(Letzte Aktualisierung: 21.09.2009)
I. Die wichtigsten aktuellen Maßnahmen zur Verbesserung der Datensicherheit
Am 14.10.2008 beschließt der Aufsichtsrat der Deutschen Telekom AG auf Vorschlag des Vorstands die Einrichtung eines eigenständigen Vorstandsbereiches für Datenschutz, Recht, Datensicherheit und Compliance. Damit setzt die Deutsche Telekom ein richtungweisendes Signal für die Relevanz des Datenschutzes in der Informationsgesellschaft. Neben den organisatorischen Änderungen steht eine Vielzahl zusätzlicher operativer Einzelmaßnahmen.
Am 21.10.2008 bestellt der Aufsichtsrat der Deutschen Telekom AG zum 22. Oktober Dr. Manfred Balz, den bisherigen Chefjustitiar der Deutschen Telekom, zum Vorstand für das neue Ressort Datenschutz, Recht und Compliance.
Mit Beginn der Datenschutzinitiative am 10.10.2008 wurden als Folge der aktuell bekannt gewordenen Vorgänge folgende operative Maßnahmen ergriffen:
Am 10.10.2008 wurde für die Buchung von vertragsrelevanten Änderungen für Privatkunden der T-Mobile in allen Telekom-Shops und bei allen externen Vertriebspartnern das sichere TAN-Verfahren eingeführt, um somit den unbefugten Zugriff von externen Rechnern auf Datenbanken zu verhindern.
Durch Deaktivierung von Schnittstellen zu zwei Datenbanken mit Prepaid-Bestandsdaten wurden am 10. und 11.10.2008 die internetbasierten Anwendungen vor unberechtigtem Zugriff auf Kundendaten geschützt.
Am 12.10.2008 wurden alle Passwörter in Telekom Shops geändert. Diese Maßnahme, sowie die zwei folgenden, sollen verhindern, dass möglicherweise ausgespähte Zugangsdaten genutzt werden können.
Am 13.10.2008 wurden neue Passwörter für die Geschäftskunden-Portale von T-Mobile Deutschland eingeführt.
Am 13.10.2008 erfolgte eine komplette Passwort-Zurücksetzung für alle Mitarbeiter der Telekom Service-Zentrale und bei T-Home.
Die Deutsche Telekom erhält laufend von ihren Mitarbeitern, Kunden und von anderer Seite Hinweise zur Datensicherheit. So haben wir am Nachmittag des 13.10.2008 von einem externen Hinweisgeber eine Information zu einem Web-Portal einer Tochterfirma erhalten. Durch die eingeleiteten Sicherungsmaßnahmen konnte sichergestellt werden, dass daraus keine Schäden entstehen. Zudem ermittelt die Telekom, ob einer ihrer Vertriebspartner vertragswidrig für eigene Zwecke auf Mobilfunkkundendaten zugegriffen hat. Nach bisherigen Erkenntnissen wurden unbefugt Rufnummernabfragen in der Kundendatenbank der T-Mobile Deutschland durchgeführt. Es besteht die Vermutung, dass mit einem Teil der unter unbefugter Verwendung von Kennungen abgefragten Kundendaten eines Vertriebspartners der T-Mobile Deutschland GmbH Telefon-Akquise zur Verlängerung von auslaufenden Vertragsverhältnissen durchgeführt wurde. T-Mobile hat unmittelbar nach Bekanntwerden der Zugriffe Maßnahmen ergriffen, die einen weiteren Zugriff auf die Daten verhindern. Die betroffenen Callcenter wurden im Dezember identifiziert. T-Mobile hat daraufhin einstweilige Verfügungen gegen vier Callcenter erwirkt, die diesen die Verwendung und die Weitergabe von Daten, die T-Mobile Kunden betreffen und aus T-Mobile Datenbeständen stammen, untersagen und sie zur Herausgabe verpflichten.
Am 20. Oktober erhält die Deutsche Telekom per Brief einen anonymen Hinweis, dass ein externer Dienstleister bis September 2008 Daten der Telekom genutzt habe um damit Telekommunikationsdienste ohne Kundenzustimmung zu verkaufen. Die Telekom leitet sofort interne Recherchen ein und sperrt vorsorglich für den benannten Dienstleister die Zugänge zu Datenbanksystemen der Telekom mit Kundendaten. Recherchen bestätigten den Hinweis. Der Handelspartner wird abgemahnt, die Subpartnergenehmigung entzogen und die Systemzugänge für den Subpartner deaktiviert. Zudem wird das Vertragsverhältnis zwischen Handelspartner und Subpartner unter Durchsetzung von Vertragsstrafen gelöst.
