2 Millionen Datensätze: Massiver Hack auf Vodafone

Das Kommunikationsunternehmen Vodafone hat bekannt gegeben, dass man zum Opfer eines weit angelegten Hacker-Angriffs geworden ist. Dieser sei nur mit "hoher krimineller Energie sowie Insiderwissen" möglich gewesen. mehr... Vodafone, Netzbetreiber, Gebäude, Hauptquartier, Headquarter, Düsseldorf Bildquelle: Handelsblatt Vodafone, Netzbetreiber, Gebäude, Hauptquartier, Headquarter, Düsseldorf Vodafone, Netzbetreiber, Gebäude, Hauptquartier, Headquarter, Düsseldorf Handelsblatt

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Na Klasse. Da kommt freude auf :(
Wieso können die nicht alle Daten anständig verschlüssel und mit Salt und pi pa po versehen. Vor allem bei großen Firmen ist dass doch eine sauerei.
 
@movieking: Irgendwie müssen die internen Mitarbeiter schon an die Daten, oder? Da bringt auch eine Verschlüsselung nix.
 
@MChief: Stimmt, Daten lassen sich ja auch nicht mehr entschlüsseln. Einmal verschlüsselt, kommt keiner mehr ran. Wie mit einem Schloss: einmal zugeschlossen, geht die Tür ja nicht mehr auf...
 
@klein-m: Hast du den Artikel gelesen? Es wird davon ausgegangen, dass hier jemand mit Insiderwissen am Werk war. Was bringt dir in so einem Fall die schönste Verschlüsselung, wenn die Firma zu spät merkt dass sie sich einen kriminellen Angestellten angelacht hat?
 
@Chiron84: Dann sollen die gefälligst das so Absichern das ein einzelner Mitarbeiter keine 2 Millionen Daten runterladen kann. Das er nur über soviele Daten verfügen kann wie z.B. am Tag im Schnitt bearbeitet wird (Bearbeitet z.B. 200 Kunden/Anrufe am Tag - max. Abfrage = 500). Wenn einer sich den Datensatz einfach so ziehen kann dann ist das Scheiße. Bei meiner Firma (Versicherung) ist sowas zumindest nicht möglich, daher bin ich schon enttäuscht/entsetzt von Vodafone.
 
@movieking: Wer weiß wie genau das abgelaufen ist? Wir haben darüber doch keine Informationen. Vielleicht war's ja auch ein Admin, der direkten Zugriff hat?
 
@movieking: Wenn ich solche Äußerungen lese, fällt mir immer dieser Teil aus nem Lied von Stoppok ein: "...während die Partymeute gaffte und dabei eifrig diskutierte, was man machen müsste - es gab wirklich keinen, der es nicht noch viel besser wusste.". Du hast es glaub ich immer noch nicht verstanden, oder? "Jemand mit Insiderwissen" sagt mir, dass es wahrscheinlich kein einfacher Call-Center-Mitarbeiter war, der zufällig ne versteckte Export-Funktion in dem Programm entdeckt hat, mit dem er täglich arbeitet. Wenn das z.B. nen Admin war, der diese Backend-Systeme entwickelt/wartet, dann wird er wohl eine Möglichkeit gefunden haben, gewisse Sicherungssysteme zu umgehen/abzuschalten. Und so lange nicht bekannt ist, welche Funktion/Berechtigung dieser Mitarbeiter hatte und wie er an die Daten gekommen ist und so lange keine Details über deren IT-System bekannt sind, so lange werde ich mir trotz umfangreichem IT-Wissen und Erfahrung nicht anmaßen, hier irgend einem Großunternehmen Ratschläge zu erteilen. Dass so etwas eigentlich nicht passieren darf, das ist klar. Aber immerhin soll es auch Behörden auf dieser Welt geben, die die ganze Welt inklusive ihrer eigenen Landsleute überwachen, die vermutlich ein hochsicherheits-IT-Netz betreiben wo auch eigentlich alles überwacht und protokolliert wird - und selbst solchen Einrichtungen passiert es, dass ein Mitarbeiter mit genügend Kenntnissen sehr viele Daten entwenden konnte. Nur dass in dem Fall plötzlich alle jubeln und kaum jemand Vorwürfe erhebt, wie es denn dazu kommen konnte, dass einer alleine aus so einem Hochsicherheitssystem so viele Daten rauskopieren konnte...
 
