InfoCert, ein führendes europäisches Zertifizierungsunternehmen und Anbieter von digitalen Identitätsdiensten, hat einen bedeutenden Datenschutzvorfall erlitten, der 5,5 Millionen Kunden betrifft. Der Vorfall, der am 27. Dezember 2024 eintrat, führte zur unbefugten Veröffentlichung persönlicher Daten, darunter vollständige Namen, Steuernummern, Telefonnummern und E-Mail-Adressen[1]Italian digital identity provider suffers data breach, 5.5M customers affected.

Die gestohlenen Daten wurden in einem Darknet-Forum angeboten, wobei die gesamte Datenbank zum Verkauf stand. Laut InfoCert wurde das Datenleck durch die Systeme eines Drittanbieters verursacht und nicht durch die eigenen Systeme des Unternehmens. Die Kerndienste von InfoCert, einschließlich SPID (Öffentliches Digitales Identitätssystem) und digitale Signaturen, seien angeblich nicht kompromittiert worden.

InfoCert, Teil der Tinexta Group, ist ein wichtiger Akteur in der digitalen Identitätslandschaft Italiens und verwaltet etwa 1,8 Millionen aktive SPID-Identitäten. Das Unternehmen ist einer von 12 akkreditierten Anbietern solcher Dienste in Italien, wo es 39 Millionen aktive SPID-Nutzer gibt. InfoCert unterhält in Deutschland eine strategische Partnerschaft mit Authada.

Als Reaktion auf den Vorfall:

  • Veröffentlichte InfoCert zunächst eine öffentliche Mitteilung auf seiner Website, die später entfernt wurde.
  • Das Unternehmen erklärte, es untersuche den Vorfall und werde den zuständigen Behörden Bericht erstatten.
  • Die italienische Datenschutzbehörde hat eine Informationsanfrage an InfoCert bezüglich des Vorfalls gesendet.

Dieser Vorfall unterstreicht die anhaltenden Herausforderungen in Bezug auf Cybersicherheit und Vertrauen im Markt für digitale Identitäten, insbesondere mit Blick auf das Jahr 2025. Er verdeutlicht die Bedeutung einer sicheren Softwareentwicklung, besonders für kritische digitale Dienste, und die Notwendigkeit eines robusten Schutzes von Drittanbieter-Integrationen.