Der Telekom-Code

9. Oktober 2008, 15:53 Uhr

Beim größten deutschen Telefonkonzern gab es über lange Zeit eine gravierende Sicherheitslücke. Sensible Kundendaten wurden geklaut. Das Unternehmen hat das lange vertuscht. Von Johannes Röhrig

Volker Thiede, 49, jobbte als Telefonwerber und kennt die Tricks der Branche. Er warnte die Konzernsicherheit der Telekom in Bonn. Die zeigte ihn wegen Erpressung an©

Die Szene ist krimireif: Volker Thiede eilt auf einen Mann im kurzärmligen Hemd und mit bunter Krawatte zu, der auffällig gelangweilt in der Columbus-Einkaufspassage in Bremerhaven steht. Er flüstert das Codewort: "Lorbass". In den Krawattenträger kommt Leben. Er eskortiert Thiede in einen T-Punkt-Laden. Beide verschwinden im Hinterzimmer. Dort legt der Computertechniker, der gelegentlich als Aushilfe in einem Callcenter jobbte, zwei Sicherheitsleuten der Telekom seinen Personalausweis vor - und packt aus.

Codewort: "Lorbass"

"Lorbass" bedeutet so viel wie Strolch. Nicht schlecht gewählt. Denn an diesem Tag, Anfang Oktober 2007, übergibt Thiede einen Packen Ausdrucke von Telekom-Kundendaten. Solche Kundeninformationen sind eigentlich streng geschützt. Zum Teil sind Bankverbindungen handschriftlich auf den Seiten notiert. Auch Zugangscodes für die interne Kundendatenbank der Telekom kann Thiede vorzeigen. Die Datensätze hatte der Chef des Callcenters, in dem Thiede gejobbt hatte, illegal beschafft. Heute, ein Jahr später, bringen diese Datensätze die Deutsche Telekom in Erklärungsnot.

Der Konzern hatte stets beteuert: Bei uns sind die Daten unserer 30 Millionen Festnetz- und 38 Millionen Mobilfunkkunden sicher. Tatsächlich hatte der rosa Riese ein gewaltiges Sicherheitsproblem: Betrügern wurde es allzu leicht gemacht, mit sensiblen Daten aus dem Inneren des Konzerns Geschäfte zu machen. Von jedem beliebigen Heimcomputer oder Internetcafé aus konnte man ins Allerheiligste der Telekom vordringen.

Kein Einzelfall

So kommt der Konzern binnen kurzer Zeit bereits zum dritten Mal wegen seines missbräuchlichen oder fahrlässigen Umgangs mit Daten ins Gerede. Im Mai war aufgeflogen, dass die Telekom eigene Aufsichtsräte sowie Journalisten bespitzeln ließ. Dabei waren Telefonverbindungen von Arbeitnehmervertretern in dem Kontrollgremium durchforstet worden. Man wollte herausfinden, wer mit der Presse in Kontakt stand.

Rund 25 000 Telekom-Mitarbeiter haben Zugriff auf die Kundendatenbank des Telefonriesen. Immer wieder gelangen Zugangscodes auf den Schwarzmarkt©

Um die genauen Umstände des Datenklaus kümmern sich derzeit gleich zwei Staatsanwaltschaften. In Bremen laufen Ermittlungen gegen Thomas B., den ehemaligen Betreiber des Callcenters, in dem Informant Thiede arbeitete. Ein Verfahren in Bonn richtet sich gegen Thiede selbst. Er steht im Verdacht, die Telekom jüngst erneut per E-Mail kontaktiert zu haben, um sie mit dem Datenskandal zu erpressen. "Da hat jemand, der Alarm schlagen wollte, seine Formulierungen ungeschickt gewählt", sagt dessen Verteidiger Thomas Ohm aus Bonn.