@klein-m: Ja und was willst du damit sagen? Damit die Vodafone-Mitarbeiter an die verschlüsselten Kundendaten, die sie zum Arbeiten brauchen, drankommen können, brauchen sie den Verschlüsselungscode. Und wo bitte wird der dann wiederum sicher gespeichert? Das hilft nur gegen die dümmsten Hacker. Die anderen erbeuten dann eben auch noch den Verschlüsselungskey gleich mit.
 
@MChief: Ja schon, aber da muss man doch Sicherheitsvorkehrungen einbauen können. Ich z.B. kann nicht so einfach Massenweise die Daten von 100000 Kunden abrufen. Bei uns gibts bei Massenabfragen einen Block. Bei 2 Mio. Daten klingt das eher als ob einer alle Daten als PDF/Excel File generieren konnte...einfach so.
 
@movieking: Das Unternehmen ist relativ groß. Börsennotiert, Betriebsrat mit sehr hohen Anforderungen, was Datenschutz der Mitarbeiter und Kunden angeht. Nicht mal die Personalabteilung hat da vollen Zugriff. Hinzu kommt das4-Augen-Prinzip uvm. Man kommt nicht einfach an HR-Daten!!
 
@movieking: super laut onlinecheck bin ich betroffen :(
 
@movieking: Und dann? Die Zugriffsprogramme müssen die Daten lesen können. wenn ein Hacker im Netzwerk sitzt, hilft das gar nichts. Ausserdem hat ein Salt nichts mit Verschlüsselung zu tun
 
Mich würd' mal interessieren wie die so schnell herausbekommen haben, dass es ein einzelner Täter war, dem sie zudem auch noch sco schnell auf die Spur kamen.
 
@Niclas: Es steht ja nicht da, wann der Hack war. Kann ja sein das der schon etwas länger her ist und Vodafone erst jetzt nach einer erfolgreichen Hausdurchsuchung die Kunden informiert. Und das ist nichts ungewöhnliches und oftmals von den Ermittlern gewollt.
 
@Niclas: Ich gehe davon aus, dass sie relativ schnell rausgefunden haben dass man dazu Insiderwissen brauchte... das engt den Kreis der Verdächtigen in der Regel ein, auf diese Daten wird ja bei Vodafone nicht Hinz und Kunz Zugriff gehabt haben.
 
Die dolle Infoseite funktioniert übrigens nicht mit aktiviertem Werbeblocker :D
 
Naja, ich empfinde meine persönlichen Daten, wie Name und Adresse mindestens genauso kritisch wie Passwörter oder PIN-Nummern. Aber wieso werden diese nicht als kritisch gesehen? EDIT: Und einmal wird gesagt, dass sie mit den gesammelten Daten "keinen" oder nur schwer Schaden anrichten kann, man solle aber die Kontoauszüge beobachten. In meinen Augen kann man aber mit persönlichen Sachen SEHR viel Schaden anstellen. Name, Adresse, Kontodaten reichen da schon aus! Ein sehr erheblicher Schaden!
 
@Schrimpes: Name, Adresse, Geburtsdatum + Kontodaten ist genau so gut wie eine Kreditkarte. Wie man da von einem "nicht grösseren Schaden" redenkann ist mir unverständlich. Ist wohl wie bei der NSA. Die geben zumindest zu dass bei denen keiner weiss wie die gesamte IT überhaupt funktioniert und was die macht. Und so wird es bei Vodafone auch sein. Insider ist da jeder der eine echte Ahnung von IT hat und weiss wie kaufmännische Verwaltungsabläufe funktionieren. Vor allem würde ich hier mal die Admin und Softwareentwickler abklopfen. Kann natürlich auch sein dass die ein echtes Loch in ihrer IT haben/hatten und von aussen gehackt wurden.
 
