195 million records. Nine Mexican federal institutions. One month-long operation uncovered not by any government agency, but by an Israeli cybersecurity startup that stumbled onto the attacker's logs. (Gambit Security, February 2026. Confirmed by SecurityWeek and Bloomberg.)
This was not an outlier. Latin American organizations faced 3,065 cyberattacks per week in December 2025, the sharpest regional increase globally, up 26% year on year. Government was the second most targeted sector. (Check Point Research, December 2025.)
SAT was among the targets. So was INE, the electoral institute. So were state governments in Jalisco, Michoacán and Tamaulipas, Mexico City's civil registry, and Monterrey's water utility.
This is not a story about what was stolen. It is a story about what was already there, and what will be targeted next.
Every foreign company registered to operate in Mexico files with SAT. Tax returns, payroll records, transfer pricing documentation. That includes the Mexican subsidiaries of more than 2,000 German firms. None of them chose to be in this breach. None of them can opt out retroactively. (CAMEXA, Mexico Ministry of Economy.)
Germany's LkSG requires parent companies to assess supply chain risk. The implementation frameworks cover labor, environment, governance. Digital infrastructure risk in host-country government systems is not on the checklist. The average cost of an AI-powered breach in 2025 was $5.72 million. That number will concentrate minds faster than any compliance framework. (IBM Security, 2025.)
TLCUEM, the modernized EU-Mexico trade agreement, has a digital trade chapter. It contains no binding cybersecurity standards for government systems holding foreign corporate data. (European Commission, 2024 text.)
The breach is four months old. The regulatory gap is not closing. Issue 3 of Das Mexiko Dossier covers it this Tuesday.
🇲🇽🇩🇪
Deutsche Version
Cybersicherheit gehört in das TLCUEM. Bisher fordert es niemand.
Der Angriff hat bereits stattgefunden. Die Folgen für deutsche Unternehmen dauern an.
195 Millionen Datensätze. Neun mexikanische Bundesbehörden. Eine monatelange Operation, die nicht von einer Regierungsbehörde aufgedeckt wurde, sondern von einem israelischen Cybersicherheits-Startup, das zufällig auf die Protokolle des Angreifers stieß. (Gambit Security, Februar 2026. Bestätigt von SecurityWeek und Bloomberg.)
Das war kein Einzelfall. Organisationen in Lateinamerika waren im Dezember 2025 durchschnittlich 3.065 Cyberangriffen pro Woche ausgesetzt, der stärkste regionale Anstieg weltweit, plus 26 Prozent im Jahresvergleich. Der Regierungs- und Militärsektor war der am zweithäufigsten angegriffene Sektor. (Check Point Research, Dezember 2025.)
Zu den betroffenen Institutionen gehörten das SAT, die mexikanische Steuerbehörde, das INE, das nationale Wahlinstitut, Landesregierungen in Jalisco, Michoacán und Tamaulipas, das Standesamt von Mexiko-Stadt sowie das Wasserversorgungsunternehmen von Monterrey.
Es geht nicht darum, was gestohlen wurde. Es geht darum, was dort bereits lag und was als nächstes ins Visier geraten wird.
Jedes ausländische Unternehmen, das in Mexiko registriert ist, reicht beim SAT Unterlagen ein: Steuererklärungen, Lohnunterlagen, Verrechnungspreisdokumentation. Das gilt auch für die mexikanischen Tochtergesellschaften von mehr als 2.000 deutschen Unternehmen. Keines von ihnen hat diesen Datenverlust zu verantworten. Keines kann rückwirkend aussteigen. (CAMEXA, Secretaría de Economía.)
Das LkSG verpflichtet deutsche Muttergesellschaften zur Sorgfaltspflicht entlang der Lieferkette. Die Umsetzungsrahmen decken Arbeit, Umwelt und Governance ab. Digitale Infrastrukturrisiken in Behörden des jeweiligen Gastlandes stehen nicht auf der Prüfliste. Die durchschnittlichen Kosten eines KI-gestützten Cyberangriffs lagen 2025 bei 5,72 Millionen US-Dollar. Diese Zahl wird die Aufmerksamkeit der Verantwortlichen schneller auf sich ziehen als jeder Compliance-Rahmen. (IBM Security, 2025.)
TLCUEM, das modernisierte Handelsabkommen zwischen der EU und Mexiko, enthält ein Kapitel zum digitalen Handel. Es schreibt keine verbindlichen Cybersicherheitsstandards für Behörden vor, die Unternehmensdaten ausländischer Firmen verwalten. (Europäische Kommission, Text 2024.)
Der Angriff liegt vier Monate zurück. Die regulatorische Lücke schließt sich nicht. Das Mexiko Dossier, Ausgabe 3, geht dieser Frage am kommenden Dienstag nach.
🇲🇽🇩🇪 Das Mexiko Dossier