„Kunden existieren nicht", Telekom dementiert Leck nach Kundendaten-Fund im Darknet

Hacker behaupten, einen Datensatz der Deutschen Telekom anzubieten und schüren damit Befürchtungen vor Identitätsbetrug in großem Stil. Das Unternehmen dementiert den Vorfall.

Hacker bieten aktuell Daten mit Bezug zur Deutschen Telekom zum Verkauf an. Der Beitrag tauchte auf einer bekannten Darknet-Verkaufsplattform auf.

Die Deutsche Telekom hat ihren Hauptsitz in Bonn und zählt mit über 300 Millionen Kunden zu den größten Telekommunikationsunternehmen Europas.

Den Angreifern zufolge umfassen die gestohlenen Daten Ausweisnummern, Bankdaten sowie weitere personenbezogene Informationen. Sollten sich diese als echt erweisen, könnten sie für Betrug und gezielte Social-Engineering-Angriffe gegen Kunden der Telekom missbraucht werden.

Angeblich gestohlene Ausweisnummern bei der Deutschen Telekom

Die Redaktion von Cybernews hat die Datenprobe ausgewertet, die dem Post beigefügt war. Sie enthielt unter anderem folgende personenbezogene Informationen der vermutlich betroffenen Kunden:

• Vornamen
• Nachnamen
• Geburtsdaten
• Ausweisnummern
• Telefonnummern
• Adressen
• Vertragsdaten wie Kunden-ID, Tarif, Preis und Kontonummer

Besonders brisant sind die offengelegten Ausweisnummern, da sie das Risiko für Identitätsdiebstahl und gezielte Betrugsversuche erheblich erhöhen.

Darüber hinaus stellten die Redakteure fest, dass einige der betroffenen E-Mail-Adressen bereits in älteren Datenlecks aufgetaucht sind. Das legt nahe, dass sich zumindest ein Teil der Daten mit früher kompromittierten Datensätzen überschneidet.

Die mutmaßlich offengelegten personenbezogenen Daten betreffen nicht nur Einzelpersonen, sondern auch Partnerunternehmen.

Sind die Daten echt?

Die Cybernews-Sicherheitsforscher haben Indizien dafür, dass die Daten authentisch sind, es gibt aber auch einige Ungereimtheiten.

Für einen authentischen Datensatz spricht, dass die enthaltenen Abonnement- und Tarifinformationen mit den Angeboten auf der offiziellen Telekom-Website übereinstimmen.

„Die Tarife und Partnerpläne stimmen mit der offiziellen Telekom-Website überein und die Nutzer-E-Mail-Adressen wirken ebenfalls plausibel“, so die Einschätzung der Forscher.

„In einigen Fällen passen die Adressen allerdings nicht zu den angegebenen Postleitzahlen, was Fragen aufwirft.“

Deutsche Telekom dementiert Leck „keine echten Daten"

Die Deutsche Telekom hat gegenüber Cybernews erklärt, dass die geleakten Daten nicht aus dem Unternehmen stammen. Das Sicherheitsteam habe den fraglichen Datensatz bereits analysiert. Nach Angaben des Sprechers stimmen Adressen und Postleitzahlen nicht überein, und die im Datensatz aufgeführten Kunden existierten in den Systemen des Unternehmens nicht.

„Jemand hat Daten zusammengetragen, die aus Phishing-Kampagnen gegen Privatpersonen stammen und bereits mehrfach im Netz aufgetaucht sind. Diese Daten wurden mit weiteren, offenbar fiktiven Informationen angereichert", erklärte der Telekom-Sprecher.

„Die Deutsche Telekom analysiert alle Meldungen über mutmaßliche Datendiebstähle und nimmt sie sehr ernst. Dafür beobachten wir sowohl öffentliche als auch nicht-öffentliche, spezialisierte Quellen. Häufig stellt sich jedoch heraus, dass solche Datensätze keine authentischen Informationen enthalten", so der Sprecher weiter. „Das scheint auch bei diesem Datensatz der Fall zu sein, wie unsere Experten nach ihrer Analyse bestätigen. Dieses Phänomen tritt immer häufiger auf. Die Motive sind sehr unterschiedlich."

Angriffe auf den Telekommunikationssektor nehmen zu

Die schiere Menge sensibler Daten, die Telekommunikationsunternehmen verwalten, macht sie zu einem attraktiven Ziel, sowohl für finanziell motivierte Cyberkriminelle als auch für staatlich gesteuerte Akteure.

In den vergangenen Jahren haben die Angriffe deutlich zugenommen. Große Anbieter wie Odido, AT&T, Colt und Rostelecom wurden bereits zu Opfern.

Im Februar traf es den niederländischen Telekommunikationsanbieter Odido. Die Hackergruppe ShinyHunters gab sich als IT-Mitarbeiter aus, verschaffte sich so Zugang zu den Systemen des Unternehmens und stahl dabei die Daten von 6,2 Millionen Kunden.

ShinyHunters drohte damit, 21 Millionen Datensätze zu veröffentlichen, und begann, täglich zwei Millionen Einträge freizugeben, nachdem der CEO von Odido das Lösegeld mit der Begründung, Kriminelle dürften nicht belohnt werden, verweigerte.

Im April legte ein massiver DDoS-Angriff auf Russlands Rostelecom Internet und Bankbetrieb in 30 Städten lahm.

Im vergangenen Jahr wurden in Südkorea gleich drei der größten Telekommunikationsanbieter SK Telecom, KT und LG Uplus kompromittiert.

Staatliche Akteure stellen für den Telekommunikationssektor eine besondere Gefahr dar. Vor einem Monat wurde die China-nahe Gruppe Red Menshen dabei erwischt, wie sie Spionagesoftware in die globale Telekommunikationsinfrastruktur einschleuste und so Netze übernahm, auf die große Teile der Bevölkerung im Alltag angewiesen sind.

2024 wurden mindestens neun US-amerikanische Telekommunikationsunternehmen vom staatlich unterstützten Bedrohungsakteur Salt Typhoon kompromittiert, darunter AT&T, Verizon, T-Mobile und Viasat.

Das FBI bestätigte, dass die Operation insgesamt 200 US-amerikanische Organisationen in 80 Ländern ins Visier genommen hatte. Die Hacker verschafften sich Zugang zu Anrufprotokollen, Abhörsystemen und Kommunikationsdaten von US-Regierungsbeamten.

Auch die Telekom ist kein unbeschriebenes Blatt. Im Jahr 2024 gab es einen ähnlichen Vorfall mit der Hackergruppe LockBit. Damals dementierte die Telekom die Vorwürfe als haltlos. 2025 war es zu einem Datenleck beim Telekom-Streamingdienst MagentaTV gekommen. Dabei waren vermutlich über 324 Millionen Datensätze abgeflossen.

Aktualisiert am 20. Mai [11:30 Uhr MESZ] mit einer Stellungnahme der Deutschen Telekom.

---

Entdecke weitere exklusive Cybernews-Reportagen auf YouTube.