Nachrichten, Privacy

Der Conduent-Datenschutzverstoß: von 10 Millionen auf 25 Millionen (und steigend)

von Pieter Arntz | 26. Februar 2026
Logos von Conduent und wichtigen Kunden

Der Conduent-Datendiebstahl hat sich still und leise zu einem der größten Datenvorfälle durch Dritte in der Geschichte der USA entwickelt. Die eigentliche Frage ist nun, wie viele verschiedene Programme und Arbeitgeber davon betroffen sind, selbst für Menschen, die noch nie von Conduent gehört haben.

Als wir erstmals über diesen Vorfall berichteten, gingen öffentliche Angaben von etwa 10,5 Millionen betroffenen Personen aus, die sich vor allem in Oregon und einigen anderen Bundesstaaten konzentrierten . Nach neuesten Meldungen der Bundesstaaten beläuft sich die Gesamtzahl der Betroffenen in den USA auf mehr als 25 Millionen Menschen, wobei allein in Texas die Zahl der betroffenen Einwohner von ursprünglich geschätzten 4 Millionen auf 15,4 Millionen gestiegen ist und in Oregon bei etwa 10,5 Millionen bleibt.

Damit handelt es sich um einen der größten bekannten Datenschutzverstöße im Gesundheitswesen. Berichten zufolge hielten sich die Angreifer etwa drei Monate lang in der Umgebung von Conduent auf und entwendeten rund 8 TB an Daten.

Wie können so viele Menschen betroffen sein, die noch nie von Conduent gehört haben?

Im Jahr 2019 gab Conduent an, dass seine Systeme Dienste für mehr als 100 Millionen Menschen im ganzen Land unterstützten und eine Mehrheit der Fortune-100-Unternehmen sowie mehr als 500 Regierungsbehörden bedienten. Das zeigt, wie groß der potenzielle Schadensradius ist, auch wenn nicht alle diese Datensätze von diesem Vorfall betroffen waren.

Conduent steht hinter den Kulissen eines Großteils der öffentlichen Dienste und Backoffice-Arbeiten von Unternehmen in den USA, was erklärt, warum die Liste der Opfer so unzusammenhängend erscheint. Seine Plattformen verarbeiten:

  • Staatliche Sozialleistungsprogramme wie Medicaid, SNAP (Supplemental Nutrition Assistance Program) und andere staatliche Zahlungen in mehr als 30 Bundesstaaten.
  • Poststelle, Druck und Zahlungsabwicklung für staatliche Sozialämter und Gesundheitsprogramme, darunter große Krankenversicherungen wie Blue Cross Blue Shield.
  • Unternehmensdienstleistungen für große Arbeitgeber, darunter mindestens ein großer Automobilhersteller; fast 17.000 Mitarbeiter der Volvo Group gehören zu den Personen, deren Daten offengelegt wurden.

Wer hat was gestohlen?

Die Verantwortung für den Cyberangriff wurde später von der Ransomware-Bande SafePay übernommen.

SafePay behauptet, Conduent habe gegen Datenschutzbestimmungen verstoßen
Bild mit freundlicher Genehmigung von Comparitech

Die gestohlenen Daten gehen weit über Kontaktdaten hinaus. In Benachrichtigungsschreiben und Unterlagen der Aufsichtsbehörden wird Folgendes beschrieben:

  • Vollständige rechtliche Namen, Postanschriften und Geburtsdaten.
  • Sozialversicherungsnummern und andere staatliche Identifikationsnummern.
  • Medizinische Informationen, Krankenversicherungsdaten und zugehörige Leistungsdaten.

