Young, Steuer-

Ernst & Young gehackt: Steuer- und Kontodaten von Mandanten gestohlen

Veröffentlicht: 18.07.2026 um 12:34 Uhr, Redaktion boerse-global.de

Ein Cyberangriff auf einen IT-Dienstleister von Ernst & Young gefährdet sensible Steuerdaten von Mandanten. Die Prüfungsgesellschaft reagiert mit Schutzmaßnahmen.

EY-Datenleck: Cyberangriff legt sensible Mandantendaten offen
Leuchtendes, verzerrtes Vorhängeschloss-Symbol über verschwommener Computertastatur, symbolisiert Datenleck. Illustration mit AI erstellt übermittelt durch boerse-global.de

Ein Cyberangriff auf einen IT-Dienstleister von Ernst & Young hat persönliche und finanzielle Daten von Mandanten offengelegt. Die Wirtschaftsprüfungsgesellschaft bestätigte den Vorfall am 17. Juli 2026. Unbefugte verschafften sich Zugriff auf ein Support-Ticket-System und erbeuteten Dokumente mit sensiblen Steuerinformationen.

Angriff dauerte zwei Wochen

Die Sicherheitslücke klaffte zwischen dem 28. März und dem 12. April 2026. Erst am 23. April entdeckten EY-Sicherheitsteams die ungewöhnlichen Aktivitäten auf der Plattform eines Drittanbieters. Die Ermittlungen laufen seitdem auf Hochtouren.

EY zog ein unabhängiges Cybersicherheitsunternehmen hinzu und beendete den unbefugten Zugriff umgehend. Die Benachrichtigung der betroffenen Mandanten begann jedoch erst am 13. Juli – fast drei Monate nach der Entdeckung. Ein Zeitraum, der bei Datenschutzexperten für Stirnrunzeln sorgen dürfte.

Was genau gestohlen wurde

Die Angreifer zielten auf Dokumente ab, die an IT-Support-Tickets angehängt waren. Die Dateien enthielten brisante Steuerdaten:

  • Sozialversicherungsnummern (vergleichbar mit der deutschen Steuer-ID)
  • Finanzkontodaten
  • Investmentbestände
  • Kredit- und Debitkarteninformationen
Anzeige

Der Vorfall bei EY zeigt eindringlich, wie schnell Sicherheitslücken bei IT-Dienstleistern zur Gefahr für das gesamte Unternehmen werden können. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und neuen Cyberrisiken Unternehmer jetzt kennen müssen, um sich proaktiv zu schützen. Jetzt Gratis-Report zu Cyber-Risiken anfordern

Wie viele Mandanten betroffen sind, hält EY bislang unter Verschluss. Offizielle Meldungen an die Generalstaatsanwaltschaften von Vermont und Kalifornien bestätigen mindestens 13 Betroffene allein in Vermont. Die tatsächliche Zahl dürfte angesichts der globalen Kundenbasis des Prüfungsriesen jedoch um ein Vielfaches höher liegen.

Schutzmaßnahmen und rechtliche Folgen

Die Bundespolizei FBI wurde eingeschaltet. Bislang gibt es keine Hinweise auf Missbrauch der gestohlenen Daten. Auffällig: Keine der bekannten Erpresserbanden hat sich zu dem Angriff bekannt.

EY bietet den Betroffenen einen 24-monatigen Identitätsschutz über Experian IdentityWorks an. Voraussetzung: Die Anmeldung muss bis zum 31. Oktober 2026 erfolgen.

Nicht der erste Vorfall

Die Datenpanne reiht sich in eine Serie von Sicherheitsvorfällen bei EY ein. Bereits 2023 legte ein Angriff auf den Dateitransferdienst MOVEit Daten von über 30.000 Personen offen. 2025 folgte die Offenlegung von SQL-Datenbank-Einträgen.

Anzeige

Immer mehr Unternehmen werden Opfer gezielter Cyberangriffe, wobei oft psychologische Schwachstellen der Mitarbeiter ausgenutzt werden. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen moderne Hacker-Methoden und Datenklau absichern kann. Kostenloses Anti-Phishing-Paket herunterladen

Anwaltskanzleien prüfen bereits Sammelklagen. Im Fokus: die Frage, ob EY bei der Auswahl und Überwachung seiner externen Dienstleister ausreichende Sicherheitsvorkehrungen getroffen hat. Für deutsche Mandanten stellt sich zudem die Frage, ob die EU-Datenschutz-Grundverordnung (DSGVO) hier greift – mit potenziell empfindlichen Strafen für den Konzern.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69794789 |