Discord untersucht ein Sicherheitsereignis vom 20. September 2025, das auf den Verstoß bei einem Drittanbieter zurückgeführt wird. Laut dem Unternehmen wurde der betroffene Support-Provider schnell vom Ticket-System isoliert, und es seien nur ein „begrenzter Teil“ der Nutzer betroffen, die mit Support und Trust & Safety interagierten. Besonders sensibel: Angreifer erhielten Zugriff auf Abbildungen von Ausweisdokumenten einer kleineren Nutzergruppe, die eine Altersverifizierung durchlief. Parallel dazu wies der Support-Dienstleister 5CA den Verdacht einer Kompromittierung seiner Systeme entschieden zurück.
Zeitleiste des Vorfalls und strittige Zahlen zum Umfang der Datenpanne
Während Discord keine genauen Opferzahlen nannte, berichtete BleepingComputer, die Attacke könne im Zusammenhang mit der Plattform Zendesk stehen. Eine Gruppe unter dem Namen Scattered Lapsus$ Hunters (mit Bezügen zu Scattered Spider, LAPSUS$ und ShinyHunters) behauptete den Diebstahl von Daten von 5,5 Millionen Nutzern, darunter bis zu 2,1 Millionen Ausweiskopien sowie Teile von Zahlungsinformationen. Discord widersprach öffentlich dieser Größenordnung und bezifferte potenziell betroffene Ausweisbilder auf rund 70.000. Die Unternehmenssysteme selbst seien nicht kompromittiert worden, so die Darstellung.
Position von 5CA: Keine Kompromittierung der eigenen Infrastruktur
5CA erklärt, die eigenen Plattformen seien „geschützt und unter strenger Kontrolle“, der Vorfall habe sich außerhalb der eigenen Infrastruktur ereignet. Das Unternehmen betont zudem, keine staatlichen Ausweisunterlagen für Discord zu verarbeiten. Nach vorläufiger Prüfung sieht 5CA menschliches Versagen als mögliche Ursache und berichtet von keinen Anzeichen einer Beeinträchtigung anderer Kunden, Systeme oder Daten.
Analyse: Supply-Chain-Angriffe, KYC/Altersverifizierung und Minimierung von Hochrisikodaten
Der Vorfall illustriert den klassischen Supply-Chain-Risikofaktor: Auch bei gut gehärteten Kernsystemen kann ein kompromittierter Dienstleister zu Datenabflüssen führen. Besonders kritisch sind dabei Ausweisbilder, die im KYC- bzw. Age-Verification-Prozess anfallen. Solche Daten eröffnen Angreifern Möglichkeiten für Identitätsbetrug, zielgerichtetes Phishing und missbräuchliche Kontoeröffnungen.
Branchenberichte stützen diese Sicht: Der IBM Cost of a Data Breach Report 2024 zeigt, dass Vorfälle mit Drittparteien zu den kostenintensivsten und langwierigsten zählen, während der Verizon Data Breach Investigations Report 2024 Fehlkonfigurationen und menschliche Fehler weiterhin als zentrale Ursachen benennt. In der Praxis senken Datenminimierung, strikte Zugriffstrennung (Least Privilege, Just-in-Time), sowie Ende-zu-Ende-Verschlüsselung und klar definierte Aufbewahrungs- und Löschfristen für Ausweisbilder das Schadenspotenzial deutlich.
Organisatorisch entscheidend sind regelmäßige Lieferanten-Risikobewertungen, Audits von Zugriffs- und Systemlogs, sowie Notfallpläne zum raschen Entkoppeln von Integrationen im Incident-Fall. „Tabletop“-Übungen mit Dienstleistern schärfen Abläufe, Zuständigkeiten und Kommunikationswege.
Konkrete Schutzmaßnahmen für Nutzer
Nutzer sollten Mehrfaktor-Authentifizierung (MFA) aktivieren und Passwörter aktualisieren, insbesondere bei möglicher Wiederverwendung. Vorsicht ist geboten bei Nachrichten, die auf „Identitätsprüfung“ oder „Zahlungsbestätigung“ verweisen – ein übliches Muster für Phishing. Finanztransaktionen sind zu überwachen; wo verfügbar, helfen Bank-Benachrichtigungen. In Ländern mit Auskunfteien empfiehlt sich Kreditmonitoring oder ein vorübergehender Credit Freeze.
Empfehlungen für Organisationen und Plattformbetreiber
Unternehmen sollten Integrationen mit Support- und Verifizierungs-Providern hart segmentieren: Mandantenisolation, Tokenisierung, Wasserzeichen auf Ausweisbildern und Leak-„Red Lists“ erhöhen die Resilienz. Strenge Retention-Policies für ID-Dokumente sind Pflicht: nur das Nötigste speichern und Originale nach Abschluss der Prüfung automatisiert löschen. Incident-Management-Tests mit Einbindung der Dienstleister – inklusive rechtlicher und kommunikativer Szenarien – verkürzen Reaktionszeiten und senken Folgekosten.
Der Disput zwischen Discord und 5CA legt ein strukturelles Problem offen: Das schwächste Glied liegt oft außerhalb der Kernplattform. Unabhängig vom endgültigen Ermittlungsresultat sind ein robuster Third-Party-Sicherheitsrahmen, die konsequente Reduktion hochsensibler Daten und disziplinierte Verifizierungsprozesse die beste Absicherung. Nutzer wie Organisationen sollten jetzt ihre Grundhygiene in der IT-Sicherheit stärken, Phishing-Erkennung schulen und Notfallprozesse realitätsnah erproben.
