Das Steigenberger Hotel in Hamburg, gegen zehn Uhr vormittags an einem Werktag im November. Vor dem Eingang erwarten uns zwei Herren, mit denen wir telefonisch ein Treffen vereinbart haben. Der eine stellt sich als Jann F. vor, Teilhaber eines Handelskontors an den Großen Bleichen in der Nähe des Rathausmarktes. Der Endfünfziger wirkt wie ein hanseatischer Kaufmann: graues Haar, braune Hornbrille, dunkelblauer Zweireiher, weißes Hemd, blaue Krawatte, schwarzer Aktenkoffer. Der andere nennt sich Ronald, von Beruf angeblich Diamantenhändler. Der Mittdreißiger trägt kurzes Haar, einen Ohrring, schwarze Jeans und eine graue Windjacke. Mit seiner athletischen Figur und der brutalen Physiognomie passt er besser in die Halbwelt des Kiez auf St. Pauli als in ein Luxushotel.
Wir suchen uns eine ruhige Sitzecke im hinteren Bereich der Lobby und bestellen Kaffee, Ronald ordert einen Schnaps dazu. Auch wir sind zu zweit und haben uns als Geschäftsleute aus München ausgegeben, die für mehrere Unternehmen der Glücksspielbranche und der Vermögensberatung Adressen für die Telefonakquisition kaufen wollen. Über einen Mittelsmann waren uns einige Tage zuvor brisante Daten angeboten worden – von bis zu 21 Millionen Bundesbürgern. Vereinbart war, dass wir zunächst die Qualität und Herkunft des Materials prüfen, um anschließend einen Großteil der Daten zu kaufen, möglicherweise auch das Gesamtpaket. Nach zwei Stunden sind wir handelseinig. Wir vereinbaren, den Gesamtdatenbestand für insgesamt knapp zwölf Millionen Euro – 55 Cent je Datensatz – zu erwerben. Die erste Lieferung, eine CD mit 1,2 Millionen Daten, die wir einsehen konnten, nehmen wir sofort mit.
Die Daten, die der WirtschaftsWoche angeboten wurden und die ihr in Auszügen vorliegen, sind ganz offenkundig das Ergebnis krimineller Machenschaften, die sämtliche Datenskandale der vergangenen Monate weit übertreffen. Denn anders als etwa bei den Anfang Oktober aufgetauchten 17 Millionen Daten von T-Mobile-Kunden enthält das der WirtschaftsWoche vorliegende Datenmaterial nicht nur Namen, Adressen, Telefonnummern und Geburtsdaten. Damit ließe sich nicht allzu viel wirtschaftlicher Schaden anrichten.
Zur echten Bedrohung für Millionen von Bundesbürgern werden die illegal vagabundierenden Datensätze, weil sie neben den Angaben zur Person auch noch die Bankverbindung mit Kontonummer und Bankleitzahl beinhalten, in einigen Fällen sogar detaillierte Angaben zur Vermögenslage. Damit müssen im Extremfall drei von vier Haushalten in Deutschland fürchten, dass Geld von ihrem Girokonto abgebucht wird, ohne dass sie jemals eine Einzugsermächtigung erteilt haben – vielleicht sogar, ohne dass die Abbuchung bemerkt wird.
Der Schlüssel zum Konto der Verbraucher ist das Telefon
Nur Insider hielten es bisher für möglich, dass Datenklau in Deutschland solche Ausmaße annehmen könnte. Zu ihnen gehört Tobias Huch, Erotikunternehmer aus Mainz, der den Datenskandal bei T-Mobile durch eine Anzeige losgetreten hat. „Ich schätze, dass die Bankverbindungen von 80 bis 90 Prozent aller hiesigen Konsumenten im Umlauf sind“, sagt Huch, dem die WirtschaftsWoche von der CD berichtete.
Der Missbrauch, den die unlauteren Geschäftemacher mit den Kontonummern treiben können, reicht weit. Mit den Bankdaten lassen sich zum Beispiel von jedem Konto unauffällige Minibeträge per Bankeinzug abbuchen. Getarnt durch einen unverfänglichen Verwendungszweck wie „Jahresgebühr“ fallen den meisten Kontoinhabern Posten von fünf Euro kaum auf. Dass jemand deswegen Nachforschungen anstellt oder die Abbuchung rückgängig macht, ist eher unwahrscheinlich.