Die Deutsche Telekom befasst sich derzeit intensiv mit der Frage, wie unsere Vertriebspartner mit den ihnen überlassenen Kundendaten umgehen. Zur Qualitätssicherung haben wir bereits in der Vergangenheit eine Reihe von Maßnahmen in Angriff genommen, wie zum Beispiel den sogenannten Code of Conduct für Callcenter, den alle Dienstleister unterzeichnet haben. Darüber hinaus schauen wir uns derzeit alle Partner auf mögliche Auffälligkeiten hin an.
Im Zusammenhang mit der internen Aufarbeitung der Vorgänge werden auch die im Rahmen der eigenen Ermittlungen der Unternehmenssicherheit eingesetzten Verfahren und Erkenntnisquellen einer kritischen Prüfung auf deren rechtliche Unbedenklichkeit durch die Konzernrevision unterzogen. Erste Ergebnisse und personelle Konsequenzen stellt Datenschutz-Vorstand Manfred Balz in einer Pressekonferenz am 29.10.08 in Bonn vor.
Ende Oktober laufen erste freiwillige datenschutzrechtliche Auditierungsmaßnahmen z.B. durch den TÜV-IT an. Mit der der systematischen Schwachstellenanalyse der Systeme durch externe Sicherheitsunternehmen wird ebenfalls zum Monatsende begonnen.
Die Deutsche Telekom geht derzeit aufgrund eines externen Hinweises vom 20. November 2008 einem Verdacht auf vertragswidrige und nicht rechtskonforme Datennutzung und möglicherweise unbefugte Weitergabe von Kundendaten durch Mitarbeiter eines Vertriebspartners an Dritte nach. Im Mittelpunkt stehen dabei von einem Dritten vorgelegte Auszüge aus Listen mit offenbar einigen Tausend Kundendaten. Diese Listen stammen nicht unmittelbar aus dem Unternehmen Deutsche Telekom, weil zum einen die Form nicht übereinstimmt, zum anderen besonders Angaben zu Bankverbindungen und Geburtsdaten teilweise nicht mit den jeweiligen Kundendaten der Telekom identisch sind. Die Listen wurden mutmaßlich aus verschiedenen Quellen zusammengestellt. Die Telekom schließt dabei nicht aus, dass auch Telekom-Daten aus dem Zeitraum zwischen Ende 2006 und Anfang 2007 zur Erstellung der Listen verwendet wurden. In Abhängigkeit von dem Ergebnis der internen Untersuchung wird die Deutsche Telekom geeignete rechtliche Schritte einleiten.
Im Dezember 2008 informiert die Deutsche Telekom rund 2.900 Kunden, dass sie in dem Verzeichnis auftauchen - ungeachtet der Tatsache, dass es sich bei den vom Magazin Stern übergebenen Datenlisten nicht um Listen der Deutsche Telekom handelt
Die genaue Analyse der Datensätze hat die Ergebnisse der zuerst vorgelegten Stichproben bestätigt, dass es keine Listen der Telekom sind. So ist die Form und Zusammenstellung der Datenfelder nicht bei der Telekom gebräuchlich. Zudem gibt es bei einzelnen Datensätzen deutliche Abweichungen gegenüber Kundendaten, wie sie der Telekom vorliegen. Vor allem Bankverbindungen und Geburtsdaten stimmen in einer Reihe von Fällen nicht überein. Auch werden Bankverbindungen von Kunden aufgeführt, die bei der Telekom als Barzahler geführt werden. Generell handelt es sich um alte Daten von Ende 2006, Anfang 2007.
Wer die Listen mit welcher Zielsetzung erstellt hat ist weiter unklar.
Zur Sicherheit der Kunden bittet das Unternehmen vorsorglich und zu deren eigenen Sicherheit, die zurückliegenden Kontoauszüge zu überprüfen. Damit sollen Abbuchungen identifiziert werden, die sich auf Anhieb nicht erklären lassen. Sollte diese Kontrolle Zweifel an der Rechtmäßigkeit bestimmter Abbuchungen ergeben, empfiehlt die Deutsche Telekom, sich direkt an das eigene Kreditinstitut zu wenden, um weitere Informationen zu erhalten und gegebenenfalls unberechtigte Buchungen zu widerrufen.
Die Deutsche Telekom selbst bucht selbstverständlich nur Beträge von den Konten der Kunden ab, für die eine entsprechende Ermächtigung vorliegt und die sich aus den vertraglichen Vereinbarungen mit der Deutschen Telekom ergeben. Somit finden sich alle auf der Telekom-Rechnung genannten Beträge als Abbuchung in gleicher Höhe auf den Kontoauszügen wieder. Das gleiche gilt für Einkäufe mittels EC-Karte in einem der Telekom Telekom-Shops.
