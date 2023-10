Massives Vodafone-Datenleck aufgedeckt: Kopien von Personalausweisen und Kreditkarten von Kunden abrufbar

Von: Michelle Mantey

Investigativ-Team findet Datenleck bei Vodafone. Persönliche Dateien wurden unzureichend geschützt. Diese Information sind teilweise unverschlüsselt einsehbar.

Essen – Um einen Mobilfunkvertrag abzuschließen, benötigen Vertragsanbieter häufig persönliche Daten wie die Bankverbindung, einen Personalausweis mit Name, Anschrift und Geburtsdatum. Gelangen diese Daten in die falschen Hände, so könnten fremde Personen Verträge abschließen, Einkäufe tätigen oder gar Bankkonten eröffnen. Immer wieder kommt es vor, dass durch Datenlecks bei verschiedenen Firmen persönliche Informationen in die Hände von Betrügerin gelangen.

Ein massives Datenleck deckten nun die Investigativjournalisten vom Correctiv bei Vodafone auf: So sollen Passwörter, Kundennummern und Kopien von Personalausweisen und Kreditkarten aufrufbar sein. Es handelt sich dabei um Informationen aus dem internen System des Mobilfunkanbieters, jedoch sollen diese unverschlüsselt zugänglich sein. Freien Zugriff auf diese Daten sollen nicht nur die Mitarbeiter des Konzerns, sondern auch Partneragenturen und Fachhändlern haben.

Investigativ-Team deckt Datenleck bei Vodafone auf. Personalausweise, Kreditkarten und Passwörter sind einsehbar. (Symbolbild) © Michael Gstettenbauer/IMAGO

Diese sensiblen Daten können vom Datenleck bei Vodafone betroffen sein

Die Investigativjournalisten fanden bei ihren Recherchen heraus, dass durch Abfragen im Vodafone-System persönliche Daten eingesehen werden können – und das ganz ohne doppelte Authentifizierung. Häufig seinen dabei auch Passwörter der Kunden ersichtlich gewesen. Außerhalb des internen Kernsystems von Vodafone wurden in unverschlüsselten Ordnern folgende Daten entdeckt:

Personalausweiskopien (Vorder- und Rückseite)

(Vorder- und Rückseite) Kopien der Bankkarten (Vorder- und Rückseite)

(Vorder- und Rückseite) Vertragsdetails

Kontonummern und Bankverbindungen

und Individuelle Handy-Kennung (IMEI-Daten)

(IMEI-Daten) Adressen

Geburtstage

Telefonnummern

Doch wie kommt es zu diesem Datenleck? Um die Anzahl der Vertragsabschlüsse und Umsatzzahlen zu erhöhen, verkaufen nicht nur Vodafone-Mitarbeiter die Verträge, sondern auch Agenturen und Fachhändler. Hierfür erhalten sie eine Provision von Vodafone, sowie Werbekostenzuschüsse. Um den Vertragsabschluss für die Vodafone-Partner zu vereinfachen, sollen auch die Händler und Agenturen laut dem Investigativ-Team Zugriff auf Daten der Mobilfunkgesellschaft haben.

Haben Kunden dort einen Vertrag abgeschlossen, sollen die Vodafone-Partner Kundendaten an den Konzern weiterleiten. Dort werden die Daten dann verschlüsselt und bei den Partneragenturen und Händlern. Doch das Datenleck soll durch die Art der Speicherung bei den Vodafone-Partnern zustande gekommen sein: So seien einige Dateien auf Sticks, in Google Cloudsystemen oder unsicher vor Ort verwahrt. Nach Übermittlung der Daten an Vodafone werden nach Bericht des Correctiv viele Kundendaten nicht gelöscht.

Was können Kunden tun, wenn sie vom Vodafone-Datenleck betroffen sind?

Erst im Juni 2023 soll es nach Bericht der Onlineplattform Chip einen Hackerangriff gegeben haben. Dabei wurden die Daten, wie Mailadresse und Passwörter einiger Vodafone-Kunden kopiert. Die betroffenen Personen wurden bereits von Vodafone über den Cyberangriff informiert.

Um festzustellen, ob Kunden von einem Datenmissbrauch betroffen sind, sollten sie folgendes beachten:

Kontobewegungen regelmäßig überprüfen

regelmäßig überprüfen Kreditkartenzahlungen im Blick behalten

im Blick behalten Passwörter regelmäßig erneuern (mindestens 8 Zeichen, mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen)

regelmäßig erneuern (mindestens 8 Zeichen, mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) Schufa-Auskunft anfordern und ggf. Falscheinträge melden

und ggf. Falscheinträge melden Vorsicht bei Preisgabe der eignen Daten . Nur Daten angeben, die für einen Vertragsabschluss erforderlich sind

. Nur Daten angeben, die für einen Vertragsabschluss erforderlich sind Quelle: Verbraucherschutzzentrale

Bereits 2021 habe sich Vodafone von einigen Partner aufgrund des Datenlecks getrennt

Wird ein Datenmissbrauch festgestellt, so kann bei der Polizei eine Strafanzeige gestellt werden. Auch Vodafone sei das Datenschutzleck aus dem Jahr 2021 bekannt und so habe der Konzern bereits Strafanzeige gegen einige Agenturen und Händler gestellt und die Zusammenarbeit mit 63 dieser Partner beendet. Doch laut dem Correktiv besteht dieses Leck noch immer.

Zwar wurde vom Konzern ein sicheres Tan-Verfahren zur Datensicherheit etabliert, jedoch könne dieses in Einzelfällen abgeschaltet werden. Eine doppelte Authentifizierung könne durch die Mitarbeiter häufig umgangen werden. Ein aktuelles Verfahren soll es laut der Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) bereits geben. Nähere Details sind bislang nicht bekannt.

