Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Tätersuche: Vodafone-Datendieb soll externer Mitarbeiter sein

Zwei Millionen Kunden sind betroffen, Namen, Adressen und Bankdaten wurden kopiert: Der für Vodafone peinliche Diebstahl von Kundendaten geht wohl auf einen externen Mitarbeiter des Konzerns zurück.

Düsseldorf - Die Daten von zwei Millionen Kunden bei Vodafone Deutschland sollen von einem Insider gestohlen worden sein. Der mutmaßliche Angreifer arbeitete der Nachrichtenagentur dpa zufolge nicht bei Vodafone direkt, sondern war bei einem externen Dienstleister beschäftigt. Er hatte aber offenbar Informationen über den Administratoren-Bereich des Vodafone-Systems. Diese nutzte er, um an die Kundendaten zu gelangen. Vodafone sei demnach nicht zum Opfer einer Hackerattacke von außen geworden.

Vodafone selbst teilte mit, da der Angriff nur mit Insiderwissen möglich gewesen sei, habe das Unternehmen "sämtliche Passwörter und Zertifikate aller Administratoren geändert". Zudem würden "alle identifizierten Server aus Sicherheitsgründen komplett neu aufgesetzt".

Vodafone hatte den Angriff am Donnerstag öffentlich gemacht. Entdeckt wurde er dem Unternehmen zufolge aber bereits am 5. September. Die Strafverfolgungsbehörden hätten gebeten, damit nicht sofort an die Öffentlichkeit zu gehen, um den Hintergrund der Tat ungestört aufklären zu können. Der dpa zufolge ging es dabei auch um die Frage, ob der Verdächtige womöglich auch bei anderen Unternehmen zugeschlagen hat.

"Hohe kriminelle Energie und Insiderwissen"

Zu den erbeuteten Daten gehören die Namen der betroffenen Vodafone-Kunden, außerdem die Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer, teilte das Unternehmen mit. "Dieser Angriff war nur mit hoher krimineller Energie sowie Insiderwissen möglich und fand tief versteckt in der IT-Infrastruktur des Unternehmens statt", erklärte Vodafone.

Die zuständige Staatsanwaltschaft Düsseldorf wollte keine weiteren Details nennen. "Wir geben gar keine Einzelheiten bekannt, weil wir unsere eigenen Ermittlungen nicht gefährden wollen", sagte ein Sprecher. Er bestätigte, dass eine Hausdurchsuchung bei einem Tatverdächtigen stattgefunden habe. "Die Firma Vodafone arbeitet sehr eng mit uns zusammen."

Carola Elbrecht vom Verbraucherzentrale Bundesverband empfiehlt allen Betroffenen, "ihre Kontobewegungen sehr genau im Auge zu behalten und bei Unregelmäßigkeiten sofort ihre Bank zu kontaktieren". Eventuelle unberechtigte Abbuchungen per Lastschrift ließen sich ja "wieder rückgängig machen". Die Verbraucherschützerin mahnt: "Völlig achtlos können sich die Verbraucher nicht verhalten." Sollte trotz aller Vorsicht ein Schaden entstehen, müsste die Haftung wohl im Einzelfall geklärt werden.

Kontonummer und Bankleitzahl eintippen?

Vodafone gibt seinen Kunden auf einer eigens eingerichteten Internetseite Ratschläge zu dem Fall. Dort wird außerdem empfohlen, "mit möglichen telefonischen oder E-Mail-Anfragen, in denen Sie zur Herausgabe von persönlichen Informationen wie Passwörtern oder Kreditkartendaten aufgefordert werden, besonders vorsichtig umzugehen". Auf einer weiteren Website sollen besorgte Kunden nachsehen können, ob sie betroffen sind - dazu muss man dort allerdings seine Kontonummer und Bankleitzahl eintippen.

