25 Millionen Amerikaner betroffen: Der Conduent-Datenschutzverstoß bei Behörden

Ein im März 2026 veröffentlichter Bericht verdeutlichte die wachsenden Auswirkungen eines Datenschutzverstoßes beim Regierungsauftragnehmer Conduent, von dem über 25 Millionen Amerikaner betroffen sind. Der dem SafePay-Ransomware-Kollektiv zugeschriebene Angriff legte 8,5 Terabyte an Daten offen, darunter Sozialversicherungsnummern, Krankenakten und Krankenversicherungsdaten. Bundesstaaten wie Oregon (10,5 Millionen) und Texas (15,4 Millionen) stellen einen erheblichen Anteil der Opfer.

25 Millionen Amerikaner betroffen: Der Conduent-Datenschutzverstoß bei Behörden

Ein schwerwiegender Datenschutzverstoß bei Conduent, einem Unternehmen, das im Auftrag von Behörden sensible Informationen verarbeitet, hat die persönlichen Daten von mehr als 25 Millionen Amerikanern offengelegt. Der von der SafePay-Ransomware-Gruppe durchgeführte Angriff führte zum Diebstahl von 8,5 Terabyte an Daten, darunter Sozialversicherungsnummern, Krankenakten und Krankenversicherungsdetails. Wer in Oregon oder Texas lebt, hat eine besonders hohe Wahrscheinlichkeit, von diesem Vorfall betroffen zu sein.

Dieser Vorfall ist eine eindringliche Erinnerung daran, dass persönliche Daten nicht nur auf eigenen Geräten gespeichert sind. Sie befinden sich in den Systemen von Auftragnehmern, Datenverarbeitern und Drittanbietern, von denen man noch nie gehört hat und auf deren Sicherheitspraktiken man keinerlei Einfluss hat.

Wer ist Conduent und warum ist das relevant?

Conduent ist ein Unternehmen für Geschäftsprozessdienstleistungen, das administrative und datenverarbeitende Aufgaben für Behörden in den gesamten Vereinigten Staaten übernimmt. Das bedeutet, dass es routinemäßig mit besonders sensiblen Informationen umgeht: Leistungsdaten, Gesundheitsakten und Sozialversicherungsnummern, die mit der Identität und dem finanziellen Leben realer Menschen verknüpft sind.

Wenn ein Unternehmen wie Conduent einen Datenschutzverstoß erleidet, gehen die Konsequenzen weit über eine einzelne Behörde oder einen einzelnen Bundesstaat hinaus. Oregon meldete rund 10,5 Millionen betroffene Einwohner. Texas meldete etwa 15,4 Millionen. Allein diese beiden Bundesstaaten machen zusammen einen erheblichen Anteil der insgesamt 25 Millionen Opfer aus – doch der Verstoß hat wahrscheinlich auch Einwohner anderer Bundesstaaten betroffen, die Conduent für staatliche Dienstleistungen unter Vertrag genommen haben.

Die SafePay-Ransomware-Gruppe bekannte sich zu dem Angriff. Ransomware-Gruppen dieser Art schleusen typischerweise Daten aus, bevor sie Systeme verschlüsseln. Das verschafft ihnen Druckmittel, um Lösegeldzahlungen zu fordern, und die Möglichkeit, gestohlene Daten zu verkaufen oder zu veröffentlichen – selbst dann, wenn ein Lösegeld gezahlt wird.

Das eigentliche Risiko: Sozialversicherungsnummern und Krankenakten verjähren nicht

Nicht alle Datenschutzverstöße bergen dasselbe langfristige Risiko. Gestohlene Passwörter können geändert werden. Kompromittierte E-Mail-Adressen können überwacht werden. Sozialversicherungsnummern und Krankenakten gehören jedoch einer völlig anderen Kategorie an.

Die Sozialversicherungsnummer ist praktisch dauerhaft. Sobald sie in kriminelle Hände gelangt, kann sie dazu verwendet werden, betrügerische Kreditkonten zu eröffnen, gefälschte Steuererklärungen einzureichen oder medizinischen Identitätsdiebstahl zu begehen – mitunter noch Jahre nach dem ursprünglichen Vorfall. Krankenakten fügen eine weitere Gefährdungsebene hinzu, da sie Erkrankungen, Medikamente und Versicherungsdetails offenbaren, die für Versicherungsbetrug oder gezielte Phishing-Kampagnen ausgenutzt werden können.