Wir haben Ende Mai 2009 von einem externen Hinweisgeber die Information erhalten, dass von Call Centern, die nicht von der Telekom autorisiert sind, in den letzten Monaten Aufträge für T-Home generiert worden sein sollen. Diese Aufträge sollen angeblich über verschiedene Vertriebskanäle wie offizielle Distributoren, den Internetvertrieb sowie Fachhändler an die Telekom weitergeleitet worden sein. Durch das Aufsplitten auf verschiedene Eingangskanäle der Telekom sollen bewusst die Schwellwerte zur Missbrauchs-Erkennung umgangen worden sein. Die Telekom hat in dieser Sache am 29.05.2009 Strafanzeige erstattet. Die internen Ermittlungen werden weiter mit Hochdruck verfolgt.
II. Datenschutzrelevante Vorgänge, die Gegenstand staatsanwaltlicher Ermittlungsverfahren sind
Hier finden Sie Informationen über datenschutzrelevante Vorgänge, die Gegenstand staatsanwaltlicher Ermittlungsverfahren sind. Wir werden jeden neuen uns zur Kenntnis gelangten Sachverhalt, bei dem der Verdacht auf Datendiebstahl oder Datenmissbrauch besteht, ebenfalls umgehend zur Anzeige bringen.
60.000 T-Mobile Kundendaten
Anfang September 2006 stößt die Deutsche Telekom im Internet auf ein Angebot von 60.000 Kundendaten von T-Mobile Deutschland.
Welche Daten sind betroffen?
Inzwischen konnten im Rahmen der Ermittlungen der Staatsanwaltschaft bei einem Tatverdächtigen eine vierstellige Zahl von Kundendatensätzen in Excel-Listen sichergestellt werden, die neben Namen und Anschrift Produkt- und Vertragsinformationen über den jeweiligen Kunden enthalten.
Status:
Die Staatsanwaltschaft hat nach Abschluss ihrer Ermittlungen im August 2009 Anklage gegen den Anbieter der Daten erhoben.
17 Millionen Kundendaten der T-Mobile
Ende April 2006 erhält die Deutsche Telekom einen Hinweis, dass 17 Millionen Kundendaten von T-Mobile Deutschland zum Verkauf angeboten werden.
Welche Daten sind betroffen?
Es handelt sich um Kundendaten von T-Mobile Deutschland mit Namen, Anschrift, Mobilfunknummern und teilweise Geburtsdatum sowie in geringem Umfang auch E-Mail Adressen, die vor April 2006 gestohlen worden waren. Bankverbindungsdaten sind in den Datensätzen nicht enthalten.
Die Deutsche Telekom hat keine Hinweise auf eine missbräuchliche Verwendung der Daten zum Nachteil der Kunden.
Status:
Mitte Mai 2006 erstattet die Telekom Strafanzeige bei der Staatsanwaltschaft Köln gegen den Anbieter der Kundendaten. Im Verlauf der behördlichen Ermittlungen werden Datenträger mit 17 Millionen Kundendaten sichergestellt. Zusätzlich beauftragt die Telekom einen externen Dienstleister mit der gezielten Suche nach den betreffenden Daten im Internet. Parallel hierzu wurden die Sicherheitsmaßnahmen in unseren IT-Systemen überprüft und erhöht.
Ermittlungsbehörden haben am 13.10.2008 Daten auf einem Server eines Unternehmers sichergestellt. Kopien sind gelöscht worden. Die Telekom hat einen externen Dienstleister mit der gezielten Suche nach möglichen weiteren Kopien der Daten im Internet beauftragt.
Alle bisherigen Untersuchungen ergeben keine Anhaltspunkte, dass noch Kundendaten am Markt verfügbar sind. Zur Information der Kunden hat die Deutsche Telekom die kostenfreie Hotline 0800/330034505 eingerichtet, unter der auch die Mobilfunknummer kostenlos geändert werden kann. Inzwischen haben bei der Hotline 6.000 Kunden nachgefragt, 640 haben von dem kostenlosen Angebot, ihre Mobilfunkrufnummer zu ändern, Gebrauch gemacht.
Die Anfang Oktober vom Vorstand beauftragte Untersuchung der internen Revision hat ergeben, dass bei den Ermittlungen 2006 schnell gehandelt wurde, aber dass es bei der organisatorischen Umsetzung und insbesondere bei den im Rahmen der internen Ermittlungen angewandten Methoden und Vorgehen sowie der Aufsicht über die ermittelnden Mitarbeiter zum Teil erhebliche Mängel gab. So wurden Verbindungsdaten von rund 20 Personen ausgewertet.
