23andMe-Datenleck: Kalifornien klagt wegen 7 Millionen Kunden

Mai 2026 Klage gegen Chrome Holding Co. eingereicht, den Rechtsnachfolger des Gentest-Unternehmens 23andMe. Der Vorwurf: Massive Sicherheitsversäumnisse, die 2023 zu einem der größten Datenlecks der Branche führten.

Millionen Kundendaten im Darknet

Im Zentrum der Klage stehen Sicherheitslücken zwischen April und Oktober 2023. Die Hacker nutzten eine Methode namens Credential Stuffing – sie griffen auf Login-Daten zurück, die bei einem früheren Angriff auf MyHeritage (2017) gestohlen worden waren. Zunächst knackten die Angreifer rund 14.000 Konten. Über die Funktion „DNA-Verwandte“ gelangten sie jedoch an die Daten von fast sieben Millionen Kunden weltweit.

Der Fall zeigt drastisch, wie gefährlich die Wiederverwendung alter Passwörter ist, da Hacker gestohlene Login-Daten systematisch für weitere Konten missbrauchen. Dieser kostenlose Guide erklärt Ihnen, wie Sie mit einem Passwort-Manager die volle Kontrolle über Ihre digitalen Zugänge zurückgewinnen und sich wirksam schützen. Kostenlosen Passwort-Guide jetzt herunterladen

Allein in Kalifornien sind mehr als 850.000 Einwohner betroffen. Die gestohlenen Daten umfassen rohe genetische Informationen, Gesundheitsberichte, Abstammungsdetails und Listen biologischer Verwandter. Besonders brisant: Die Angreifer blieben über fünf Monate unentdeckt. Im Oktober 2023 tauchten Datensätze von 1,1 Millionen Nutzern asiatisch-pazifischer und aschkenasisch-jüdischer Herkunft im Darknet auf – zum Verkauf angeboten.

Warnsignale ignoriert

Die Klage listet mehrere gravierende Versäumnisse auf. Im Juli 2023 verzeichnete das Unternehmen einen Anstieg von einer Million Login-Versuchen an einem einzigen Tag. Einen Monat später wies ein Reddit-Beitrag auf mögliche Sicherheitsprobleme hin. Dennoch unterließ es die Firma, rechtzeitig ein obligatorisches Passwort-Reset oder eine Zwei-Faktor-Authentifizierung einzuführen.

Pro Quartal werden Millionen von Online-Konten gehackt, oft weil klassische Passwörter nicht mehr ausreichen. Erfahren Sie in diesem kostenlosen Report, wie Sie moderne Alternativen wie Passkeys bei Amazon, WhatsApp und Co. einrichten, um Hackern keine Chance mehr zu lassen. Gratis-Report für maximale Konten-Sicherheit sichern

Erst nachdem der Schaden bereits eingetreten war, zahlte 23andMe ein Lösegeld von 400.000 Dollar in Kryptowährung an die Erpresser. Bontas Behörde sieht darin Verstöße gegen den California Consumer Privacy Act (CCPA), das Gesetz gegen irreführende Werbung und das Genetic Information Privacy Act. Gefordert werden Millionenstrafen sowie eine einstweilige Verfügung zur Einhaltung künftiger Datenschutzstandards.

Insolvenz und Übernahme

Die Klage fällt in eine Zeit des Umbruchs für den Gentest-Pionier. 23andMe meldete im März 2025 Chapter-11-Insolvenz an. Das TTAM Research Institute unter Führung von Anne Wojcicki erwarb die Vermögenswerte im Juli 2025 für 305 Millionen Dollar – trotz früherer Bedenken der kalifornischen Justiz.

Bereits 2024 hatte sich 23andMe in einem US-Sammelklageverfahren auf eine Zahlung zwischen 30 und 50 Millionen Dollar geeinigt. Die britische Datenschutzbehörde ICO verhängte zudem eine Geldstrafe von 2,31 Millionen Pfund, da der Vorfall mehr als 155.000 Briten betraf.

de | wissenschaft | 69452290 |