Telekom-Datenskandal Alle haben meine Daten


Schon wieder ein Skandal bei der Telekom. Dubiose Geschäftemacher haben jetzt auch Zugriff auf Adressen und Bankdaten von vielen Tausend Festnetzkunden. Erste illegale Abbuchungen hat es bereits gegeben. Und der Telefonkonzern schaut hilflos zu.
Von Johannes Röhrig

Wer den Stapel Briefe auf dem Couchtisch der Eheleute Bögel in Bonn sieht, bekommt eine Ahnung davon, wie viele Nerven es kostet, einen Vertrag wieder loszuwerden, der nie geschlossen wurde. Und der versteht auch, warum Hannelore und Karl Heinz Bögel so wütend auf die Telekom sind. Ihre extrem ärgerliche Geschichte begann am 29. Oktober 2007. Per Brief bedankt sich der Internetanbieter Freenet bei den Bögels für einen Auftrag über einen Netzanschluss: "Ihre Bestellung ist bei uns eingegangen." Noch am Tag des Briefeingangs ruft Hannelore Bögel die Hotline von Freenet an: Ihr Mann, so die Auskunft, habe den Auftrag per Internet eingereicht. "Das konnte nicht stimmen", sagt Bögel, "mein Mann kann mit solchen Sachen gar nicht umgehen." Sie befragt den Sohn. "Doch der war es auch nicht." Die Bögels stornieren die vermeintliche Bestellung.

Gut einen Monat später, am 3. Dezember 2007, kommt die nächste Auftragsbestätigung ins Haus. Diesmal wurden im Namen von Freenet gleich 9,90 Euro vom Sparkassenkonto der Bögels abgebucht. Erneut stoppt das Paar den ominösen Vorgang. Hannelore Bögel sperrt ihr Konto für alle Transaktionen von Freenet und beschwert sich bei dem Unternehmen. Dort kann man sich den Unmut nicht erklären: Der Auftrag sei korrekt eingegangen. Frau Bögel ging damals auch zur Polizei. Sie schrieb an die Staatsanwaltschaft. Und sie suchte Rat bei der Verbraucherzentrale. "Wie kommt jemand, den ich nicht kenne, an meine Bankdaten?", will sie wissen. Doch wo sie auch nachfragt: Niemand kann ihr erklären, wie sie und ihr Mann in die Fänge unseriöser Geschäftemacher geraten sind. Der stern konnte das Rätsel lösen. Die Bögels stehen auf Position 76 einer Liste mit mehr als tausend Namen, die der Redaktion anonym zugeschickt wurde. Die Eheleute Bögel waren erschrocken über das, was über sie bekannt ist: nicht nur Anschrift und Telefonnummer, sondern auch Kontoverbindung, Geburtsdaten sowie Details zu ihrem Telefonvertrag.

Kundendaten lassen sich nie wieder einsammeln

Heute ist klar: Sie wurden Opfer eines neuen Datenskandals bei der Deutschen Telekom. Die streng vertraulichen Daten werden derzeit offenbar von Adresshändlern vertrieben. Betroffen sind in großer Zahl Telekom-Kunden, die ihren traditionellen Festnetz- sowie Internetanschluss bei dem Ex-Monopolisten haben. Der stern hat zigtausend Datensätze eingesehen, die in der Branche kursieren. Doch es sollen noch mehr sein - sehr viel mehr: Zehntausende, wenn nicht Hunderttausende Kundenprofile inklusive Bankkontakten würden derzeit auf dem Markt angeboten, behaupten Insider. Überprüfen lässt sich die Zahl nur schwer.

Fest steht: Callcenter-Betreiber nutzten die Daten, um Vertragsabschlüsse vorzutäuschen wie im Fall der Bögels. Die Firmen, in deren Namen die Verträge gemacht werden, ahnen von dem Betrug oft gar nichts. Sie zahlen für die angeblichen Neukunden hohe Provisionen an Drückerfirmen. Erst wenn die sich dann beschweren, fliegt der Schmu auf. Freenet sagt dazu: "Wir hatten über eine geraume Zeit mit unseriösen Praktiken der Vertriebspartner zu kämpfen."

Im Zuge der Recherche übergibt der stern die Listen dem Datenschutzbeauftragten der Telekom. Der Konzern zeigt sich alarmiert und will Anzeige erstatten. Noch gibt es einige Ungereimtheiten: Die Daten betreffen zwar ausschließlich Telekom-Kunden. Konzern-Sicherheitschef Volker Wagner meint allerdings, dass es sich nicht um Originallisten handle: "Zum einen stimmt die Form nicht, zum anderen sind besonders Angaben zu Bankverbindungen und Geburtsdaten teilweise unterschiedlich zu unseren Kundendaten." Vermutlich haben Adresshändler oder Callcenter-Betreiber Telekom-Listen mit anderen Informationen aus dunklen Quellen angereichert. "Wir haben einen Verdacht", sagt Wagner. Doch selbst wenn die Händler geschnappt werden sollten - das Problem ist nicht erledigt. Die erschreckende Wahrheit heißt: Die Kundendaten lassen sich nie wieder einsammeln. Bürger, deren Adresse, Bankdaten und Telefonnummern einmal auf dem Schwarzmarkt kursieren, müssen ständig auf der Hut vor Betrügern sein.

Penetrante Werbung und gefälschte Auftragspost

Daten sind ein flüchtiges Gut - leicht zu kopieren und digital zu verschicken. Wenn sie erst breit gestreut sind, können sich die Betroffenen gegen Missbrauch nur noch durch Umzug und eine neue Kontoverbindung schützen. Wer weiß, wer schon alles im Besitz der Telekom-Listen ist? Die Bögels aus Bonn jedenfalls erhielten mehrfach unerwünscht Post: Nach dem Ärger mit dem Internetvertrag wurde ihnen ungefragt die Mitgliedskarte einer Touristikfirma per Post zugeschickt. Und wieder ging der Ärger von vorn los. Briefe schreiben, Behörden informieren.

Dutzende Telekom-Kunden, deren Namen auf den Listen stehen, berichten dem stern von unangenehmen Erfahrungen: Sie waren penetranter Werbung ausgesetzt oder erhielten gefälschte Auftragspost von Internetfirmen, Versicherungen und Glücksspielbuden. Zum Beispiel Maren Ehmke aus Hannover: Bei der Tiertherapeutin standen Vertreter vor der Praxis und offerierten eine Gutschrift über zehn Euro - allerdings in Verbindung mit einem neuen Handyvertrag von T-Mobile. Maren Ehmke ist Kundin bei der Konkurrenz. Sie lehnte ab und beschwerte sich bei der Telekom wegen der Aktion. "Auch meinen Festnetzvertrag habe ich mittlerweile gekündigt."

Petra N. aus Frankfurt sollte ein Glücksspiel angedreht werden. Sie erzählt, dass sie Post einer Lotterie erhielt, in der sie als neue Mitspielerin begrüßt wurde: "Ich habe das sofort per Einschreiben gestoppt." Anna R. aus München berichtet: "Die haben mehrmals Geld von meinem Konto abgebucht." Jedes Mal musste Anna R. widerrufen, was sie nie bestellt hatte, und die illegal abgebuchten Beträge bei der Bank zurückbuchen lassen. Für die Deutsche Telekom ist das neue Datendebakel ein weiterer ärgerlicher Vorfall in einer Kette von Verfehlungen und Skandalen. Der teilstaatliche Konzern hatte stets versichert, die persönlichen Informationen seiner 32 Millionen Festnetz- und 38 Millionen Mobilfunkkunden seien geschützt. Doch stattdessen schlittert das Unternehmen von einer Sicherheitspanne in die nächste.

Eklatante Sicherheitslücke

Zunächst war aufgeflogen, dass die Sicherheitsabteilung des Konzerns 2005 und 2006 illegal massenhaft Telefonverbindungen von Journalisten und den eigenen Aufsichtsräten und Betriebsräten ausgeforscht hatte (stern Nr. 48/2008 "Wir wurden bespitzelt"). Die Schnüffler von der Telekom wollten herausfinden, wer in Kontakt mit der Presse stand. In einem anderen Fall wurden ohne richterliche Genehmigung Telefonate abgehört, um vermeintlichen Computer-Hackern auf die Spur zu kommen. Vor sechs Wochen musste die Telekom außerdem "Mängel im Umgang mit Kennungen und Passwörtern" in den eigenen Callcentern eingestehen. Der stern hatte zuvor über die eklatante Sicherheitslücke bei Daten von Festnetzkunden berichtet (stern Nr. 41/2008, "Der Telekom- Code").