Die Deutsche Telekom hat diese neuen Untersuchungsergebnisse der Staatsanwaltschaft Bonn unverzüglich zur Kenntnis gebracht. Personen, gegen die kein Verdacht mehr im Bezug auf den Datendiebstahl besteht, wurden über den Verkehrsdatenabgleich informiert. Ungeachtet dessen, dass die Prüfung der Vorgänge durch die Staatsanwaltschaft Bonn auf strafrechtliche Relevanz erst begonnen hat, wurden als Sofortmaßnahme fünf Manager und Mitarbeiter aus der Sicherheit vorübergehend in Urlaub geschickt. Darüber hinaus geht der Vorstand auch der Frage der Management-Verantwortung nach. Eine Zusammenfassung des Revisionsberichts wird nach der Befassung im Aufsichtsrat veröffentlicht.
2,6 Millionen T-Mobile Mobilfunknummern
Im März 2006 werden einem Unternehmer in Österreich Mobilfunkrufnummern angeboten. Der Angebotsempfänger informiert die Deutsche Telekom über das Angebot.
Welche Daten sind betroffen?
Da es sich lediglich um ein Angebot handelt, liegen der Deutschen Telekom keine Informationen zum Inhalt der jeweiligen Kundendaten vor. Deshalb konnten potentiell betroffene Kunden auch nicht informiert werden.
Status:
Die Deutsche Telekom erstattet im Juni 2006 Strafanzeige bei der Staatsanwaltschaft Bonn. Die Ermittlungen dauern noch an.
60.000 T-Mobile Kundendaten
Anfang September 2006 stößt die Deutsche Telekom im Internet auf ein Angebot von 60.000 Kundendaten von T-Mobile Deutschland.
Welche Daten sind betroffen?
Inzwischen konnten im Rahmen der Ermittlungen der Staatsanwaltschaft bei einem Tatverdächtigen eine 4-stellige Zahl von Kundendatensätzen in Excel-Listen sichergestellt werden, die neben Namen und Anschrift Produkt- und Vertragsinformationen über den jeweiligen Kunden enthalten.
Status:
Die Deutsche Telekom erstattet in im September 2006 Strafanzeige bei der Staatsanwaltschaft Bonn. Die behördlichen Ermittlungen dauern an.
_______________
Missbrauch Zugangskennungen bei T-Home (1)
Im März 2007 registriert T-Home im Rahmen routinemäßiger Kontrollen eine auffällige Auslastung bei einem System mit Kundendaten. Die Massenabrufe stellen sich bei weiteren Überprüfungen als illegale Zugriffe heraus.
Welche Daten sind betroffen?
Mit unberechtigt erlangten Zugangskennungen erfolgte vermutlich im Zeitraum von Ende 2006 bis März 2007 ein Zugriff auf etwa eine halbe Million Kundendatensätze von T-Home. Die möglicherweise betroffenen Kundendaten enthalten Anschriften und Telefonnummern sowie teilweise auch E-Mail Adressen. Derzeit liegen uns keine weiteren Informationen vor, die es ermöglichen, potentiell betroffene Kunden zu benachrichtigen.
Status:
Im März 2007 erstattet die Deutsche Telekom Strafanzeige bei der Staatsanwaltschaft Berlin. Die identifizierten Zugangskennungen werden umgehend gesperrt, deren Vergabe wird grundlegend überarbeitet und strenger gefasst.
_______________
70.000 T-Home Kundendaten
Im Sommer 2008 werden einem Vertriebspartner der Deutschen Telekom 70.000 Kundendaten zum Kauf angeboten, der daraufhin die Deutsche Telekom informiert. Ein Testkauf von einigen wenigen Proben bestätigt den Verdacht, dass es sich um Daten von T-Home handelt.
Welche Daten sind betroffen?
Die entwendeten Kundendaten von T-Home enthalten Anschrift, Telefonnummer und Vertragsdaten. Informationen über Bankverbindungen sind in den Datensätzen nicht enthalten. Derzeit liegen uns keine weiteren Informationen vor, die es ermöglichen, potentiell betroffene Kunden zu benachrichtigen.
Status:
Die Deutsche Telekom erstattet im Juli 2008 Strafanzeige bei der Staatsanwaltschaft München. Die Ermittlungen der Staatsanwaltschaft dauern an.