Da Conduent Sozialleistungen und Personaldaten im Auftrag von Behörden und Arbeitgebern verarbeitet, hatten die meisten betroffenen Personen nie direkt mit Conduent zu tun und erkennen den Namen auf dem Umschlag möglicherweise nicht einmal. Wenn Sie SNAP-Leistungen, Medicaid-Versicherungsschutz oder andere staatlich verwaltete Gesundheitsleistungen erhalten haben oder für eine Organisation gearbeitet haben, die die Personal- oder Leistungsabwicklung an Conduent (oder einen seiner Kunden) ausgelagert hat, sind Ihre Daten möglicherweise durch dessen Systeme geflossen, obwohl Ihre „Kundenbeziehung” zu einer staatlichen Behörde, einem Versicherer oder einem Arbeitgeber bestand.

Warum dies schlimmer ist, als es zunächst schien

Es gibt drei Gründe, warum diese Fortsetzung ernster ist als das Original:

  • Es sind mehr Menschen betroffen: Die Zahlen stiegen von 10 Millionen auf 25 Millionen, da immer mehr Bundesstaaten und Unternehmenskunden ihre Beteiligung offenlegten, was zeigt, wie undurchsichtig Verstöße durch Dritte zu Beginn sein können.
  • Dauerhafte Identifikatoren: Sozialversicherungsnummern in Verbindung mit medizinischen Daten und Versicherungsdaten ermöglichen Identitätsdiebstahl, medizinischen Betrug und gezielte Phishing-Angriffe, die Opfer über Jahre hinweg verfolgen können.
  • Blinder Fleck bei Drittanbietern: Bei vielen betroffenen Unternehmen wird „die Sicherheitsverletzung“ niemals in ihren eigenen Protokollen auftauchen, da die Kompromittierung in der Umgebung eines Anbieters stattfand, auf den sie angewiesen sind, den sie aber nicht kontrollieren.

Wenn also ein unerwarteter Brief von Conduent eintrifft, handelt es sich nicht um einen Fehler. Es ist eine Erinnerung daran, dass Ihre Daten weit entfernt von den Organisationen, mit denen Sie zu tun hatten, gefährdet sein können – und dass die tatsächlichen Auswirkungen dieser Datenschutzverletzung weit über die Zahlen in einer einzelnen staatlichen Meldung hinausgehen.

Conduent-Benachrichtigungsschreiben über Datenschutzverletzungen
Conduent-Benachrichtigungsschreiben über Datenschutzverletzungen

Je nachdem, welche Ihrer Daten kompromittiert wurden, erhalten Sie möglicherweise einen leicht abweichenden Brief. Wenn Sie einen solchen Brief erhalten, lesen Sie unseren Leitfaden zu den Maßnahmen nach einer Datenpanne, um zu erfahren, wie Sie weiter vorgehen sollten.

Wir berichten nicht nur über Bedrohungen – wir helfen Ihnen dabei, Ihre gesamte digitale Identität zu schützen.

Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Schützen Sie Ihre persönlichen Daten und die Ihrer Familie durch Identitätsschutz.


Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Nachrichten
Eine Gruppe von Menschen, die verschiedene Sonnenbrillen tragen, blicken zum Himmel und in die Kamera.

Entwickler erstellt App zur Erkennung von Smart-Brillen in der Nähe

Februar 25, 2026

Ein Entwickler hat eine Android erstellt, die nach Smart-Brillen in der Nähe sucht. Sie ist nicht perfekt, kann aber unter bestimmten Umständen hilfreich sein.

Nachrichten
Altersbestätigungsstempel

Reddit und Pornoseiten wegen Kinder- und Datenschutz von britischen Regulierungsbehörden mit Geldstrafe belegt

Februar 24, 2026

Ofcom und das Information Commissioner's Office haben jeweils eine US-amerikanische Pornofirma und Reddit wegen mangelnden Schutzes von Kindern im Internet mit einer Geldstrafe belegt.

Familie und Erziehung
Roblox-Logo

Roblox gibt Sexualstraftätern „mächtige Werkzeuge“ an die Hand, um Kinder ins Visier zu nehmen, sagt LA County

Februar 24, 2026

Der Bezirk Los Angeles verklagte die Online-Gaming-Plattform Roblox wegen angeblicher Unterlassung, Kinder vor Gefahren zu schützen.

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug