Die Szene ist krimireif: Volker Thiede eilt auf einen Mann im kurzärmligen Hemd und mit bunter Krawatte zu, der auffällig gelangweilt in der Columbus-Einkaufspassage in Bremerhaven steht. Er flüstert das Codewort: "Lorbass". In den Krawattenträger kommt Leben. Er eskortiert Thiede in einen T-Punkt-Laden. Beide verschwinden im Hinterzimmer. Dort legt der Computertechniker, der gelegentlich als Aushilfe in einem Callcenter jobbte, zwei Sicherheitsleuten der Telekom seinen Personalausweis vor - und packt aus.
Codewort: "Lorbass"
"Lorbass" bedeutet so viel wie Strolch. Nicht schlecht gewählt. Denn an diesem Tag, Anfang Oktober 2007, übergibt Thiede einen Packen Ausdrucke von Telekom-Kundendaten. Solche Kundeninformationen sind eigentlich streng geschützt. Zum Teil sind Bankverbindungen handschriftlich auf den Seiten notiert. Auch Zugangscodes für die interne Kundendatenbank der Telekom kann Thiede vorzeigen. Die Datensätze hatte der Chef des Callcenters, in dem Thiede gejobbt hatte, illegal beschafft. Heute, ein Jahr später, bringen diese Datensätze die Deutsche Telekom in Erklärungsnot.
Der Konzern hatte stets beteuert: Bei uns sind die Daten unserer 30 Millionen Festnetz- und 38 Millionen Mobilfunkkunden sicher. Tatsächlich hatte der rosa Riese ein gewaltiges Sicherheitsproblem: Betrügern wurde es allzu leicht gemacht, mit sensiblen Daten aus dem Inneren des Konzerns Geschäfte zu machen. Von jedem beliebigen Heimcomputer oder Internetcafé aus konnte man ins Allerheiligste der Telekom vordringen.
Kein Einzelfall
So kommt der Konzern binnen kurzer Zeit bereits zum dritten Mal wegen seines missbräuchlichen oder fahrlässigen Umgangs mit Daten ins Gerede. Im Mai war aufgeflogen, dass die Telekom eigene Aufsichtsräte sowie Journalisten bespitzeln ließ. Dabei waren Telefonverbindungen von Arbeitnehmervertretern in dem Kontrollgremium durchforstet worden. Man wollte herausfinden, wer mit der Presse in Kontakt stand.
Um die genauen Umstände des Datenklaus kümmern sich derzeit gleich zwei Staatsanwaltschaften. In Bremen laufen Ermittlungen gegen Thomas B., den ehemaligen Betreiber des Callcenters, in dem Informant Thiede arbeitete. Ein Verfahren in Bonn richtet sich gegen Thiede selbst. Er steht im Verdacht, die Telekom jüngst erneut per E-Mail kontaktiert zu haben, um sie mit dem Datenskandal zu erpressen. "Da hat jemand, der Alarm schlagen wollte, seine Formulierungen ungeschickt gewählt", sagt dessen Verteidiger Thomas Ohm aus Bonn.
Schon länger bekannt
Den Fall ins Rollen brachte vor wenigen Wochen die WDR-Sendung "Kriminalreport". Anonym schilderte Thiede darin, wie sein früherer Arbeitgeber in Bremerhaven mit sensiblen Daten von Telekom-Kunden hantierte und auf private Rechnung Provisionen für Telefonwerbeaktionen einstrich. Die Informationen nutzten Thomas B. und seine Drückerkolonne, um sich als Telekom-Mitarbeiter auszugeben. Viele Angerufene fielen darauf herein; sie ließen sich lange laufende Internetverträge der Telekom andrehen. "Die meisten gaben zudem freimütig ihre Bankdaten preis, als ihnen eine Gutschrift versprochen wurde", sagt Insider Thiede. Ob ihnen ein Schaden entstand, ist unklar.