_______________
Missbrauch Zugangsdaten bei T-Home (2)
Im September 2007 erhält die Deutsche Telekom Hinweise darauf, dass eine Zeit- und Leiharbeitskraft eines Callcenters in Bremerhaven Zugangskennungen zu einer Datenplattform ausgespäht hat. Dem Hinweisgeber zufolge hat die Zeit- und Leiharbeitskraft diese Kennungen im Sommer 2007 missbräuchlich in einem eigenen privaten Hinterhof-Callcenter eingesetzt, um Kunden zu werben.
Welche Daten sind betroffen?
Bei den Kundendatensätzen handelt es sich um Telefonnummern und Adressen von Festnetz-Kunden. Über den Gesamtumfang der Daten liegen uns derzeit keine Erkenntnisse vor. Von einem TV-Sender, der den Vorgang recherchiert und hierüber berichtet hat, hat die Deutsche Telekom rund 50 Kundendatensätze bekommen. Diese Daten enthalten teilweise auch Kontonummern. Wir haben die betroffenen Kunden informiert.
Status:
Die im Rahmen der internen Untersuchungen festgestellten Mängel im Umgang mit Zugangskennungen wurden unverzüglich beseitigt. Bereits vor Kenntniserlangung des Missbrauchs waren im August 2007 technische Sicherheitslücken geschlossen worden. Im August dieses Jahres erstattet die Deutsche Telekom Strafanzeige bei der Staatsanwaltschaft Bremen. Die Ermittlungen der Staatsanwaltschaft Bremen dauern an.
_______________
Kundendatensätze T-Mobile
Im August 2008 werden einem Kunden der Deutschen Telekom Kundendatensätze von T-Mobile Deutschland zum Kauf angeboten. Insgesamt umfasst das Angebot angeblich fünf Millionen Kundendaten, die in Paketen von je 5.000 Datensätzen pro Woche geliefert werden sollen.
Welche Daten sind betroffen?
Der Deutschen Telekom liegen bislang keine Erkenntnisse über die Inhalte der angebotenen Datensätze vor. Daher ist eine Information potentiell betroffener Kunden derzeit nicht möglich.
Status
Die Deutsche Telekom erstattet im August Strafanzeige bei der Staatsanwaltschaft Berlin. Die Ermittlungen der Staatsanwaltschaft dauern an.
_______________
Angebot von DSL-Kundendaten mit Vertragsfrist-Ablauf
Im November 2008 erhielt ein Vertriebspartner per Mail ein Angebot zum Erwerb von vorgeblich 80.000 DSL-Kundendatensätze der Deutschen Telekom, deren Verträge zur Verlängerung anstünden. Der Vertriebspartner hat die Telekom umgehend informiert. Nach Rücksprache mit der Telekom hat der Vertriebspartner vom unbekannten Anbieter Testdatensätze angefordert. Eine Lieferung ist nicht erfolgt.
Status
Die Deutsche Telekom hat am 28. November Strafanzeige gegen Unbekannt bei der Staatsanwaltschaft Bonn erstattet. Die Ermittlungen der Strafverfolgungsbehörde dauern an.
_______________
Vertriebspartner wegen Datenabzugs gekündigt
Im Rahmen der Regelauswertung von Datenbankzugriffen auf die integrierte Kundendatenbank (iKDB) wurden bei 3 Partner-Shops auffällig hohe Abrufzahlen pro Stunde festgestellt, die nicht im Verhältnis zur Kundenfrequenz standen. Alle drei Shops wurden vom selben Partner betrieben. Die hohe Zahl von Kundenbeschwerden über zwar gebuchte aber von den Kunden nicht erteilte Aufträge sowie die durchgeführten Einzelanalysen bestätigten den Verdacht auf Provisionsbetrug.
Dem Betreiber der drei Shops wurde umgehend der Vertrag gekündigt, zwei der Shops wurden durch neue Partner übernommen.
Status
Die Deutsche Telekom hat Schadenersatz gegen den Betreiber geltend gemacht und am 12. Dezember 2008 Strafanzeige gegen ihn bei der zuständigen Staatsanwaltschaft erstattet.
_______________
Kunden-Information
Kunden, die wissen möchten, ob sie vom Datendiebstahl bei T-Mobile betroffen sind, können sich an den Datenschutzbeauftragten des Konzerns wenden: Per E-Mail an datenschutz@telekom.de oder schriftlich an die Deutsche Telekom AG, Konzerndatenschutz, Postfach 2000, 53105 Bonn.
Der Bericht zeigt die Weiterentwicklung von Datenschutz und Datensicherheit.
Die meist gestellten Fragen zum Datenschutz.
Drucken
Als PDF sichern
Artikel empfehlen...
Zum Infokorb hinzufügen
Infokorb ansehen
Text vorlesen
