzamt, dem Gesundheitssystem oder der nationalen Ausweisdatenbank kannst du dich nicht löschen. Die Daten, die du einem Staat überlässt, sind keine Entscheidung, die du je zurücknehmen darfst — sie sind der Preis dafür, als Bürgerin oder Bürger zu existieren. Genau diese Asymmetrie ist das ganze Problem. Verliert ein Unternehmen deine Daten, kannst du es wenigstens im Prinzip verlassen. Verliert der Staat sie, musst du trotzdem weiter immer mehr von dir abgeben.
Und 2026 verliert der Staat sie im großen Maßstab. In wenigen Wochen dieses Frühjahrs ließ ein Auftragnehmer der CISA (der Cyberabwehrbehörde der USA) sechs Monate lang administrative Schlüssel zu staatlichen Cloud-Systemen in einem öffentlichen Code-Repository liegen; eine Bundes-Gesundheitsbehörde veröffentlichte die Sozialversicherungsnummern von Ärzten in einem Online-Verzeichnis; und der NHS (der britische National Health Service) bestätigte, dass Mitarbeitende eines privaten Analyseunternehmens an identifizierbare Patientenakten herankamen. Keiner dieser Vorfälle war ein raffinierter Angriff eines Nationalstaats. Es waren ganz gewöhnliche institutionelle Pannen — von der Sorte, die sich wiederholt, weil die Anreize, die sie hervorbringen, sich nie ändern.
Wenn du das Leck also nicht verhindern und die Daten nicht zurückhalten kannst — was kannst du dann überhaupt tun? Dies ist keine Anleitung, besseren Institutionen zu vertrauen. Ich habe sie als Playbook geschrieben, das auf einem klaren Bedrohungsmodell aufbaut — einer schlichten Bestandsaufnahme dessen, was du schützt, vor wem, und was passiert, wenn es ausläuft — und auf einer einzigen Annahme: Jede Datenbank, die deine Daten hält, wird irgendwann verletzt — deine Verteidigung muss also in Schichten leben, die du selbst kontrollierst, nicht in den Versprechen der Institution.
Die drei Pannen des Jahres 2026#
Beginnen wir mit den Belegen, denn das Muster wird erst handlungsleitend, wenn man es sich wiederholen sieht. Drei dokumentierte Vorfälle aus 2026, über zwei Staaten und die Grenze zwischen öffentlich und privat hinweg, zeigen dieselbe strukturelle Schwäche aus drei Blickwinkeln. Eine Datenschutzverletzung (breach) bedeutet hier, dass sensible Daten für jemanden erreichbar wurden, der sie nicht hätte haben dürfen — durch Fehler, Offenlegung oder zu weit gefassten Zugriff.
| Vorfall | Was offengelegt wurde | Ursache | Status |
|---|---|---|---|
| CISA-Auftragnehmer, GitHub-Leck | Admin-Schlüssel zu 3 staatlichen Cloud-Konten + Klartext-Passwörter (844 MB) | Auftragnehmer synchronisierte Arbeitsdateien über ein öffentliches Repo, Secret-Scanning deaktiviert | Repo entfernt; Prüfung der Behörde läuft |
| CMS-Medicare-Verzeichnis | Sozialversicherungsnummern von Leistungserbringern | SSNs ins falsche Feld einer öffentlichen Datenbank eingetragen | Portal offline genommen |
| Palantir × NHS-Zugriff | Identifizierbare Patientenakten, erreichbar für Mitarbeitende eines Dienstleisters | Vertraglicher Admin-Zugriff, kein Hack | Vertrag aktiv; Zugriff besteht fort |
Das CISA-Leck ist der klarste Fall. Ein Auftragnehmer der Cybersecurity and Infrastructure Security Agency — eben jener Behörde, die amerikanische Netzwerke verteidigen soll — unterhielt auf GitHub (einer verbreiteten Plattform zum Hosten von Code) ein öffentliches Repository mit Administrator-Zugangsdaten für drei staatliche Cloud-Konten, Passwortdateien im Klartext, Signaturzertifikaten und Zugriffstokens: rund 844 Megabyte internes Material. Laut KrebsOnSecurity nutzte der Mitarbeiter das Repo, um Dateien zwischen Dienst- und Heimrechner abzugleichen, und hatte den eingebauten Schutz der Plattform, der das Hochladen von Geheimnissen blockiert, bewusst abgeschaltet. Die Offenlegung lief rund sechs Monate, bis die Sicherheitsfirma GitGuardian sie entdeckte; die Cloud-Schlüssel blieben Berichten zufolge noch etwa 48 Stunden nach der Entfernung des Repos gültig.