Gegenüber dem TV-Team gab sich die Telekom seinerzeit ahnungslos: Der Konzern sei "Opfer hochkrimineller Machenschaften" geworden, sagte ein Sprecher. Das Unternehmen erstattete Anzeige.
In Wirklichkeit ist der Beschuldigte Thomas B. bei der Telekom kein Unbekannter: Er war zwischen Februar und September 2007 als Teilzeitkraft bei einem offiziellen Callcenter der Telekom-Tochter Vivento beschäftigt. Vermutlich verschaffte er sich damals auch Zugangsdaten anderer Mitarbeiter und nutzte sie für seine private Callcenterbude. Das fiel Telekom-intern sehr wohl auf: Die Konzernsicherheit wurde eingeschaltet, am 18. September 2007 bekam Thomas B. Hausverbot.
Provisionen für seine Drückerdienste stellte Thomas B. einem Subunternehmer des Telefonriesen in Rechnung: Laut Telekom kamen so zwischen Anfang April und Ende Juli 2007 exakt 1455 Euro zusammen; wie viel danach fällig wurde, ist ungeklärt. Die Staatsanwaltschaft geht zudem davon aus, dass Thomas B. die Datensätze auf dem Schwarzmarkt verkaufte. Thomas B. war für den stern nicht erreichbar. Wenn dies alles schon 2007 bekannt war, warum zeigte die Telekom ihren Ex-Mitarbeiter nicht bereits vor einem Jahr an? Einen kleinen Fisch, der mit mäßigem Erfolg versucht hatte, sie abzuzocken? Das fragt sich auch die Staatsanwaltschaft. Die Vermutung: Der Konzern habe zunächst Sicherheitslöcher stopfen wollen.
Problemloses Einloggen
Die Telekom teilt dazu heute lapidar mit, es seien "Mängel im Umgang mit Kennungen und Passwörtern festgestellt" worden. Rund 25.000 Mitarbeiter des Unternehmens haben Zugriff auf Kundendaten unterschiedlicher Qualität - meist sitzen sie in den firmeneigenen Callcentern. Der Fall von Thomas B. zeigt: Der Datenmissbrauch wurde ihm leicht gemacht. Die Callcenter-Mitarbeiter bei Vivento konnten sich mit einer simplen Kombination in die Telekom-Datenbank "Cosma" einwählen. Einzutippen war der Code "start01" sowie eine für alle gültige Zahlenkolonne plus Nachname und Anfangsbuchstabe des Vornamens. Schon war man drin und konnte von jedem Festnetzkunden der Telekom Anschrift, Telefonnummern und Mails sowie alle laufenden Verträge aufrufen. Im Klartext bedeutet das: Fälle wie der um Thomas B. hätte es überall geben können. Wer an Zugangsnamen und Passwörter kam - sie wurden auch im Internet illegal angeboten -, der hatte von jedem beliebigen Computer Zugriff auf die zentrale Kundendatenbank. Eine Registrierung, nach der etwa nur autorisierte PCs Zugriff erhalten, existierte damals nicht.
Der Sicherheitsbevollmächtigte der Telekom, Reinhard Rupprecht, sagt, die "Sicherheitslücke" sei "am 21. August 2007 generell geschlossen worden". Rupprecht selbst ist erst seit 2008 im Amt. Außerdem gibt die Telekom an, weder Konzernchef René Obermann, dem die Konzernsicherheit damals direkt unterstellt war, noch der für die Callcenter zuständige T-Vorstand Tim Höttges seien über das Datenloch informiert worden.
Nichtwissen und Abducken gehörten bei heiklen Fällen zur Geschäftspolitik. Auch als die Konzernsicherheit die Telefonlisten der eigenen Aufsichtsräte ausspähen ließ, will von den Oberen niemand verantwortlich gewesen sein. Die Betroffenen verständigte man erst, ein knappes Jahr nachdem die Aktion intern aufgefallen war. Glaubt man der Telekom, so müssen die Herren von der Unternehmenssicherheit ein merkwürdiges Eigenleben geführt haben.