Deshalb verdient der Conduent-Vorfall mehr Aufmerksamkeit als ein typischer Zugangsdatendiebstahl. Die betroffenen Daten sind solche, die Identitätsdiebstahl über Jahre hinweg begünstigen – nicht nur in den Wochen unmittelbar nach einem Vorfall.

Was das für Sie bedeutet

Selbst wenn Sie nie direkt mit Conduent in Kontakt standen, könnten Ihre Daten durch deren Systeme geflossen sein, wenn Sie in einem betroffenen Bundesstaat staatliche Leistungen, Krankenversicherungsschutz oder Sozialleistungen in Anspruch genommen haben. Folgende Maßnahmen sollten Sie jetzt in Betracht ziehen:

Prüfen Sie Benachrichtigungsschreiben zu Datenschutzverstößen. Wenn Sie in Oregon oder Texas leben, achten Sie auf offizielle Mitteilungen staatlicher Behörden darüber, ob Ihre Daten betroffen waren.
Beantragen Sie eine Kreditsperre. Eine Kreditsperre bei allen drei großen Auskunfteien (Equifax, Experian und TransUnion) ist eine der wirksamsten Methoden, um die betrügerische Eröffnung von Konten unter Verwendung Ihrer Sozialversicherungsnummer zu verhindern.
Überwachen Sie Ihre Erklärungen zu erbrachten Leistungen (EOB). Medizinischer Identitätsdiebstahl zeigt sich häufig durch unbekannte Ansprüche oder Leistungserbringer in Ihren Krankenversicherungsabrechnungen.
Seien Sie wachsam gegenüber gezieltem Phishing. Angreifer, die über Ihre persönlichen Daten verfügen, können überzeugende E-Mails oder Anrufe verfassen, die scheinbar von Behörden oder Versicherern stammen. Begegnen Sie unaufgeforderten Kontaktaufnahmen mit gesunder Skepsis.
Verwenden Sie starke, einzigartige Passwörter und aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Konten, die mit staatlichen Diensten oder Gesundheitsportalen verknüpft sind.

Es lohnt sich auch, die eigenen digitalen Datenschutzgewohnheiten grundsätzlich zu überdenken. Vorfälle wie dieser häufen sich zunehmend, und die dabei offengelegten Daten landen häufig auf Dark-Web-Marktplätzen, wo sie gebündelt und weiterverkauft werden. Die eigene Gefährdung zu begrenzen – durch solide Datenschutzpraktiken und Tools, die verringern, wie viel der eigenen Aktivitäten verfolgt oder abgefangen werden kann – ist eine vernünftige Reaktion auf eine Welt, in der groß angelegte Datenpannen zur Routine geworden sind.

Drittanbieterrisiken sind ein Problem für alle

Der Conduent-Vorfall ist Teil eines umfassenderen Musters. Behörden und große Institutionen lagern die Datenverarbeitung routinemäßig an Auftragnehmer aus, und diese Auftragnehmer können ein Schwachglied in einer ansonsten sicheren Kette darstellen. Als Einzelperson hat man kaum Einblick darin, welche Anbieter die eigenen Daten vorhalten oder wie gut diese Anbieter sie schützen.

Das ist eine frustrierende Realität, die jedoch unterstreicht, warum es so wichtig ist, die Verantwortung für die eigene Privatsphäre selbst zu übernehmen. Die Nutzung eines VPN wie hide.me verhindert zwar nicht, dass ein staatlicher Auftragnehmer gehackt wird, ist jedoch eine Ebene innerhalb eines umfassenderen Ansatzes, die eigene Online-Aktivität privat zu halten – insbesondere in öffentlichen oder gemeinsam genutzten Netzwerken, in denen die eigenen Daten am stärksten gefährdet sind. Datenschutzorientierte Gewohnheiten zu etablieren – darunter verschlüsseltes Surfen, sorgfältige Kontoverwaltung und das Informiertbleiben über Datenpannen, die einen betreffen – ist eine pragmatische Reaktion auf eine Bedrohungslage, die sich nicht vollständig kontrollieren lässt.

Die 25 Millionen Amerikaner, die vom Conduent-Vorfall betroffen sind, haben nichts falsch gemacht. Ihre Daten wurden schlicht von einer Organisation gespeichert, die zum Angriffsziel wurde. Die beste Verteidigung besteht darin, informiert zu bleiben, bei Datenpannen schnell zu handeln und den Schutz persönlicher Daten zur regelmäßigen Gewohnheit zu machen – und nicht als nachträglichen Gedanken zu behandeln.