Das CMS-Leck zeigt dieselbe Fahrlässigkeit bei der einen Kennung, die du nie ersetzen kannst. Die Centers for Medicare and Medicaid Services (CMS, die US-Behörde, die die öffentliche Krankenversicherung für ältere und einkommensschwache Menschen betreibt) veröffentlichten ein neues öffentliches Verzeichnis von Medicare-Leistungserbringern — und wie The Hill berichtete, nachdem die Washington Post den Vorfall zuerst ans Licht gebracht hatte, wurden mindestens Dutzende Sozialversicherungsnummern dieser Leistungserbringer — später als mehr als hundert gemeldet — offengelegt, weil die Nummern ins falsche Feld eingetragen worden waren. Die Behörde nahm das Portal offline. Eine Sozialversicherungsnummer (Social Security Number, SSN) ist das, was einem dauerhaften Generalschlüssel zur Identität für Amerikaner am nächsten kommt; ist sie einmal öffentlich, bleibt sie ein Leben lang kompromittiert.
Der Fall Palantir–NHS ist von anderer Art, und der Unterschied zählt. Dies war kein Hack. Wie The Register berichtete, bestätigte NHS England, dass Mitarbeitende bei Palantir (dem großen US-Datenanalyseunternehmen) — das die 330 Millionen Pfund teure Federated Data Platform (FDP, die zentrale Patientendatenplattform des NHS) betreibt — administrativen Zugriff auf identifizierbare Patienteninformationen halten konnten. Es brauchte keinen Angreifer; der Zugriff war in die Funktionsweise des Systems eingeschrieben. Die zivilgesellschaftliche Gruppe Medact dokumentierte die daraus erwachsende Sorge, und Greater Manchester blieb die eine regionale Stelle, die den Beitritt verweigerte. Die Lehre lautet nicht „ein Bösewicht ist eingebrochen“. Sie lautet, dass die Konzentration der Gesundheitsakten einer ganzen Nation bei einem einzigen Anbieter selbst schon die Offenlegung ist — noch bevor irgendjemand sie missbraucht.
Es sind nicht die einzigen. Geht man ein Jahr zurück, zeigt sich dieselbe Form erneut: Beginnend Ende 2024 und entdeckt Anfang 2025 wurde der Staatsauftragnehmer Conduent — der für mehrere Bundesstaaten Systeme für Medicaid, Unterhaltsvorschuss und Lebensmittelhilfe betreibt — angegriffen und legte die Sozialversicherungs- und Gesundheitsdaten von mehr als 25 Millionen Amerikanern offen. Seine Systeme wurden wiederhergestellt, doch die Klagen laufen weiter, und die geleakten Kennungen verfallen nicht. Mehrere Vorfälle in diesem Frühjahr, einer im Jahr zuvor, zwei Länder, öffentlich und privat: Die Akteure wechseln, das Versagen bleibt.