Das Leck sei am 21. August 2007 "generell" geschlossen worden, konterte der Sicherheitschef des Unternehmens damals. Nur Tage nach dem Schwur kam heraus, was die Telekom unter "generell" versteht: Kundendaten waren auch nach 2007 dilettantisch gesichert - allerdings diesmal die der Handysparte. Zudem kursiert seit mehr als zwei Jahren eine CD mit rund 17 Millionen Adressdaten von Mobilfunkkunden; zuletzt tauchte ein Exemplar bei einem Porno-Unternehmer auf.

Sieben Anzeigen und 18 Ermittlungsverfahren wegen Missbrauchs und Datendiebstahls bei der Telekom laufen derzeit schon. Der neue Datenschutz-Vorstand der Telekom, Manfred Balz, hatte gehofft, die Handy-Kundendaten seien Adresshändlern "zu heiß", um sie zu nutzen - aus welchem Grund auch immer. Das ist ein Irrglaube: Ein Frankfurter Callcenter etwa nutzte den Datenschatz, um Kunden gezielt Vertragsverlängerungen andrehen zu können. Etwa 5000 Aufträge seien zustande gekommen, sagt ein Insider: "Diese Daten sind in unserer Branche Gold wert."

Dabei ist Datenschutz bei der Telekom kein lästiges Übel, sondern Geschäftsgrundlage. Schon per Gesetz fällt dem teilstaatlichen Konzern eine besondere Aufgabe zu: Seit Anfang des Jahres müssen Telefonunternehmen die Verbindungsdaten ihrer Kunden sechs Monate lang speichern und den Behörden im Fall strafrechtlicher Ermittlungen zur Verfügung stellen. Ab kommendem Januar wird die Bestimmung aus dem Justizministerium auch auf den E-Mail-Verkehr ausgedehnt.

Der Sündenfall der Telekom

Die Telekom-Spitze versucht immer wieder, die Negativserie der Vergangenheit als eine Verkettung von Fehltritten einzelner Mitarbeiter darzustellen - vorwiegend unterer Chargen oder bereits abservierten Personals. "Das Unternehmen hat kein generelles Problem mit dem Datenschutz", sagt Vorstand Balz. Auch Telekom-Chef René Obermann, seit zehn Jahren im Konzern, will von Spitzeldiensten und Pannen stets erst im Nachhinein erfahren haben. Bislang kam Obermann mit dieser Version durch. Bei dem neuen Datendesaster spricht jedoch einiges dafür, dass die Konzernspitze diesmal eine Mitschuld trifft. Die Datensätze sind offenbar zu einer Zeit abhanden gekommen, zu der die Telekom selbst vehement auf Kundenfang ging: zwischen Jahresbeginn und Spätsommer 2007. Damals warb das Unternehmen auf Veranlassung des frisch ins Amt gehobenen Chefs Obermann massiv für ihre neuen Tarife "Call & Surf ". Dabei verlor der Konzern offenbar die Kontrolle über die Aktion.

Die Deutsche Telekom steckte zu der Zeit in einer noch prekäreren Lage als heute. Ihr liefen die Kunden in Scharen davon. Rund 200.000 kündigten jeden Monat den traditionellen Telefonanschluss. Zudem attackierten die Wettbewerber den einstigen Monopolisten auch auf dem Internetmarkt. So konnte es nicht weitergehen. Obermann blies zur Offensive. Mit Lockangeboten und Preissenkungen sollten zumindest beim Internet Anteile erobert werden. "Das Imperium schlägt zurück", gab Obermann als Losung aus. Dumm nur, dass der schneidige Obermann es sich in jener Sturmzeit ausgerechnet mit seiner Belegschaft verscherzte.

