Startseite

Der Telekom-Code

Beim größten deutschen Telefonkonzern gab es über lange Zeit eine gravierende Sicherheitslücke. Sensible Kundendaten wurden geklaut. Das Unternehmen hat das lange vertuscht.

Von Johannes Röhrig

  • Johannes Röhrig

Die Szene ist krimireif: Volker Thiede eilt auf einen Mann im kurzärmligen Hemd und mit bunter Krawatte zu, der auffällig gelangweilt in der Columbus-Einkaufspassage in Bremerhaven steht. Er flüstert das Codewort: "Lorbass". In den Krawattenträger kommt Leben. Er eskortiert Thiede in einen T-Punkt-Laden. Beide verschwinden im Hinterzimmer. Dort legt der Computertechniker, der gelegentlich als Aushilfe in einem Callcenter jobbte, zwei Sicherheitsleuten der Telekom seinen Personalausweis vor - und packt aus.

Codewort: "Lorbass"

"Lorbass" bedeutet so viel wie Strolch. Nicht schlecht gewählt. Denn an diesem Tag, Anfang Oktober 2007, übergibt Thiede einen Packen Ausdrucke von Telekom-Kundendaten. Solche Kundeninformationen sind eigentlich streng geschützt. Zum Teil sind Bankverbindungen handschriftlich auf den Seiten notiert. Auch Zugangscodes für die interne Kundendatenbank der Telekom kann Thiede vorzeigen. Die Datensätze hatte der Chef des Callcenters, in dem Thiede gejobbt hatte, illegal beschafft. Heute, ein Jahr später, bringen diese Datensätze die Deutsche Telekom in Erklärungsnot.

Der Konzern hatte stets beteuert: Bei uns sind die Daten unserer 30 Millionen Festnetz- und 38 Millionen Mobilfunkkunden sicher. Tatsächlich hatte der rosa Riese ein gewaltiges Sicherheitsproblem: Betrügern wurde es allzu leicht gemacht, mit sensiblen Daten aus dem Inneren des Konzerns Geschäfte zu machen. Von jedem beliebigen Heimcomputer oder Internetcafé aus konnte man ins Allerheiligste der Telekom vordringen.

Kein Einzelfall

So kommt der Konzern binnen kurzer Zeit bereits zum dritten Mal wegen seines missbräuchlichen oder fahrlässigen Umgangs mit Daten ins Gerede. Im Mai war aufgeflogen, dass die Telekom eigene Aufsichtsräte sowie Journalisten bespitzeln ließ. Dabei waren Telefonverbindungen von Arbeitnehmervertretern in dem Kontrollgremium durchforstet worden. Man wollte herausfinden, wer mit der Presse in Kontakt stand.

Um die genauen Umstände des Datenklaus kümmern sich derzeit gleich zwei Staatsanwaltschaften. In Bremen laufen Ermittlungen gegen Thomas B., den ehemaligen Betreiber des Callcenters, in dem Informant Thiede arbeitete. Ein Verfahren in Bonn richtet sich gegen Thiede selbst. Er steht im Verdacht, die Telekom jüngst erneut per E-Mail kontaktiert zu haben, um sie mit dem Datenskandal zu erpressen. "Da hat jemand, der Alarm schlagen wollte, seine Formulierungen ungeschickt gewählt", sagt dessen Verteidiger Thomas Ohm aus Bonn.

Schon länger bekannt

Den Fall ins Rollen brachte vor wenigen Wochen die WDR-Sendung "Kriminalreport". Anonym schilderte Thiede darin, wie sein früherer Arbeitgeber in Bremerhaven mit sensiblen Daten von Telekom-Kunden hantierte und auf private Rechnung Provisionen für Telefonwerbeaktionen einstrich. Die Informationen nutzten Thomas B. und seine Drückerkolonne, um sich als Telekom-Mitarbeiter auszugeben. Viele Angerufene fielen darauf herein; sie ließen sich lange laufende Internetverträge der Telekom andrehen. "Die meisten gaben zudem freimütig ihre Bankdaten preis, als ihnen eine Gutschrift versprochen wurde", sagt Insider Thiede. Ob ihnen ein Schaden entstand, ist unklar.

Gegenüber dem TV-Team gab sich die Telekom seinerzeit ahnungslos: Der Konzern sei "Opfer hochkrimineller Machenschaften" geworden, sagte ein Sprecher. Das Unternehmen erstattete Anzeige.

In Wirklichkeit ist der Beschuldigte Thomas B. bei der Telekom kein Unbekannter: Er war zwischen Februar und September 2007 als Teilzeitkraft bei einem offiziellen Callcenter der Telekom-Tochter Vivento beschäftigt. Vermutlich verschaffte er sich damals auch Zugangsdaten anderer Mitarbeiter und nutzte sie für seine private Callcenterbude. Das fiel Telekom-intern sehr wohl auf: Die Konzernsicherheit wurde eingeschaltet, am 18. September 2007 bekam Thomas B. Hausverbot.

Provisionen für seine Drückerdienste stellte Thomas B. einem Subunternehmer des Telefonriesen in Rechnung: Laut Telekom kamen so zwischen Anfang April und Ende Juli 2007 exakt 1455 Euro zusammen; wie viel danach fällig wurde, ist ungeklärt. Die Staatsanwaltschaft geht zudem davon aus, dass Thomas B. die Datensätze auf dem Schwarzmarkt verkaufte. Thomas B. war für den stern nicht erreichbar. Wenn dies alles schon 2007 bekannt war, warum zeigte die Telekom ihren Ex-Mitarbeiter nicht bereits vor einem Jahr an? Einen kleinen Fisch, der mit mäßigem Erfolg versucht hatte, sie abzuzocken? Das fragt sich auch die Staatsanwaltschaft. Die Vermutung: Der Konzern habe zunächst Sicherheitslöcher stopfen wollen.

