Es ist ein Albtraum für jede Verwaltung: France Titres, die zentrale Behörde für französische Pässe und Personalausweise, hat ein massives Datenleck bestätigt. Zwischen 12 und 18 Millionen Datensätze sollen erbeutet sein — und der Hauptverdächtige ist gerade einmal 15 Jahre alt. Die Polizei hat ihn am 4. Mai 2026 festgenommen. Wer in Frankreich oder über Frankreich Anträge gestellt hat, sollte JETZT die Phishing-Antennen ausfahren.
SCHOCK: 12 bis 18 MILLIONEN Datensätze
Die Zahlen, die Help Net Security berichtet, sind brutal: 12 bis 18 Millionen Datensätze sollen bereits in Untergrundforen zum Verkauf gestanden haben. Im Datenpaket: Antrags-IDs, Namen, Geburtsdaten, Adressen, Mail-Adressen — und in einem Teil der Datensätze auch Foto-Uploads aus den Pass-Anträgen.
France Titres bestätigte den Vorfall in einer knappen Pressemitteilung. Der Datenbestand betrifft Anträge aus mehreren Jahren. Wie groß der tatsächliche Leak ist, klärt jetzt die forensische Auswertung. Eines ist sicher: Es ist einer der größten Behörden-Vorfälle, die Frankreich je gesehen hat.
UNGLAUBLICH: 15-jähriger Hauptverdächtiger
Was den Vorfall politisch heikel macht: Die französische Polizei hat einen 15-jährigen Schüler als Hauptverdächtigen festgenommen. Behörden-Vertreter beschreiben ihn als „außerordentlich begabt“. Wie er an die Daten kam, ist offiziell noch nicht bekannt — Spekulationen reichen von SQL-Injection bis hin zu Phishing auf Mitarbeiter:innen.
Der Fall wirft auch ethische Fragen auf: Wie geht ein Rechtsstaat mit minderjährigen Tätern um, die Millionen Datensätze gegen Geld verkaufen? Frankreich hat Programme wie „Promotion 22“ — sie sollen technisch begabte Jugendliche in legale Bahnen lenken. Diesmal kam die Hilfe offenbar zu spät.
HAMMER: Was du als Bürger tun solltest
- Status deines Pass-Antrags bei France Titres prüfen — wenn du in Frankreich aktiv warst.
- Phishing-Mails ignorieren, die angeblich von France Titres oder von service-public.fr kommen.
- Niemals Pass-Daten oder Bestätigungs-Codes per Mail oder SMS rausgeben.
- 2-Faktor-Authentifizierung auf service-public.fr und vergleichbaren Portalen aktivieren.
- Bank-SMS-Codes niemals telefonisch durchgeben — auch wenn die Stimme klingt wie der Polizist.
EXTRA-TIPP: Identitäts-Diebstahl absichern
Wenn du fürchtest, dass deine Daten im Leak sind, melde dich bei der französischen Datenschutzbehörde CNIL. Die haben ein Online-Formular, das den Vorfall offiziell aufnimmt — wichtig, falls du später Schaden geltend machen willst. Außerdem solltest du Kreditkartenabrechnungen drei Monate lang im Auge behalten.
SO ordnet sich der Fall ein
Frankreich hatte 2024 schon den großen France Travail-Leak (43 Millionen Datensätze von Arbeitsuchenden). Jetzt also France Titres mit dem nächsten Schlag. Cyber-Experten sehen ein Muster: Behörden-Plattformen mit veralteten Backends und schwacher MFA. Die EU-Kommission hat angekündigt, NIS2-Audits in Behörden zu verschärfen.
FAZIT: Wer in Frankreich Behördensachen erledigt, bekommt jetzt eine harte Lektion in Cyber-Hygiene. Halte dich bei verdächtigen Mails zurück, melde Phishing an die Behörden — und drücke den Daumen, dass die Forensik schnell Klarheit bringt, was wirklich geleakt wurde.