@LastFrontier: Eben. Für Amazon, Ebay und andere Onlineangebote mehr als ausreichend! Da ist ein sehr großes Loch in der IT. Aber ich bezweifle, dass ein "einfacher" Admin zu sowas fähig ist. An der Basis bzw. im Backend an Daten zu kommen muss nicht unbedingt einfach sein. So ein Unternehmen hat ein ausgedehntes Berechtigungswesen. Selbst der Overall Admin oder 1. Geschäftsführer ist dazu nicht in der Lage. Das war ein Profi, der sich eben diese Berechtigungen zugewiesen hat. Hier hat alles gepennt, was nur pennen konnte
 
@LastFrontier: Aus einer anderen Quelle: "Branchenkreisen zufolge handelt es sich bei dem Verdächtigen um einen System-Administrator eines Dienstleisters."
 
@Schrimpes: Also ich kann nur aus eigener Erfahrung berichten, dass ich bei allen IT-Systemen und Projekten die ich je eingerichtet oder betreut habe IMMER einen "Noteingang" hatte ohne das der Kunde das weiss. Das hat der einen oder anderen Firma auch schon das "Leben" gerettet. Oft ist es auch so dass solche Massnahmen in Absprache mit dem Kunden getroffen werden ohne dass dies in den Protokollen oder Projektunterlagen auftaucht. Es ist auf jeden fall immer einer da, der das gesamte System im Überblick und auch im Griff hat. Das schwierige daran ist (gerade über externe Dienstleister) da zuverlässige und vertrauenswürdige Leute zu bekommen. Wenn ich aber sehe wie bereits ganz normale Techniker Kundenrechner, welche zur Reparatur kommen, erst mal auf Programme, Musik, Video, Bilder etc. durchforsten um sich da zu bedienen, dann weisst du woher der Wind weht. Das habe ich als Technik-Leiter eines Dienstleisters selbst erlebt. Und das Schlimme daran - die Leute haben nicht mal ein schlechtes Gewissen und brausen noch auf wenn man sie zur Rede stellt. Ich könnte dir da die abenteuerlichsten Stories erzählen. Ist leider wie überall: Möglichkeiten wecken Begehrlichkeiten. Und: Jeder Kopf hat seinen Preis.
 
@Schrimpes: Das wundert mich nun aber nicht siehe auch [re:4]
 
Wäre schön wenn es ne Seite gibt, wie damals beim Sony hack, wo man Nachprüfen konnte ob man selbst davon betroffen ist
 
@Recruit: Gibt es doch. Steht sogar im Text o_O https://www.vodafone.de/privat/hilfe-support/kundeninformation-sind-meine-daten-betroffen.html
 
@MChief: Ah, eine PhishingSeite um an noch mehr Daten zu kommen ;-) :D
 
@hezekiah: Ja echt super die Seite, erst wurden die Daten geklaut und dann soll man noch seine Bankdaten eingeben ...super sache
 
@Recruit: Die gibts doch, einfach mal auf den Link in der News klicken. ;)
 
@Recruit: Dann lese den Text nochmal...
 
@Recruit: huch, glatt übersprungen den link :D danke ;) edit: Naja, wird mir zwar reichen, damals beim Sonyhack wars aber etwas eleganter gelöst. Da konnte man sich in dem geklauten Datenbestand per Parameter suchen. (Unabhängig von der Betroffenen Firma):)
 
@Recruit: Facepalm
 
"Betroffen waren übrigens nur deutsche Kunden des Telekom-Konzerns. " - habe gerade leichte Probleme zu verstehen, wieso Kundendaten des Telekom-Konzerns bei Vodafone entwendet werden können?
 
@Tyndal: Telekom. ist eine offizielle Abkürzung für Telekommunikation. Ist sehr irreführend, da es ein Unternehmen gibt, das Telekom heißt. Hier hat es aber nichts mit dem Unternehmen zu tun.
 
also ich war leider betroffen. hatte schon heute einen brief im briefkasten -.-
 
@Nomex: Du Armer :(
 
@Nomex: aber als ich den onlinetest gemacht hatte war ich wiederum nicht betroffen.
 
