Frankreichs Arbeitsagentur zahlt Millionenstrafe nach Mega-Datenleck

Die französische Datenschutzbehörde CNIL verhängt eine Rekordstrafe von fünf Millionen Euro gegen France Travail. Grund sind schwere Sicherheitslücken, die 2024 den Diebstahl von 43 Millionen Datensätzen ermöglichten.

Fünf Millionen Euro Strafe für Sicherheitsversagen

Die CNIL bestrafte die nationale Arbeitsagentur für Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO). Die Behörde habe ihre Pflicht, personenbezogene Daten angemessen zu schützen, vernachlässigt. Die Entscheidung fiel bereits am 22. Januar, wurde aber erst heute veröffentlicht. Sie folgt einer umfassenden Untersuchung des Cyberangriffs vom Frühjahr 2024.

Der Angriff gelang durch eine raffinierte Social-Engineering-Attacke. Cyberkriminelle gaben sich als Berater der Partneragentur Cap Emploi aus und übernahmen legitime Zugänge. So drangen sie in die Systeme von France Travail ein. Die CNIL kritisierte konkrete Mängel: zu schwache Passwort-Richtlinien und fehlende Zwei-Faktor-Authentifizierung an kritischen Zugangspunkten. Auch die Überwachungssysteme seien unzureichend gewesen, um die abnormale Datenabfrage rechtzeitig zu erkennen.

CEO-Fraud und gezielte Phishing-Angriffe nutzen gestohlene Bürgerdaten, um Mitarbeiter und Privatpersonen zu täuschen. Nach großen Datenlecks steigen solche Social-Engineering-Attacken deutlich an – typische technische Maßnahmen reichen oft nicht aus. Das kostenlose Anti-Phishing-Paket zeigt in vier klaren Schritten, wie Sie gefälschte Mails erkennen, Mitarbeitende schulen und technische Abwehr implementieren, damit gestohlene Daten nicht erneut missbraucht werden. Ideal für Behörden und Organisationen mit sensiblen Personendaten. Anti-Phishing-Paket jetzt kostenlos herunterladen

Erbeutet wurden hochsensible Informationen: Namen, Sozialversicherungsnummern, Geburtsdaten, E-Mail- und Postadressen sowie Telefonnummern. Lediglich Bankdaten und Passwörter blieben verschont. Doch die Kombination der gestohlenen Daten schuf eine „Goldgrube“ für Identitätsdiebstahl und gezielte Phishing-Kampagnen.

Eines der größten Datenlecks in der Geschichte Frankreichs

Das Ausmaß des Vorfalls ist immens. Betroffen waren nicht nur aktuelle Arbeitssuchende, sondern alle Personen, die in den vorangegangenen 20 Jahren bei der Agentur – früher Pôle Emploi – registriert waren. Insgesamt waren Daten von etwa zwei Dritteln der französischen Bevölkerung kompromittiert.

Die Enthüllung des Lecks im März 2024 löste massive Besorgnis aus. Die Staatsanwaltschaft Paris leitete Ermittlungen ein. France Travail musste Millionen Bürger auffordern, wachsam gegenüber betrügerischer Kommunikation zu sein. Cybersecurity-Experten warnen bis heute vor den Folgen: Die gestohlenen Daten zirkulieren weiter im Darknet und führen zu einer anhaltend hohen Zahl betrügerischer Angriffe.

Agentur akzeptiert Strafe, verweist auf Modernisierung

France Travail akzeptierte die Entscheidung der CNIL und kündigte an, die Strafe nicht anzufechten. In einer Stellungnahme bedauerte die Agentur jedoch die Höhe der Geldbuße. Man habe seit dem Vorfall erhebliche Anstrengungen unternommen, die Cybersicherheit zu stärken.

Die Agentur verwies auf eine umfassende Sicherheitsmodernisierung. Dazu zählen die flächendeckende Einführung der Zwei-Faktor-Authentifizierung, strengere Passwortregeln und ein verbessertes Echtzeit-Monitoring des Netzwerkverkehrs. Das Management betonte den besonders trickreichen Charakter des Angriffs, der Standard-Abwehrmaßnahmen umgangen habe. Man fühle sich trotz übernommener Verantwortung durch die Höhe der Strafe übermäßig hart bestraft – angesichts der transparenten Zusammenarbeit mit den Ermittlern.

Signalwirkung für Behörden und Großunternehmen

Die Strafe sendet ein deutliches Signal an andere öffentliche Einrichtungen und große Organisationen, die sensible Bürgerdaten verwalten. Rechts- und Datenschutzexperten werten sie als strenge Mahnung, dass Compliance nicht nur aus Richtlinien, sondern aus wirksamen, getesteten Sicherheitsvorkehrungen bestehen muss.

Die Höhe von fünf Millionen Euro berücksichtigt nach CNIL-Angaben die Kooperationsbereitschaft der Agentur und die Tatsache, dass aus dem Leck kein direkter finanzieller Betrug resultierte. Für eine öffentliche Verwaltung bleibt es dennoch eine empfindliche Summe.

France Travail hat sich zu einem mehrjährigen Investitionsplan in die Cybersicherheit verpflichtet. Die Agentur arbeitet weiter mit der nationalen Cybersicherheitsagentur ANSSI zusammen, um ihre Systeme regelmäßig überprüfen zu lassen. Für die Millionen Betroffenen bleibt die Gefahr jedoch akut: Die gestohlenen Daten sind nicht zurückzuholen, die Wachsamkeit vor Identitätsbetrug muss langfristig hoch bleiben.

PS: Vermeiden Sie weitere Schäden durch gezielte Phishing-Kampagnen. Das Anti-Phishing-Paket bietet eine praxisnahe 4‑Schritte-Anleitung, erprobte Checklisten für Behörden und Vorlagen für Mitarbeiterschulungen – alles kostenlos zum Download. Damit erkennen Sie manipulative Anfragen schneller, schließen Sicherheitslücken und reduzieren Wiederholungsangriffe. Besonders geeignet für öffentliche Stellen, die mit sensiblen Personendaten arbeiten. Jetzt Anti-Phishing-Guide kostenlos anfordern