Warum Staaten strukturell Daten verlieren#
Die bequeme Erklärung heißt Pech — eine unachtsame Angestellte, ein Tippfehler, ein schlechter Dienstleister. Die nützliche Erklärung lautet: Das sind keine Unfälle, sondern Ergebnisse der Art, wie diese Systeme gebaut sind. Vier strukturelle Kräfte machen das Auslaufen staatlicher Daten beinahe unausweichlich, und sie zu benennen ist das, was dich gegen die Kategorie verteidigen lässt — statt jeder einzelnen Schlagzeile hinterherzulaufen.
| Strukturelle Kraft | Mechanismus | Gesehen bei |
|---|---|---|
| Abhängigkeit von Auftragnehmern | Verantwortung zerfasert mit jeder Übergabe an einen externen Anbieter | CISA-Schlüssel bei einem Auftragnehmer; NHS-Daten bei Palantir |
| Schatten-IT | Nicht genehmigte Werkzeuge leiten Geheimnisse um die Schutzmechanismen herum | Das öffentliche GitHub-Repo des Auftragnehmers |
| Aggregation | Ein Fehler legt Millionen offen, sobald Datensätze zentralisiert sind | NHS-Plattform; Conduents 25 Mio. Datensätze |
| Asymmetrische Haftung | Die Institution zahlt eine Strafe; du erbst das dauerhafte Risiko | Alle drei Fälle von 2026 |
Die Abhängigkeit von Auftragnehmern zerfasert die Verantwortung. Moderne Staaten betreiben den Großteil ihrer Technik nicht selbst; sie kaufen sie ein. Die CISA-Schlüssel lagen bei einem Auftragnehmer; die NHS-Akten liegen bei Palantir; die 25 Millionen Datensätze lagen bei Conduent. Jede Übergabe fügt eine Organisation hinzu, deren Sicherheit du nicht einsehen kannst und deren Anreize nicht deine sind. Die Behörde trägt die Folge; der Auftragnehmer besitzt den Laptop.
Schatten-IT — die Werkzeuge, die Menschen ohne Genehmigung nutzen — leitet Geheimnisse um die Schutzmechanismen herum. Das öffentliche Repo des CISA-Mitarbeiters war Schatten-IT: eine nicht genehmigte Bequemlichkeit, die jede Kontrolle umging, die die Behörde zu haben glaubte. Wann immer ein Prozess zu langsam ist, bauen Menschen einen schnelleren Weg daneben — und der schnellere Weg hat selten die Leitplanken.
Aggregation macht aus einem kleinen Fehler eine Katastrophe. Sind Datensätze verstreut, legt ein Fehler nur wenige offen. Konzentriert eine föderierte Plattform oder ein nationales Verzeichnis sie, legt derselbe Fehler Millionen offen. Zentralisierung wird als Effizienz verkauft; sie ist zugleich ein einziger Punkt, dessen Versagen katastrophal wird.
Die Haftung ist asymmetrisch. Kommt es zu einer Datenpanne, gibt die Institution eine Erklärung ab, zahlt vielleicht eine Strafe und macht weiter. Du erbst das dauerhafte Risiko. Dieses Ungleichgewicht ist der tiefste Grund, mit dem Leck zu rechnen: Wer deine Daten verliert, trägt nicht die Kosten des Verlusts — und hat darum nie genug Grund, damit aufzuhören.
Setzt man all das zusammen, ist die Schlussfolgerung kein Zynismus — sie ist eine Bauanleitung. Vier strukturelle Kräfte kannst du von außen nicht reformieren. Du kannst aber eine persönliche Architektur bauen, die damit rechnet, dass sie versagen.
Die Verteidigungs-Architektur: Rechne mit 100 % Leck#
Hier kommt der Teil, den dir keine Checkliste zur Vorfallreaktion gibt, weil er sich nicht als einmalige Lösung verkaufen lässt: eine stehende Architektur, die annimmt, dass jede Institution, die deine Daten hält, sie irgendwann verliert. Denk sie dir als fünf Schichten, geordnet von der Haltung zur Mechanik. Du wirst nicht alle fünf auf einmal fertigstellen; du baust sie, wie man jede Verteidigung baut — eine Schicht nach der anderen, am stärksten dort, wo deine Exposition am größten ist.
Schicht 1 — Nimm die Haltung „Rechne mit dem Leck“ an. Ein Bedrohungsmodell ist schlicht eine klare Antwort auf die Frage „Was schütze ich, vor wem, und was passiert, wenn es ausläuft?“. Die Verschiebung besteht darin, Institutionen nicht länger als sicher zu modellieren, sondern als vorübergehende Verwalter von Daten, die irgendwann entkommen werden. Das ist keine Paranoia; es ist das, was die Bilanz von 2026 zeigt. Sobald du annimmst, dass die Datenbank ausläuft, fällt jede spätere Entscheidung leichter — was du einreichst, unter welcher Identität, mit welchem Rückfallplan.
Schicht 2 — Minimiere, was du abgibst. Das Finanzamt kannst du nicht abweisen, doch die meisten Datenabfragen sind rechtlich nicht zwingend. Das Treueprogramm, das optionale Profilfeld, die Aufforderung „mit Ausweis verifizieren“ bei einem Dienst, der das nicht braucht — jedes davon ist ein Reservoir, das später auslaufen kann. Behandle jede freiwillige Preisgabe als künftige Benachrichtigung über eine Datenpanne mit deinem Namen darauf. Die wirksamste Datenschutzkontrolle überhaupt sind die Daten, die nie erhoben wurden. Für eine praktische Bestandsaufnahme dessen, was aus Jahren der Social-Media-Nutzung bereits entkommen ist — und warum Löschen es selten tilgt —, sieh dir an, wie dauerhaft dein digitaler Fußabdruck wirklich ist.
Schicht 3 — Trenne deine Identität in Abteilungen. Ich führe für jeden wichtigen Lebensbereich eine eigene E-Mail-Adresse — Finanzen, Gesundheit, Öffentlichkeit —, damit eine geleakte Datenbank sich nicht mit den anderen verknüpfen lässt. Ein Passwortmanager wie das quelloffene Bitwarden macht einzigartige Zugangsdaten pro Seite praktikabel, und ein Anbieter wie Proton Mail erlaubt Aliasse pro Dienst, die du verbrennen kannst, wenn sie auslaufen. Das Aufteilen in Abteilungen verhindert keine Datenpanne; es verhindert, dass aus einer Panne alle werden. (Für die tiefere Variante davon — Pseudonyme und juristische Trennung — sieh dir Coras Arbeit zur selbstbestimmten Identität an.)
Schicht 4 — Riegle die Kennungen ab, die du nicht ändern kannst. Manche Daten sind dauerhaft: deine Sozialversicherungsnummer, dein Geburtsdatum, deine biometrischen Merkmale. Weil du sie nicht rotieren kannst, verteidigst du sie am Punkt der Nutzung. In den USA gilt: Friere deine Bonität bei allen drei großen US-Kreditauskunfteien ein — Equifax, Experian und TransUnion (die Firmen, die deine Kredithistorie speichern) —, das blockiert die Eröffnung neuer Konten auf deinen Namen; es ist kostenlos und umkehrbar. Ergänze Betrugswarnungen (fraud alerts). Und verlagere deine wichtigen Logins auf hardwarebasierte Mehr-Faktor-Authentifizierung (Multi-Factor Authentication, MFA: ein physischer Sicherheitsschlüssel, der stärkste zweite Faktor), damit eine gestohlene Nummer allein nicht die Tür öffnet. Dies ist die eine Schicht, in der sich die Checklisten zur Vorfallreaktion und diese Architektur einig sind — der Unterschied ist, dass es hier dauerhafte Hygiene ist, keine Panikreaktion.
Schicht 5 — Trenne deine Werkzeuge und Rechtsräume. Verteile dein Vertrauen über Anbieter und Rechtsordnungen, die nicht alle vom selben Akteur erreichbar sind. Verschlüsselte Nachrichten für sensible Gespräche, ein VPN ohne Protokolle (Virtual Private Network — ein verschlüsselter Tunnel, der dein Netz von deiner Aktivität entkoppelt) wie Mullvad, und Speicher, der nicht bei einem einzigen Unternehmen oder einem einzigen Staat gebündelt ist. Das Ziel: dass keine einzelne Datenpanne, keine Vorladung und keine Anbieterbeziehung das ganze Bild offenlegt.