Schon länger bekannt

Den Fall ins Rollen brachte vor wenigen Wochen die WDR-Sendung "Kriminalreport". Anonym schilderte Thiede darin, wie sein früherer Arbeitgeber in Bremerhaven mit sensiblen Daten von Telekom-Kunden hantierte und auf private Rechnung Provisionen für Telefonwerbeaktionen einstrich. Die Informationen nutzten Thomas B. und seine Drückerkolonne, um sich als Telekom-Mitarbeiter auszugeben. Viele Angerufene fielen darauf herein; sie ließen sich lange laufende Internetverträge der Telekom andrehen. "Die meisten gaben zudem freimütig ihre Bankdaten preis, als ihnen eine Gutschrift versprochen wurde", sagt Insider Thiede. Ob ihnen ein Schaden entstand, ist unklar.

Gegenüber dem TV-Team gab sich die Telekom seinerzeit ahnungslos: Der Konzern sei "Opfer hochkrimineller Machenschaften" geworden, sagte ein Sprecher. Das Unternehmen erstattete Anzeige.

In Wirklichkeit ist der Beschuldigte Thomas B. bei der Telekom kein Unbekannter: Er war zwischen Februar und September 2007 als Teilzeitkraft bei einem offiziellen Callcenter der Telekom-Tochter Vivento beschäftigt. Vermutlich verschaffte er sich damals auch Zugangsdaten anderer Mitarbeiter und nutzte sie für seine private Callcenterbude. Das fiel Telekom-intern sehr wohl auf: Die Konzernsicherheit wurde eingeschaltet, am 18. September 2007 bekam Thomas B. Hausverbot.

Telekom-Chef René Obermann. Er war angeblich über das Sicherheitsloch nicht informiert©

Provisionen für seine Drückerdienste stellte Thomas B. einem Subunternehmer des Telefonriesen in Rechnung: Laut Telekom kamen so zwischen Anfang April und Ende Juli 2007 exakt 1455 Euro zusammen; wie viel danach fällig wurde, ist ungeklärt. Die Staatsanwaltschaft geht zudem davon aus, dass Thomas B. die Datensätze auf dem Schwarzmarkt verkaufte. Thomas B. war für den stern nicht erreichbar. Wenn dies alles schon 2007 bekannt war, warum zeigte die Telekom ihren Ex-Mitarbeiter nicht bereits vor einem Jahr an? Einen kleinen Fisch, der mit mäßigem Erfolg versucht hatte, sie abzuzocken? Das fragt sich auch die Staatsanwaltschaft. Die Vermutung: Der Konzern habe zunächst Sicherheitslöcher stopfen wollen.

Problemloses Einloggen

Die Telekom teilt dazu heute lapidar mit, es seien "Mängel im Umgang mit Kennungen und Passwörtern festgestellt" worden. Rund 25.000 Mitarbeiter des Unternehmens haben Zugriff auf Kundendaten unterschiedlicher Qualität - meist sitzen sie in den firmeneigenen Callcentern. Der Fall von Thomas B. zeigt: Der Datenmissbrauch wurde ihm leicht gemacht. Die Callcenter-Mitarbeiter bei Vivento konnten sich mit einer simplen Kombination in die Telekom-Datenbank "Cosma" einwählen. Einzutippen war der Code "start01" sowie eine für alle gültige Zahlenkolonne plus Nachname und Anfangsbuchstabe des Vornamens. Schon war man drin und konnte von jedem Festnetzkunden der Telekom Anschrift, Telefonnummern und Mails sowie alle laufenden Verträge aufrufen. Im Klartext bedeutet das: Fälle wie der um Thomas B. hätte es überall geben können. Wer an Zugangsnamen und Passwörter kam - sie wurden auch im Internet illegal angeboten -, der hatte von jedem beliebigen Computer Zugriff auf die zentrale Kundendatenbank. Eine Registrierung, nach der etwa nur autorisierte PCs Zugriff erhalten, existierte damals nicht.