Vodafone hatte erst kürzlich zugeben müssen, die Sicherheit seiner Kunden auf anderem Wege gefährdet zu haben: Im August wurde bekannt, dass das Unternehmen mit Sicherheitslücken in von der Firma vertriebener Hardware sehr lax umgegangen war. Vodafone hatte Router mit gravierenden Sicherheitsproblemen an Kunden ausgeliefert.

Durch die Schwachstellen war es kriminellen Angreifern theoretisch möglich, die Geräte unbemerkt zu kapern. Die Lücke wurde von Angreifern auch tatsächlich ausgenutzt. Vodafone war das Problem monatelang bekannt. Doch erst nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vodafone-Kunden öffentlich gewarnt hatte, informierte der Konzern seine Kunden. Erst nach der BSI-Warnung sagte Vodafone auch zu, die Software der betroffenen Geräte zu aktualisieren.

Der Autor auf Facebook

cis/lis/dpa

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 52 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Nachgelagerte Verkettung der Verantwortung, um sich aus der Verantwortung zu drücken?
luwigal 12.09.2013
Das ist sehr problematisch. Denn, nicht nur um Kosten für das eigene Personal zu sparen, billiger geht es oft mithilfe von Dienstleistern, man kann dadurch auch die Verantwortung, die man für seine eigenen Kunden hat, auf diese verlagern. M.a.W., Pilatus-Taktik. Man spart Geld und wenn ´mal etwas passiert, dann waren es die anderen. Wer haftet in einem Fall wie diesen für Folgeschäden? Vodafone sicherlich nicht, V. schiebt den Schwarzen Peter dem Dienstleister zu. Ob der Dienstleister etwas taugt, seine Dienstleistung dem entspricht wofür er bezahlt wird, davon ist nicht die Rede.
2. Herrlich
tanmenu 12.09.2013
Zitat von sysopDPAZwei Millionen Kunden sind betroffen, Namen, Adressen und Bankdaten wurden kopiert: Der für Vodafone peinliche Diebstahl von Kundendaten geht wohl auf einen externen Mitarbeiter des Konzerns zurück. http://www.spiegel.de/netzwelt/netzpolitik/vodafone-datendieb-soll-externer-dienstleister-sein-a-921859.html
Ein minderbezahlter Mitarbeiter holte sich nur das, was ihm verweigert wurde. Weiter so. Die Firmen haben keine Skrupel in sicherheitsempfindlichen Bereichen einfach mal Leute vom Verleiher zu holen. Nach außen alles in Ordnung, nach innen eine Sicherheitskatastrophe. Die NSA ist da garnicht notwendig.
3. Unverständlich
mark e. ting 12.09.2013
Eine einfache Datenbank-Encryption reicht aus, um die Daten selbst für Datenbankadministratoren unleserlich und damit wertlos zu machen, ohne dass deren Job beeinträchtigt wird. Ich verstehe nicht warum dies nicht per Gesetz vorgeschrieben ist. Jeder Datenbankanbieter bietet solche Features an und der Preis ist günstig im Vergleich zu dem Schaden, der jetzt entsteht, angefangen beim Imageschaden bis hin zu Geldforderungen geschädigter Kunden... Unglaublich.
4.
Galladan 12.09.2013
Genial die verunsicherten Kunden jetzt noch nach den bisher fehlenden Kontonummern und Bankleitzahlen zu fragen. Stirn->Keyboard
5. egal
mark e. ting 12.09.2013
ist auch egal ob es ein Dienstleister oder ein interner Mitarbeiter war. Ist völlig wurscht. Vodafon muss dafür sorgen, dass die Daten sicher sind und mit einer Encryption ist das auf Datenbankebene ganz einfach zu lösen (siehe meinen letzten Post). Es geht ja noch weiter: warum soll ein Datenbankadministrator denn alle Daten sehen? Was haben den denn z.B. die Gehälter aller Mitarbeiter, oder die Adresssätze der Kunden zu interessieren. Völlig unwichtig für den, was in der Datanbank drin steht. Hier sollte an sich schon alles eingeschränkt sichtbar sein.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: