Die Details des Cyberangriffs auf T-Mobile US, den Hacker am vergangenen Wochenende publik machten, hätten die Attacke zum größten Datenklau der Mobilfunk-Geschichte gemacht. 100 Millionen Kundendatensätze, so verbreiteten die Angreifer, wollten sie von Servern der amerikanischen Tochter der Deutschen Telekom gestohlen haben. Das wären Daten nahezu aller 104,8 Millionen Kunden gewesen, die T-Mobile US Ende des zweiten Quartals 2021 hatte.
Nun wird deutlich: Bei der Attacke sind die Hacker offenbar wirklich an Informationen zu einigen Millionen amerikanischer T-Mobile-Kunden gelangt. Das tatsächliche Ausmaß des Datenklaus aber scheint weit geringer zu sein, als zunächst behauptet.
Inzwischen hat T-Mobile bestätigt, dass die Hacker auf Datensätze von rund 850.000 Prepaid-Kunden zugreifen konnten. Sie enthielten neben Name und Rufnummer auch die PIN-Codes der Teilnehmer. Daneben gelangten die Angreifer an Nutzerdaten von rund 7,8 Millionen Vertragskunden, sowie von weiteren 40 Millionen Menschen, die sich für einen Vertragsabschluss interessiert hatten. Nach bisherigem Kenntnisstand enthielten diese Datensätze aber keine Informationen wie etwa Konto- oder Kreditkartendaten, Rufnummern, Passwörter oder PIN-Codes, erklärte die Telekom-Tochter in einer Stellungnahme zum Angriff.
In einigen Fällen seien neben den Namen der Betroffenen allerdings Geburtsdaten, Versicherungsnummern oder Führerscheininformationen in den Datensätzen gespeichert gewesen. Das bestätigte T-Mobile und forderte unter anderem alle Vertragskunden auf, die Zugangsdaten Ihrer Nutzerkonten sowie die PIN-Codes ihrer SIM-Karten zu ändern. Im Fall der genannten 850.000 Kunden hat das Unternehmen die PIN-Codes bereits selbst zurückgesetzt, um Zugriffe Unbefugter auf Konten und Karten zu verhindern.
Der Angriff ist das jüngste Kapitel in einer unrühmlichen Serie von Cyberattacken auf T-Mobile US. In den vergangen drei Jahren war das Unternehmen bereits viermal Opfer von Hackern geworden – die letzten beiden Male in 2020. Auch der frisch übernommene Mobilfunker Sprint war 2019 zweimal Opfer von Datenlecks und wurde zuletzt im Mai und Juli 2020 angegriffen.
Doch so blamabel und schwerwiegend der Datenklau für das Unternehmen ohnehin schon ist: Erweisen sich die jüngsten Angaben zur Zahl der tatsächlich Betroffenen als korrekt, dürfte T-Mobile US noch einmal mit einem blauen Auge davon gekommen sein. „Denn bestätigte sich das ursprünglich genannte Ausmaß des Angriffs, kann das für ein Unternehmen wie T-Mobile US problematisch werden“, sagt Thomas Uhlemann, Cyberspezialist des Internet-Sicherheits-Dienstleisters ESET. „Wenn sie nach den Hacks seit 2018 kein besseres Sicherheitskonzept vorgelegt hätten, könnte eine Klage anhand des California Consumer Privacy Acts drohen.“
Solche Klagen können in den USA empfindliche Schadensersatzzahlungen nach sich ziehen. Und schlimmstenfalls Unternehmen in ihrer Existenz bedrohen. Entsprechend ging der Aktienkurs von T-Mobile am Montag merklich in die Knie. Das Unternehmen verlor zeitweilig rund fünf Milliarden Dollar an Marktkapitalisierung.
Nun aber zeichnet sich ab: Die Hacker scheinen statt der genannten 100 Millionen Nutzerdaten „nur“ an Informationen zu knapp zehn Prozent der T-Mobile-Kunden gelangt zu sein. Und dabei bestand zudem wohl nur bei einem weiteren knappen Zehntel der Konten Zugriff auf relevante persönliche Daten wie Namen, Adressen, Geburtsdaten, Versicherungsnummern, Führerscheininformationen und Rufnummern der Kunden.
Maximalen Druck aufbauen
Dass die Hacker dennoch zunächst von weit mehr Kundendaten gesprochen hatten, gehört zur Verhandlungstaktik bei derartigen Cyberangriffen. Die erinnert an ein Pokerspiel. Je höher der potenzielle Schaden, desto größer ist üblicherweise die Zahlungsbereitschaft der betroffenen Unternehmen, bei denen die Cyberkriminellen zugeschlagen haben, um wieder Zugriff auf die Kundendaten zu bekommen. Umgekehrt versuchen die Hacking-Opfer, den potenziellen Schaden als möglichst gering darzustellen und so den Wert der entwendeten Informationen auf dem Schwarzmarkt zu drücken.
Genau das ist in den vergangenen Tagen auch beim T-Mobile-Hack passiert. So hat das Unternehmen zwar am Montag bereits einen Zugriff Unbefugter auf die IT-Systeme bestätigt, gleichzeitig aber betont, es sei nicht klar, ob wirklich Daten im genannten Umfang verloren gegangen seien.
Eine Aussage, die auf dem Schwarzmarkt ihre Wirkung offenbar nicht verfehlt hat. Laut Informationen aus der Cyber-Sicherheitsszene sei der Preis für die Datensätze binnen kurzer Zeit drastisch gesunken. Dieser Verfall sei sehr ungewöhnlich, weil solch brisante Daten ansonsten leicht Käufer zu einem höheren Preis finden. Ursprünglich hatten die Hacker zunächst 30 Millionen Datensätze anderen Interessenten für sechs Bitcoin zum Kauf angeboten. Das wären nach gegenwärtigem Kurs umgerechnet rund 240.000 Euro.
Nicht nur der rasche Preissturz hatte kurz nach Bekanntwerden des Falles sowohl in der Sicherheitsszene als auch bei der Deutschen Telekom Zweifel genährt, ob der Angriff tatsächlich so umfangreich war, wie behauptet. Das erfuhr die WirtschaftsWoche aus Unternehmenskreisen. Normalerweise lassen Datensatz-Händler zudem im Darknet Auszüge der gestohlenen Daten kursieren, um deren Echtheit zu unterstreichen, hieß es auch aus Telekom-Kreisen. Das sei im Fall des Hacks aber nicht passiert.
Im Konzern wurde daher bereits am Montag vermutet, der mögliche Angreifer könnte bewusst falsche Behauptungen über die Menge und die Qualität der Daten verbreitet haben, um den Preis in die Höhe zu treiben. Dazu kam, dass der oder die Hacker nicht etwa die Deutsche Telekom selbst erpresst, sondern die Daten direkt im Netz angeboten haben.
Dieses Vorgehen ist untypisch, weil Hacker nach erfolgreichen Angriffen zumeist versuchen, die attackierten Firmen direkt zur Zahlung von Lösegeld zu bewegen und dabei damit drohen, dass die gestohlenen Daten sonst veröffentlicht würden. Erst anschließend gelangen gestohlene Datensätze im Darknet in den Verkauf. Im Fall von T-Mobile scheint das aber nicht passiert zu sein.
Gegen den GAU beim Datenklau sprach zudem, dass Kundendaten bei Unternehmen vergleichbarer Größe üblicherweise auf einer Vielzahl von Datenbanken verteilt sind, die durch unterschiedliche Zugriffsrechte geschützt sind. Die Zahl der Personen im Unternehmen, die tatsächlich auf alle Datenbanken zugreifen dürfen, ist in der Regel eng begrenzt.
Sollte von deren Nutzerkonten aus in kurzer Zeit auf große Datenmengen zugegriffen werden, müsste das den internen IT-Sicherheitssystemen im Normalfall auffallen, geben Fachleute zu bedenken. Was auch Sicherheitsberater Uhlemann stutzig machte: Man könne mit Standardsystemen, sogenannten Endpoint-Detection- und Response-Programmen erkennen, wenn eine große Menge Daten abgezapft werde. Bei 100 Millionen Datensätzen handelt es sich angeblich um 100 Gigabyte. Ein solches Volumen hätte Aufmerksamkeit erregt. Wollte man unentdeckt bleiben, hätte der Angriff mehrere Wochen oder Monate lang dauern müssen.
Den Experten überzeugte daher auch der Screenshot, den der Hacker auf Twitter veröffentlichte, nicht unbedingt. „Ob das Bild echt ist oder nicht, lässt sich nicht feststellen“, so Cyber-Experte Uhlemann. Allerdings sei es mit dem T-Mobile-US-Logo und einem Zeitstempel versehen: „Das Bild stammt vom 4. August. In zehn Tagen so viele Daten unbemerkt geklaut zu haben, ist beim Einsatz moderner Schutzsysteme zwar nicht ausgeschlossen, aber unwahrscheinlich.“
Erpressungen durch Trittbrettfahrer
Die Deutsche Telekom hat bereits in der Vergangenheit Erpressungsversuche erlebt: Ende der Zweitausenderjahre etwa hatten Kriminelle in Deutschland behauptet, zig Datensätze abgegriffen zu haben und das Unternehmen zu erpressen versucht. Die Stichproben dieser Daten sahen zunächst völlig in Ordnung aus. Erst als der Hacker zehn Prozent der Datensätze zur Überprüfung auslieferte, fanden forensische Datenforscher Unstimmigkeiten. Die Kundenstammdaten hatten verschiedene Formate – ein Satz stammte aus 2006, der andere aus 2008. Die Erpressung konnte zu einem Dienstleister nachverfolgt werden, der vor dem Landgericht Bonn/Siegburg verurteilt wurde.
Wenn große Cyberangriffe immer häufiger Schlagzeilen machen, nimmt die Zahl der Trittbrettfahrer zu. Auch eine Drohung mit einer Attacke durch die Hackergruppe „Fancy Lazarus“ stellte sich als zahnloser Tiger heraus. Im Sommer hatten die Angreifer eine große Zahl deutscher, mittelständischer Unternehmen mit der Androhung einer Überlastung ihrer Server zu erpressen versucht, sogenannten DDoS-Angriffen. Doch auch wer nicht zahlte, dem passierte nichts.
Das Perfide: Hätten nur ein oder zwei Unternehmen sich erpressen lassen, hätte der Angreifer das Geld gehabt, im Darknet bei spezialisierten Hacking-Dienstleistern solch eine Attacke zu buchen – um dann mit wenig Ressourceneinsatz den angedrohten auch reale Angriffe folgen zu lassen.
Der Artikel wurde am 18.8. aktualisiert und um Informationen zu den tatsächlich gestohlenen Datenmengen ergänzt.
Mehr zum Thema: Die Deutsche Telekom will die Gewinne ihrer boomenden Tochter T-Mobile USA nutzen, um mehr Anteile an dieser zu übernehmen. Doch damit gefährdet sie das Wachstumswunder.