Der Sicherheitsbevollmächtigte der Telekom, Reinhard Rupprecht, sagt, die "Sicherheitslücke" sei "am 21. August 2007 generell geschlossen worden". Rupprecht selbst ist erst seit 2008 im Amt. Außerdem gibt die Telekom an, weder Konzernchef René Obermann, dem die Konzernsicherheit damals direkt unterstellt war, noch der für die Callcenter zuständige T-Vorstand Tim Höttges seien über das Datenloch informiert worden.

Nichtwissen und Abducken gehörten bei heiklen Fällen zur Geschäftspolitik. Auch als die Konzernsicherheit die Telefonlisten der eigenen Aufsichtsräte ausspähen ließ, will von den Oberen niemand verantwortlich gewesen sein. Die Betroffenen verständigte man erst, ein knappes Jahr nachdem die Aktion intern aufgefallen war. Glaubt man der Telekom, so müssen die Herren von der Unternehmenssicherheit ein merkwürdiges Eigenleben geführt haben.

Übernommen aus ... Stern Ausgabe 41/2008

Zum Thema
Schlagwörter powered by wefind WeFind
Bonn Bremerhaven Deutsche Telekom Nichtwissen Personalausweis
Wirtschaft
Ratgeber
Ratgeber Geldanlage: Legen Sie Ihr Geld richtig an Ratgeber Geldanlage Legen Sie Ihr Geld richtig an
Ratgeber Altersvorsorge: So sorgen Sie fürs Alter vor Ratgeber Altersvorsorge Den Ruhestand sorgenfrei genießen
Tools und Vergleichsrechner
Krankenkassen-Vergleich Krankenkassen-Vergleich Sie suchen eine neue Krankenversicherung? stern.de findet die passende für Sie! mehr... >
 
Noch Fragen?

Neue Fragen aus der Wissenscommunity

  von Gast 104849: ist es möglich mit 58 Jahren (weibl.) angestellt zu werden?

 

  von hacalu: Bin zur Zeit arbeitslos, bekomme 21 Tage urlaub. Warum wird Samstag und Sonntag als Urlaubstag mit...

 

  von Gast 104798: Lohn für Wiedereinsteiger als Elektriker. Wie hoch ist der Stundenlohn?

 

  von moonlady123456: Flash-Player deinstallieren wegen Sicherheitslücke...?

 

  von Gast 104778: Sim -Karten Wechsel

 

  von Gast 104762: Ich habe bereits einen Minijob, kann man einen zweiten über seinen Ehepartner anmelden ?

 

  von Gast 104747: Wo werden Wrangler Jeans hergestellt

 

  von Gast 104735: Hausbau, steuerliche Vorteile oder auch Nachteile

 

  von Labia: Krankheitsbild

 

  von Amos: Rauchen auch auf dem Balkon bald verboten? Rauchen nur noch im Keller unter Luftabschluß?

 

  von Amos: Ich kapiere es einfach nicht: hätte ich 100.000 Schweizer Franken: wären das jetzt mehr oder...

 

  von StechusKaktus: Was genau kauft die EZB im Rahmen des QE an?

 

  von blog2011: Problem mit dem Downloadhelper auf YouTube im Firefox-Browser

 

  von bh_roth: Gibt es mehr als einen Bundespräsidenten??

 

  von Gast 104252: Umzug eines Hartz iv-Empfängers in das elterliche Haus

 

  von wiesse: Muss ein Inkassobüro den Nachweis erbringen, dass sie den Auftrag vom Auftraggeber erhalten haben

 

  von Reinhard49: wie hoch ist die Kfz-Steuer bei Dieselfahrzeugen

 

  von Gast 104125: Warum weht der Wind VOM Tiefdruckgebiet her ? Zum Luftdruckausgleich müsste ein Tief doch eher...

 

  von Celsete: Muss man sich mit dem System Hartz IV abfinden?

 

  von Amos: Hörte eben: the Secretary General für den Uno-Generalsekretär. Wieso ist das umgekehrt wie im...