Wie so viele Kontonummern illegal in Umlauf gelangen konnten, muss in den nächsten Wochen die Staatsanwaltschaft Düsseldorf klären. Die WirtschaftsWoche übergab den Ermittlern am vergangenen Donnerstag die CD mit den 1,2 Millionen Datensätzen und Kontonummern.
Fest steht nur: Der Schlüssel zum Konto der Verbraucher ist stets das Telefon. Und der Schritt vom freundlichen Anruf zum hinterhältigen Betrug ist klein. Gelingt es einem Anrufer, dem Konsumenten nur ein kleines unbedachtes „Ja“ zu entlocken, hat der schon so gut wie verloren. In Internet-Verbraucherportalen häufen sich die Beschwerden über dubiose Anbieter, die gutgläubige Verbraucher mit solchen Telefon-Tricks überrumpeln und wenig später zweistellige Beträge für weder gewünschte, geschweige denn bestellte Dienstleistungen abbuchen. Nicht von ungefähr überschrieben die Dunkelmänner, die der WirtschaftsWoche die CD mit den 1,2 Millionen Datensätzen verkauften, ihre Datensammlung mit „Goldesel“.
Kontrolle über Daten verschwindet im Nichts
Woher die Kontonummern genau stammen, lässt sich anhand der im Hintergrund abgespeicherten Ursprungsangaben nicht bis ins letzte Detail rekonstruieren. Auffällig ist jedoch, dass die Spuren fast durchgängig zu kleinen Callcenter-Betreiber wie etwa Limus aus Düsseldorf oder EMS aus Solingen führen.
Kein Zweifel besteht jedoch über die Ursache der zahllosen Lecks, die einen Datenklau in dieser Größenordnung erst möglich machen. Einen solchen Schwarzmarkt für persönliche Daten und Kontonummern gäbe es nicht, hätten viele Konzerne in den vergangenen Jahren nicht einen Sparkurs durchgezogen, bei dem sie große Teile des Vertriebs und des Kundenservices auslagerten. Allen voran auf heiß umkämpften Massenmärkten wie Telekommunikation, Energieversorgung oder Kabelfernsehen bedienen sich viele Anbieter fast nur noch externer, weil billiger Dienstleister und Callcenter. Unternehmen wie die Deutsche Telekom, Vodafone oder Kabel Deutschland und ihre Vertriebspartner sind dafür beredte Beispiele. Wann immer einer der Player zur Vertriebsoffensive bläst, legen per Telefon externe Dienstleister los. Die relevanten Kundendaten erhalten sie vom Auftraggeber. Schalten die Dienstleister ihrerseits Subunternehmer ein, verliert sich die Kontrolle über die Daten irgendwann im Nichts.
So ergänzen die Unterauftragnehmer die Daten ihrer Auftraggeber nicht selten, indem sie weitere Daten zukaufen. Das geschieht nicht nur bei legalen Adresshändlern. Offenbar mischen in dem Geschäft auch so manche Mitarbeiter insbesondere kleinerer Callcenter mit, die – schlecht bezahlt – ihr Monatssalär aufbessern, in dem sie Adressdaten auf USB-Sticks oder CDs kopieren und auf eigene Rechnung weiterverkaufen. Verhökert werden die Datensätze dann an Hinter- und Hinterhintermänner. Die führen die Bank- und Adressdaten aus verschiedenen Quellen zusammen, bereinigen sie um Dopplungen und bieten sie im großen Stil zum Kauf an.
Die Spurensuche, auf die sich die WirtschaftsWoche nach dem Erwerb der CD mit den 1,2 Millionen Adressen und Kontonummern begab, erwies sich vor diesem Hintergrund wie das Tasten mit einer Stange im Nebel. Teilweise tauchten Unternehmen als mögliche Quellen der Daten auf, die nicht mehr existieren, zum Beispiel eine Firma TeleWelt aus Hamburg oder PKV aus Dortmund. Die Einträge im Handelsregister sind längst gelöscht. Teilweise stammten die Daten aber auch von Dienstleistern und Callcentern, die ihr Geschäft nach wie vor einträglich betreiben.