Beachte, was diese Architektur nicht verlangt: Sie verlangt nicht, dass die Institution vertrauenswürdig ist. Genau das ist der Punkt. Jede Schicht ist eine Kontrolle, die du selbst hältst — kein Versprechen, das man dir gibt.
Wenn du bereits betroffen bist#
Stecken deine Daten in einer dieser Pannen — und statistisch ist das längst der Fall —, sind die Sofortschritte schmal, aber es lohnt sich, sie heute zu tun, noch vor der stehenden Architektur oben. Diese Schritte behandle ich als nicht verhandelbar; nimm sie als Erstversorgung, nicht als die ganze Behandlung.
- Friere deine Bonität ein bei allen drei Auskunfteien (kostenlos, online, umkehrbar). Das ist die einzelne Maßnahme mit dem größten Hebel.
- Richte Betrugswarnungen ein für deine Finanzkonten und schalte Transaktionsbenachrichtigungen an.
- Geh davon aus, dass dauerhafte Kennungen kompromittiert bleiben. Eine geleakte Sozialversicherungsnummer verfällt nicht; rotiere alles, was du rotieren kannst (Passwörter, Kontonummern), und verteidige den Rest am Punkt der Nutzung.
- Wechsel zuerst bei E-Mail und Finanzen auf Hardware-MFA — E-Mail ist der Wiederherstellungspfad für alles andere.
- Achte auf gezieltes Phishing. Geleakte Daten machen Betrug persönlich; wer am Telefon deine echten Angaben kennt, nutzt geleakte Daten — das ist kein Beweis für Seriosität.
Diese Schritte schließen das unmittelbare Zeitfenster. Die gestaffelte Architektur ist das, was verhindert, dass dich die nächste Panne — und eine nächste wird es geben — auf dieselbe Weise ein zweites Mal trifft.
Häufig gestellte Fragen#
Kann ich den Staat verklagen, weil er meine Daten verloren hat?#
Manchmal, doch verlässlich ist dieser Rechtsbehelf selten. Regeln zur Staatshaftungsimmunität, Obergrenzen für Schadenersatz und die Schwierigkeit, einen konkreten Schaden nachzuweisen, machen Klagen wegen staatlicher Datenpannen langsam und ungewiss. Behandle den Rechtsweg als mögliches Nachspiel, nicht als Verteidigung — deine gestaffelte Architektur ist das, was deine Exposition tatsächlich verringert.
Reicht es, meine Bonität einzufrieren?#
Nein, aber es ist die beste einzelne Maßnahme. Das Einfrieren der Bonität blockiert den meisten Betrug mit neu eröffneten Konten, doch gegen den Diebstahl medizinischer Identität, Steuerbetrug oder den Missbrauch einer geleakten Sozialversicherungsnummer außerhalb von Kreditanträgen richtet es nichts aus. Verbinde es mit Betrugswarnungen, Hardware-MFA und dem Aufteilen deiner Identität in Abteilungen.
Wenn die Daten ohnehin schon geleakt sind, ist Verteidigung dann nicht sinnlos?#
Nein. Der meiste Schaden aus einer Datenpanne entsteht nach der Offenlegung, wenn geleakte Daten genutzt werden, um Konten zu eröffnen, sich für dich auszugeben oder gezielten Betrug zu basteln. Die Bonität einzufrieren und deine Logins zu härten, blockiert den Schritt der Ausnutzung — auch dann, wenn die zugrunde liegenden Daten längst draußen sind.
Gilt das nur für die USA?#
Die Einzelheiten unterscheiden sich — das Einfrieren der Bonität ist ein US-Mechanismus, und der NHS-Fall ist britisch —, doch die Architektur ist universell. Jedes Land aggregiert Bürgerdaten und lagert ihre Verarbeitung aus. Minimierung, das Aufteilen in Abteilungen und der Schutz dauerhafter Kennungen gelten, wo immer du lebst.