1 Milliarde Identitäten offen im Netz – Der IDMerit-Leak beweist: Zentrale digitale IDs sind ein gigantisches Sicherheitsrisiko! 
Mitte Februar 2026 berichteten Cybernews, Forbes, TechRadar und Biometric Update übereinstimmend von einem massiven Datenleck: Eine ungesicherte MongoDB-Datenbank, die mit dem Identitätsprüfungs-Anbieter IDMerit in Verbindung steht, hat rund eine Milliarde personenbezogener Datensätze aus 26 Ländern frei zugänglich gemacht – insgesamt fast ein Terabyte an Daten. IDMerit ist ein weltweit tätiger Dienstleister für KYC-Verfahren (Know Your Customer = „Kenne deinen Kunden“), der vor allem von Banken, Krypto-Plattformen, Fintech-Unternehmen und Altersverifikationsdiensten genutzt wird.
Betroffene mussten dort typischerweise Ausweisdokumente, Selfies und Adressnachweise hochladen, um ihre Identität nachzuweisen. Die freigelegten Informationen umfassen vollständige Namen, Geburtsdaten, Wohnadressen, Telefonnummern, E-Mail-Adressen, nationale Ausweis- oder Passnummern sowie teilweise weitere KYC-Daten. Besonders stark betroffen sind die USA mit über 203 Millionen Datensätzen, gefolgt von Mexiko (ca. 123–124 Millionen), den Philippinen, Deutschland und anderen Ländern.
Dieser Vorfall – kein gezielter Hackerangriff, sondern ein simpler Konfigurationsfehler, bei dem die Datenbank ohne Passwort oder Zugriffsschutz im Internet stand – zeigt eindrucksvoll die zentralen Gefahren von digitalen Identitätssystemen, egal ob privat betrieben oder staatlich geplant (wie z. B. die EU Digital Identity Wallet):
Erstens ermöglichen solche Datensammlungen Identitätsdiebstahl in großem Stil. Mit Name, Adresse, Geburtsdatum, Ausweisnummer und Telefonnummer können Kriminelle neue Bankkonten eröffnen, Kredite aufnehmen, SIM-Karten umschreiben (SIM-Swapping) oder Kryptowährungskonten anlegen – oft ohne weitere Hürden.
Zweitens steigt das Risiko für gezieltes Phishing und Erpressung enorm. Wer über diese Kombination verfügt, kann extrem überzeugende gefälschte E-Mails oder SMS verschicken und Opfer unter Druck setzen („Wir haben dein Ausweisfoto und deine Adresse“).
Drittens handelt es sich um langlebige Daten: Wer heute 20 Jahre alt ist, trägt das Risiko noch Jahrzehnte mit sich herum – im Gegensatz zu Passwörtern, die man ändern kann.
Viertens verkörpert jedes zentrale System einen Single Point of Failure: Ein einziger ungeschützter Server oder ein simpler Bedienfehler reicht aus, um Hunderte Millionen Menschen zu gefährden. Dezentralisierte Ansätze oder die Vermeidung solcher zentralen Sammelstellen wären hier deutlich widerstandsfähiger.
Wer nach diesem Vorfall weiter behauptet, zentrale digitale Identitäten seien „sicherer“, „bequemer“ oder „zukunftsfähig“, blendet die Realität aus: Ein einziger Konfigurationsfehler hat mehr echte Personen kompromittiert als die meisten bekannten Cyberangriffe der letzten Jahre zusammen.
Solange wir unsere sensibelsten Dokumente bei Drittanbietern stapeln, die mit minimalem Aufwand alles preisgeben können, ist jede Ausweitung solcher Systeme kein Fortschritt – sondern ein enormes, systematisches Risiko für den Datenschutz und die individuelle Sicherheit.