Problemloses Einloggen

Die Telekom teilt dazu heute lapidar mit, es seien "Mängel im Umgang mit Kennungen und Passwörtern festgestellt" worden. Rund 25.000 Mitarbeiter des Unternehmens haben Zugriff auf Kundendaten unterschiedlicher Qualität - meist sitzen sie in den firmeneigenen Callcentern. Der Fall von Thomas B. zeigt: Der Datenmissbrauch wurde ihm leicht gemacht. Die Callcenter-Mitarbeiter bei Vivento konnten sich mit einer simplen Kombination in die Telekom-Datenbank "Cosma" einwählen. Einzutippen war der Code "start01" sowie eine für alle gültige Zahlenkolonne plus Nachname und Anfangsbuchstabe des Vornamens. Schon war man drin und konnte von jedem Festnetzkunden der Telekom Anschrift, Telefonnummern und Mails sowie alle laufenden Verträge aufrufen. Im Klartext bedeutet das: Fälle wie der um Thomas B. hätte es überall geben können. Wer an Zugangsnamen und Passwörter kam - sie wurden auch im Internet illegal angeboten -, der hatte von jedem beliebigen Computer Zugriff auf die zentrale Kundendatenbank. Eine Registrierung, nach der etwa nur autorisierte PCs Zugriff erhalten, existierte damals nicht.

Der Sicherheitsbevollmächtigte der Telekom, Reinhard Rupprecht, sagt, die "Sicherheitslücke" sei "am 21. August 2007 generell geschlossen worden". Rupprecht selbst ist erst seit 2008 im Amt. Außerdem gibt die Telekom an, weder Konzernchef René Obermann, dem die Konzernsicherheit damals direkt unterstellt war, noch der für die Callcenter zuständige T-Vorstand Tim Höttges seien über das Datenloch informiert worden.

Nichtwissen und Abducken gehörten bei heiklen Fällen zur Geschäftspolitik. Auch als die Konzernsicherheit die Telefonlisten der eigenen Aufsichtsräte ausspähen ließ, will von den Oberen niemand verantwortlich gewesen sein. Die Betroffenen verständigte man erst, ein knappes Jahr nachdem die Aktion intern aufgefallen war. Glaubt man der Telekom, so müssen die Herren von der Unternehmenssicherheit ein merkwürdiges Eigenleben geführt haben.

print

Kommentare (0)

    Stern Logo Das könnte Sie auch interessieren

    Zu hohe Inkassogebühren, rechtens?
    Hallo, ich habe am 20 März 15 einen Vertrag über 12 Monate mit einem Fitness-Studio abgeschlossen. Die Kosten (9,98 € 14-Tägig, 39,99€ Verwaltung einmalig, 19,99 Trainer und Servicepauschale Jährlich) sollten per Einzugsermächtigung abgebucht werden. Kürzlich bekam ich überraschend einen Brief von einem Inkassobüro mit der Zahlungsaufforderung für die gesamten 12 Monate inkl. der Verwaltung und Servicepauschale + Auslagen des Gläubigers (63,38€), Zinsen (1,42€), Geschäftsgebühr (45€), Auskunftskosten (5€) , Auslagenpauschale (9€) Hauptforderung 320,28€ Offene Forderung 444,08€ Nach dem ich mich bei der Firma erkundet habe, sagten sie mir, dass Zahlung zurückgegangen ist da mein Konto nicht gedeckt sei. Fakt war das sie einen Zahhlendreher in der Kontonummer hatten obwohl im meinem Durchschlag die Richtige Kontonummer angegeben wurde. Aber im Original hat jemand aus einer 3 eine 8 geändert. Nach Überprüfung konnte ich Feststellen das es diese Kontonummer gar nicht gibt und das diese vom System gar nicht angenommen wird. Spätestens da hätte man mich doch hinweisen oder fragen können was mit dem Konto sei. Es kam nie ein zu einem Zahhlungsrückgang, noch zu einer Zahlungserinnerung Mahnung seitens des Fitnessstudios. Die AGB´s habe ich nie zu Gesicht nie bekommen und auch nicht gelesen - diese stehen (nach meiner Recherche) im Internet aber auch nicht definiert wie man in Zahlungsverzug kommt. Leider habe ich unterschrieben das sie mir bekannt sind. Dies steht ganz kleingedruckt im Durchschlag. Ich habe der Firma vorgeschlagen die offenen Beiträge bis jetzt zu bezahlen und für die Zukunft eine neue Einzugsermächtigung zu erteilen, was sie aber abgelehnt haben und mir gesagt haben ich soll dies mit dem Inkassobüro klären. Der Fitnessvertrag ist somit gesperrt seit einem Monat. Da ich aber mit den Gebühren, Mahnspesen von dem Inkassobüro nicht einverstanden bin weiß ich nicht ob ich diese bezahlen muss. Ich habe dem Inkassobüro auch vorgeschlagen die offenen Beiträge zu begleichen und diese dann wie vertraglich vereinbart abgebucht werden. Sie haben mir angeboten diese in einem Jahr zu einem monatlichen Beitrag von 35€ abzuzahlen. Dies währen Mehrkosten von 100€, ist das rechtens? Bitte Antworten sie mir in einer Sprache die ich auch versteh - mit langen Gesetzestexten kann ich leider nicht umgehen Und was Sie denken was ich tun soll was rechtens ist. Vielen Dank im Voraus

    Partner-Tools