Zum ersten Mal in der Geschichte der Deutschen Telekom kommt es im Mai 2007 zum Streik gegen Auslagerung und Gehaltskürzungen. Doch wie soll ein Imperium zuschlagen, wenn die Soldaten nicht kämpfen wollen? Da begeht die Telekom den Sündenfall: Sie spannt verstärkt externe Dienstleister für die Vermarktung ihrer Internettarife ein. Sie treibt die Drückerszene mit hohen Provisionszahlungen an. Und sie erleichtert den Zugriff auf sensible Kundendaten.

Mehr Zugriffsrechte für Vertriebsfirmen

Eine Pyramide aus Groß- und Zwischenhändlern, Subunternehmen und Mini-Callcentern besorgte fortan den Vertrieb. Nur zur Spitze in dem Drückergebäude unterhielt die Telekom direkte Geschäftsbeziehungen; hier werden die Verträge gesammelt und abgerechnet. Die Etagen bis zum Keller hinab überließ der Konzern - zumindest anfangs - sich selbst. Provisionen von 50 Euro und mehr zahlte die Telekom zeitweise für simple Vertragsverlängerungen. Unter Drückern ist das viel Geld, zumal der Job ziemlich einfach schien: Über die obere Vertriebsebene erhielten sie Telekom-Kundenlisten zum Abtelefonieren. Diese Menschen mussten also nicht erst bekehrt werden. Es ging nur darum, ihnen etwa durch Preisnachlässe zweijährige Vertragslaufzeiten schmackhaft zu machen. Auf diese lang laufende Bindung kam es dem Konzern damals an. So sollte endlich der Kunden-Exodus gebremst werden.

Die Aktion schlug ein. 1,5 Millionen Kunden buchten binnen drei Monaten die neuen Internettarife. Viele aufgrund der Telefonwerbeaktion. Damals traten Tausende externe Telefonwerber im Namen der Telekom auf. Auf den Listen fehlten streng vertrauliche Angaben wie etwa Bankverbindungen. Die mussten die Drücker bei ihren Anrufen selbst erfragen. Die meisten Kunden gaben bereitwillig Auskunft. Immerhin fühlten sie sich in dem Glauben, mit der Deutschen Telekom zu sprechen. Doch dann machte es der Konzern den Datendieben noch leichter. Als sich intern die Aufträge stauen, ändert die Telekom ihr Eingabesystem und räumt Vertriebsfirmen mehr Zugriffsrechte ein.

Nun können sie selbst Daten in dem Kundenportal abgleichen. In einem Rundbrief von August 2007 heißt es: "Um Ihnen die Auftragserfassung weiter zu erleichtern, haben wir neue Funktionalitäten (...) integriert." Eine der vermeintlich segensreichen Neuerungen des Datenportals: die "Einbindung vorhandener Bankdaten". Die Telekom sagt heute: Die Daten wurden nicht übertragen, sie konnten von Vertriebsfirmen nur einzeln abgeglichen werden.

Reaktion kam zu spät

Ihre Vertriebsfirmen schwört die Telekom auf Datenschutzbestimmungen ein. Sie hat auch einen schönen Verhaltenskatalog formuliert und an externe Callcenter verschickt. Aber kann man sich vor Diebstahl schützen, indem man ein Schild aufhängt - "Stehlen verboten!" - und die Tür dann offen stehen lässt? Zumal man im Konzern wusste, dass einige der Callcenter offensichtlich nicht sauber arbeiteten. Das geht aus vertraulichen Unterlagen von Ende Juli 2007 hervor.

Darin mahnt die Telekom-Vertriebsleitung, dass sich Kunden über unseriöse Methoden der Werber beschwerten. Die Medien seien auch schon auf die "zunehmende Akquise via Telefon" aufmerksam geworden. "Wir müssen die Gefahrenquellen "analysieren und gemeinsam abschalten." Bis Oktober 2007, so der Plan, sollten zwielichtige Callcenter-Buden aussortiert werden. "Kein Ärger mehr!", so steht es in dem Papier. Doch es ist zu spät: Jemand hat die Daten offensichtlich bereits abgefischt.

print

Mehr zum Thema


Wissenscommunity


Newsticker