Die Kunden des größten Mobilfunkbetreibers in den Niederlanden zittern um ihre privaten Daten. Es geht um die frühere T-Mobile Niederlande, die bis vor vier Jahren zur Deutschen Telekom gehörte und heute Odido heißt. In einem besonders schweren Cyberangriff haben Kriminelle Daten der gut sechs Millionen Kunden erbeutet und im Darkweb veröffentlicht.
Dazu gehören Angaben, die Betrüger im geschäftlichen Verkehr online oder telefonisch zur Identifikation missbrauchen könnten. Nach Odido-Angaben sind neben E-Mail-Adressen und Mobilnummern auch Wohnadressen, Kontonummern (IBAN), Geburtsdatum und Reisepass- und Führerscheindaten erbeutet worden. Nicht alle Kunden sind offenbar gleich schwer betroffen. Die Cyberkriminellen von der Hackergruppe Shinyhunters publizierten die Angaben im Darknet in mehreren Tranchen – die letzte am vergangenen Sonntag. Von dort können sie ins reguläre Internet gelangen. Die niederländische Polizei verfügt über den Datensatz und hat eine Internetseite errichtet, über welche Bürger kontrollieren können, inwieweit sie betroffen sind.
Wer hat den Kundendienst bepöbelt, wer hatte Zahlungsprobleme?
Der öffentlich-rechtliche Rundfunk NOS kommunizierte nach eigenen Angaben mit Shinyhunters und analysierte die Beute. Demnach sind mindestens 6,5 Millionen Personen und 600.000 Unternehmen betroffen. Der NOS entdeckte etwas mehr als fünf Millionen Nummern aus Ausweisdokumenten: aus Führerscheinen und Pässen, aber auch Aufenthaltsdokumenten von Diplomaten. Zudem gebe es zu 44.000 Kunden Aufzeichnungen des Kundendiensts. „Kunde scheint während des Telefonats unter Einfluss [von Alkohol oder Drogen] zu stehen“, heißt es demnach in einem Fall. Auch der private Fernsehsender SBS6 zitiert aus solchen Notizen, die nun offenliegen. Zum Beispiel: „Kunde ist sehr unhöflich und respektlos gegenüber dem Kundendienst.“ Oder: „Kunde lässt einen nicht aussprechen, fängt an zu schimpfen.“ Gravierender: Publik sind dem Bericht zufolge nun auch Daten über Kunden, die vor Jahren Zahlungsprobleme hatten und Schuldnerhilfe in Anspruch genommen hatten. Odido bestätigte dazu auf Anfrage nur, dass „Notizen in unserem Kundenbeziehungssystem Teil des betroffenen Datensatzes sind. Diese Notizen sind angefertigt und gespeichert worden, um unseren Kundendienst so gut wie möglich in die Lage zu versetzen, Kunden zu helfen.“
Eigentümer sind die Finanzinvestoren Apax und Warburg Pincus. Sie erwarben das Unternehmen mit dem damaligen Namen T-Mobile Netherlands Ende März 2022 von der Deutschen Telekom und der schwedischen Tele2, die mit einer Minderheit beteiligt war. Der Unternehmenswert lag nach früheren Angaben der Telekom bei mehr als fünf Milliarden Euro. 2023 ließen die neuen Eigentümer das Unternehmen umfirmieren – womit der Bezug zur Telekom auch sprachlich gekappt wurde.
Odido entdeckte am Wochenende des 7./8. Februars, dass Hacker eingebrochen waren. Das Unternehmen lehnte es ab, Erpressungsgeld zu bezahlen – gestützt von den Behörden. „Unser Rat an Ransomware-Opfer ist: nicht zahlen, wenn Kriminelle Lösegeld fordern“, sagt Stan Duijf, in der niederländischen Polizei der zuständige Bereichsleiter. „Wenn das gezahlt wird, bleibt schließlich ihr Geschäftsmodell am Leben.“ Den geschädigten Kunden bleibt nun nicht viel anderes übrig, als besonders vorsichtig bei Anrufen, SMS- und Whatsapp-Nachrichten von unbekannten Nummern zu sein – und außerdem das Bankkonto noch gründlicher auf verdächtige Transaktionen hin zu kontrollieren.
Der geplante Börsengang ist fürs Erste kein Thema mehr
Wie der NOS weiter berichtet, gibt Shinyhunters im Darkweb an, „jüngste Entwicklungen“ hätten dafür gesorgt, dass die Gruppe alle verbleibenden Daten am Sonntag in einem Zug publiziert habe. Welche Entwicklungen das sind, bleibt offen. Die juristischen Folgen des Vorfalls sind noch nicht einzuschätzen. Der Vorfall dürfte aber fürs Erste jeden weiteren Gedanken an einen Börsengang obsolet machen. Einen solchen hatten die Eigner dem Vernehmen nach im Januar erwogen, beraten von den Investmentbanken Barclays, Goldman Sachs und Morgan Stanley. Entsprechende Agenturberichte wurden der F.A.Z. in Finanzkreisen bestätigt. Im Februar blies das Unternehmen den Plan ab, und zwar wohl schon vor dem Hackerangriff. Grund soll unzureichendes Interesse potentieller Investoren gewesen sein. Die Beteiligten lehnten eine Stellungnahme ab.