@Nomex: Genauso habe ich mir das vorgestellt. Ich glaube ja nicht, dass diese Seite etwas anderes zurückgibt, als dass man NICHT betroffen wäre. ;-) So fühlt man sich doch gleich wieder sicherer... ;-)
 
@Nomex: Also ich hab noch keinen Brief im Briefkasten laut Online-Seite bin ich aber betroffen. Das interessante ist aber dass ich eigentlich seit Mai kein Kunde mehr bei denen bin. Entweder der Hack war schon viel früher (Was ich nicht glaube), oder die speichern einfach weiter fröhlich meine Bankdaten usw.
 
@movieking: Ich habe mal bei einem anderen Provider (KDG) gearbeitet und dort war es so, das die Daten nach Kündigung nicht gelöscht wurden. Die bleiben weiterhin im System. Selbst die Daten von verstorbenen Kunden wurden nicht gelöscht.
 
@movieking: Ja machen sie und müssen sie und das sogar für 10 Jahre. Ist gesetzliche Vorschrift.
 
Warum gibt es nicht längst einen verbindlichen "Entschädigungskatalog" für Unternehmen, die Kundendaten nicht anständig sichern? So etwas wie 100€ pro entwendetem Datensatz, zahlbar an die betroffenen Kunden. Dann würde sicherlich der Aufwand für die Datensicherheit entsprechend erhöht
 
@nicknicknick: Das wissen Lobbys zu verhindern.
 
1&1-Kunden sind zum Glück nicht betroffen!

"Unter den gestohlenen Datensätzen befinden sich keine Daten von 1&1-Kunden. 1&1 nutzt als so genannter virtueller Netzbetreiber lediglich das D2-Mobilfunknetz von Vodafone. Dabei werden keine persönliche Daten unserer Kunden an Vodafone übertragen, diese sind ausschließlich in unseren eigenen Systemen gespeichert und werden durch umfangreiche Sicherheitsvorkehrungen geschützt."

(https://www.facebook.com/1und1/posts/10151889133798679?comment_id=28433311&offset=0&total_comments=6)
 
Der "Insider" war bestimmt einer der zehntausenden neuen Mitarbeiter, die Monat für Monat für den Kundendienst verheizt werden. Hinz und Kunz von der Straße haben ständigen Zugriff auf die sensiblen Daten der Kunden und können jederzeit Kennwörter ihrer Freunde und Feinde auslesen, weitergeben und Tarife ändern, die ohne jedwedes Wissen des eigentlichen Vertragsinhabers.
 
@Der_da: oder externer Dienstleister. siehe [05][re:04]
 
