Reisepassnummern gehackt

Datenleck-Verdacht: Kundendaten der Deutschen Telekom im Darknet

Telekom
Bildquelle: nitpicker / Shutterstock.com
LinkedInRedditWhatsApp

Ein angebliches Datenleck bei der Deutschen Telekom sorgt für Unruhe: Im Darknet bieten Hacker sensible Kundendaten wie Reisepassnummern zum Verkauf an.

In einem bekannten cyberkriminellen Untergrund-Marktplatz bieten Hacker derzeit einen umfangreichen Datensatz zum Verkauf an, der mutmaßlich aus den Systemen des deutschen Telekommunikationskonzerns Deutsche Telekom stammt. Sollten sich die Behauptungen der Angreifer als wahr erweisen, droht betroffenen Verbrauchern eine Welle von Identitätsdiebstählen und gezielten Betrugsversuchen. Das Unternehmen mit Hauptsitz in Bonn gehört mit weltweit über 300 Millionen Kunden zu den größten Telekommunikationsanbietern Europas und hält zudem eine Mehrheitsbeteiligung von 53 Prozent an T-Mobile US. Eine offizielle Stellungnahme der Deutschen Telekom zu dem Vorfall liegt bislang noch nicht vor.

Anzeige

Reisepassnummern von Telekom-Kunden gehackt

Das IT-Sicherheitsmagazin Cybernews hat die von den Hackern bereitgestellten Datenproben (Samples) einer ersten technischen Analyse unterzogen. Die Untersuchung des Forschungsteams bestätigte, dass die Datensätze eine erhebliche Tiefe an personenbezogenen Informationen (Personally Identifiable Information, PII) aufweisen. Die Proben umfassen konkrete Kundendaten wie Vornamen, Nachnamen, Geburtsdaten, Telefonnummern und physische Adressen. Besonders kritisch bewerten die Sicherheitsforscher das Vorhandensein von Reisepassnummern sowie vertragsspezifischen Details, darunter eindeutige Abonnement-IDs, Namen der gewählten Tarife, Monatspreise und hinterlegte Bankkontonummern.

Hinsichtlich der Authentizität des Datensatzes stießen die Analysten auf mehrere übereinstimmende Faktoren, stellten jedoch auch Unregelmäßigkeiten fest. Für die Echtheit der Daten spricht, dass die in den Proben aufgeführten Tarifstrukturen und Partnermodelle exakt mit den offiziellen und aktuell auf der Telekom-Website publizierten Angeboten übereinstimmen. Zudem erwiesen sich die überprüften Benutzer-E-Mail-Adressen als formal gültig.

Demgegenüber stehen jedoch logische Fehler innerhalb des Datensatzes: In mehreren Fällen stimmten die angegebenen Wohnadressen nicht mit den dazugehörigen Postleitzahlen überein. Zudem zeigte ein Abgleich, dass einige der exponierten E-Mail-Adressen bereits in älteren, historischen Datenlecks anderer Plattformen auftauchten. Dies nährt den Verdacht, dass es sich zumindest teilweise um ein sogenanntes „Credential Stuffing“- oder „Data Scraping“-Aggregat handeln könnte, bei dem alte Datenbestände mit neuen Informationen kombiniert wurden. Die betroffenen Datensätze beschränken sich nicht nur auf Privatkunden, sondern betreffen auch Partnerunternehmen und verbundene Tochtergesellschaften des Konzerns.

Anzeige

Hohes Risiko für Identitätsdiebstahl und Social Engineering

Die Veröffentlichung von sensiblen Regierungsdokument-Nummern wie Reisepässen in Kombination mit Bankdaten birgt für die betroffenen Personen schwerwiegende Konsequenzen. Cyberkriminelle nutzen solche verifizierten Datensätze vermehrt für das sogenannte synthetische Identitätsfraud-Verfahren. Dabei werden reale Datenfragmente mit fiktiven Informationen vermischt, um betrügerische Konten zu eröffnen, Kredite zu beantragen oder hochwertige Verträge auf den Namen der Opfer abzuschließen.

Zudem ermöglichen die präzisen Tarifinformationen hochgradig personalisierte Social-Engineering-Angriffe. Täter können sich bei Phishing-Anrufen oder gefälschten SMS-Nachrichten als offizielle Mitarbeiter der Telekom ausgeben und unter Berufung auf die korrekte Kundennummer, den exakten Monatspreis und den Namen des Tarifs das Vertrauen der Kunden erschleichen. Das Ziel solcher Kampagnen ist meist das Abgreifen von Passwörtern oder Einmal-Pins (TANs) für das Online-Banking.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Systematische Angriffe auf globale Telekommunikationsanbieter

Der mutmaßliche Vorfall bei der Deutschen Telekom reiht sich ein in eine Reihe von Cyberattacken auf die kritische Infrastruktur des weltweiten Telekommunikationssektors. Aufgrund der enormen Mengen an sensiblen Finanz- und Bewegungsdaten, welche diese Konzerne verwalten, bilden sie ein primäres Ziel für finanziell motivierte Erpresserbanden.

  • Februar 2026 – Odido (Niederlande): Der niederländische Mobilfunkbetreiber Odido wurde Opfer eines schwerwiegenden Angriffs durch die Hackergruppe ShinyHunters. Die Täter fälschten die digitale Identität eines IT-Mitarbeiters und verschafften sich Zugriff auf die Kernsysteme. Infolgedessen wurden die persönlichen Daten von 6,2 Millionen Kunden kompromittiert. Als der CEO von Odido eine Lösegeldzahlung mit der Begründung verweigerte, dass „Kriminelle nicht belohnt werden sollten“, begannen die ShinyHunters mit dem täglichen Dumping von jeweils 2 Millionen Datensätzen und drohten mit der vollständigen Freigabe von 21 Millionen Einträgen.
  • April 2026 – Rostelecom (Russland): Ein massiver koordinierter Distributed-Denial-of-Service-Angriff (DDoS) legte die Internet-Infrastruktur und digitale Bankendienste des staatlichen russischen Telekommunikationsanbieters Rostelecom in mehr als 30 Großstädten temporär vollständig lahm.
  • Südkorea: Bereits im vergangenen Jahr wurden die drei größten Telekommunikationsunternehmen des Landes – SK Telecom, KT und LG Uplus – nahezu zeitgleich bei separaten Spionageoperationen kompromittiert.

Staatlich gesteuerte Spionage im Kern der Netzinfrastruktur

Neben finanziell motivierten Hackern operieren im Telekommunikationsbereich vermehrt staatlich gelenkte Akteure (Advanced Persistent Threats, APTs), deren Ziel nicht die Erpressung von Geld, sondern die langfristige Überwachung von Kommunikationsströmen ist. 2026 identifizierten Sicherheitsbehörden bereits eine mutmaßlich mit China verbundene Gruppierung namens „Red Menshen“. Diese Gruppe zeichnet sich dadurch aus, dass sie hochkomplexe, verdeckte Spionagewerkzeuge (Covert Spy Tools) tief in die Firmware globaler Router- und Vermittlungsstrukturen einbettet. Dadurch sind die Angreifer in der Lage, den Datenverkehr ganzer Bevölkerungsgruppen unbemerkt zu spiegeln.

Diese Aktivitäten knüpfen an die weitreichende „Salt Typhoon“-Kampagne aus dem Jahr 2024 an. Damals drangen staatlich unterstützte Hacker in die Netzwerke von mindestens neun großen US-Telekommunikationsanbietern ein, darunter Branchenführer wie AT&T, Verizon, T-Mobile US und Viasat. Nach offiziellen Bestätigungen der Bundesbehörde FBI richtete sich jene Operation global gegen insgesamt 200 Organisationen in 80 Ländern. Die Angreifer erlangten dabei direkten Zugriff auf polizeiliche Protokolle zur rechtmäßigen Telekommunikationsüberwachung (Wiretapping Systems) sowie auf die vertraulichen Kommunikationsdaten von hochrangigen US-Regierungsbeamten. Der aktuelle Verdachtsfall bei der Deutschen Telekom unterstreicht, dass die Absicherung dieser zentralen Schnittstellen der digitalen Gesellschaft eine fortlaufende Herausforderung für die globale Cybersicherheit darstellt.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Telekom
20. Mai 2026
Datenleck-Verdacht: Kundendaten der Deutschen Telekom im Darknet
npm
20. Mai 2026
Wurm Mini-Shai-Hulud kapert populäre AntV-Software
eBook cybersecurity Mai 2026
20. Mai 2026
Die KI im Dienste der IT-Sicherheit
Google
20. Mai 2026
Google antwortet auf Meta-Brille

Weitere Artikel

Google antwortet auf Meta-Brille
Google demonstriert KI-Power
Microsoft gesteht jahrelange Akku-Probleme durch Treiber ein
Kubermatic und Dell Technologies geben strategische Partnerschaft bekannt 
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.