@Der_da: Stell dir mal folgendes Szenario vor: Ein Provider beschliesst bundesweit seine Anlagen zu modernisieren oder komplettneu auf zu bauen. Er entscheidet sich nun für eine Technologie bei einem TK-Hersteller. Die Anlagen werden von Technikern aufgebaut. Irgendwann werden die auch in Betrieb gesetzt. Dazu fahren Spezialisten von Anlage zu Anlage, überprüfen die Installation, bestücken die mit Software und Realdaten und übergeben die Betriebsfertig. Diese Inbetriebsetzer haben nun Listen mit den Anschriften der HVT und Lage der Kollokationsräume sowie natürlich Listen mit den IP-Nummern der Anlagen und der einzurichtenden Teilnehmer. Und natürlich Zugang zu den Servern und regionalen Leitstellen des Providers. So ein Inbetriebsetzer könnte nun die Daten der HVT-Standorte an Terroristen verkaufen. Oder er könnte sich von irgendwoher in das Netz des Providers einklinken und entweder über die Leitstellen oder die Server oder direkt die Racks im Kollokationsraum ansteuern, in die Kundenrechner eindringen oder deren Verkehr abgreifen, Telefonate mithören oder mitschneiden, oder gleich die ganze Anlage stilllegen oder auch sonstigen Unfug treiben.------ Und weil nun eben diese Gefahren und Möglichkeiten bestehen kann und darf das auch nicht jeder machen. Die fachliche Qualifikation ist da erst mal zweitrangig. Vorrangig steht die zuverlässigkeit und Vertrauenswürdigkeit des Mitarbeiters zur Diskusion. Und da gibt es Positionen, da kannst du so gut qulifiziert sein wie du willst - ein einziges dunkles oder unschlüssiges Fleckchen in deinem Werdegang oder Führungszeugnis und du kriegst den Job nicht. Also wenn solche sicherheitsrelevante Systeme korrumpiert werden, dann ist es mit Sicherheit nicht irgendein Script-Kiddy oder einfacher Sachbearbeiter, sondern jemand mit einer echten Ahnung. Das mit dem Hacken, Knacken, Cracken, Sniffen liest sich zwar in den Medien immer so als wäre es relativ einfach; erfordert aber dennoch ein gewisses KnowHow. Das siehst du auch bei den grossen Terroranschlägen. Das sind keine Idioten die das planen und Umsetzen sondern eigentlich hochgebildete Leute. Gut - den Bombenlaster vor einem Gebäude parken oder in eine Absperrung rasen, da reicht auch einer dem es günugt dass er im Paradies von 10 Jungfrauen erwartet wird. Also mit Insider ist hier nicht der oder die Telefonist/in gemeint, sondern das war jemand mit Ahnung wie das Sytem funktioniert und vor allem wo und wie die relevanten Daten zu finden sind - Admins, Projektmanager, Programmentwickler, Softwarelieferant etc. So gross ist der Kreis nicht der da abgesucht werden muss. der wird erst dann richtig gross und schwierig, wenn sich herausstellt dass der Angriff tatsächlich von aussen kam, weil das System eben eine Lücke hatte.
 
Interessant, dass sie nur MOBILFUNKTelefonnummern erwähnen ^^
 
Ja, also das zeigt, dass es halt ein großer Fehler war, anonyme Handykarten abzuschaffen. Naja, ist ja nicht so, als wenn das nicht mit Ansage kam, dass sich das mal rächen wird... übrigens, zu diesem Vorfall gibt's aus der Politik ein interessantes Statement: http://is.gd/XT5AbC
 
Schade, dass es keine Krankenkassendatenbank war und die Daten wohl nicht öffentlich ins Netz gestellt werden. Sowas wäre der Hit zur Verbesserung der Volksgesundheit: Zwar würden viele Leute dann nie wieder Sex haben, aber der Rest bliebe gesund, weil er sich z.B. direkt in der Disko per SmartPhone über die bisherige Krankheitsgeschichte der neuen Bekanntschaft informieren könnte. Endlich mal misslungener Datenschutz, der den Bürger vor realen Bedrohungen schützt und nicht nur vor dem ach so schlimmen Terrorismus, der jährlich in ganz Europa weit weniger Leute das Leben kostet als der Autoverkehr alleine in Deutschland. Wieso installieren wir eigentlich keine Kameras in Autos, damit notorischen Verkehrssündern ihre Taten endlich gleich im Dutzend problemlos bewiesen werden können und die nie wieder einen Führerschein bekommen? Das würde den Bügern ebenfalls weit mehr Sicherheit für Leib und Leben bringen als der heutige Überwachungsterrorismus.____Fazit: Der Vodafone-Hack ist auch nur einer unter vielen schon bekannt gewordenen Datenbank-Hacks und noch viel mehr nie entdeckten gleichartigen "Datenbank-Raubkopie-Hacks". Wer heute einer Firma seine realen Daten gibt, ist selber Schuld, wenn die bei Kriminellen landen. Firmen, die Datenbankserver ans Internet hängen oder zu viele Mitarbeiter unkontrolliert auf Datensätze zugreifen lassen, sind einfach nur leichtsinnig.
Kommentar abgeben Netiquette beachten!

Weiterführende Links

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles