Erforderlich waren nach einem "Spiegel"-Bericht nur wenige Angaben zum Kunden und ein einfaches Passwort. Darüber hätten unzählige Mitarbeiter in T-Punkt-Läden verfügt, es sei auch bei Hackern bekannt gewesen, schrieb das Magazin. Die Telekom AG teilte am Samstag mit, die Sicherheitslücke sei inzwischen geschlossen worden. Erst am vergangenen Wochenende war bekannt geworden, dass 17 Millionen Kundendaten gestohlen worden waren.
Redakteure des Magazins hatten sich dem Bericht zufolge in das laufende Kundensystem der Mobilfunktochter T-Mobile einloggen und Daten wie Adressen oder Bankverbindungen einsehen und verändern können - ohne eine einzige weitere Sicherheitsschranke. Selbst das Anlegen völlig neuer Einzugsermächtigungen sei möglich gewesen.
Zugang jetzt durch TAN gesichert
Die Telekom teilte mit, der Zugang zu den Daten werde jetzt durch eine TAN (Transaktionsnummer) gesichert. Die TAN werde bei Bedarf automatisch erzeugt und dem Kunden per SMS aufs Handy geschickt, wenn dieser zum Beispiel in einem Telekom-Laden seine Adresse ändern lassen wolle. "Erst wenn der Kundenberater diese TAN in die Datenbank eingibt, kann er die Daten des Kunden bearbeiten", betonte die Telekom. "Damit können die Kundendaten nicht mehr von externen Computern unbefugt eingesehen oder verändert werden."
Die TAN-Regelung ist nach Angaben des Unternehmens Teil eines Maßnahmenpakets zum Stopfen von Sicherheitslücken, das die Telekom am Freitag vorgestellt hatte. Konzernchef René Obermann hatte auch die Berufung eines neuen Vorstands für Datenschutz angekündigt.
Demonstrationen in Berlin
Unabhängig von dem neuen Vorfall bei der Telekom demonstrierten in Berlin tausende Bürger am Samstag gegen die zunehmende Speicherung elektronischer Daten durch den Staat. Die Polizei zählte 15.000 Teilnehmer, die Veranstalter sprachen von 100.000. Mehrere Redner verlangten einen besseren Datenschutz in allen Lebensbereichen. Der Vorsitzende der Freien Ärzteschaft, Martin Grauduszus, kritisierte etwa, mit der geplanten elektronischen Gesundheitskarte werde das "Grundvertrauen zwischen Arzt und Patient" geopfert.
Die Grünen im Bundestag kritisierten: "Weder die Kundendaten noch die im Rahmen der Vorratsdatenspeicherung (im Auftrag des Staates) massenhaft gespeicherten Verbindungdaten sind bei der Deutschen Telekom sicher." Der Parlamentarische Geschäftsführer Volker Beck verlangte in einer Mitteilung deshalb den Stopp der Vorratsdatenspeicherung. Die Vizepräsidentin des Bundestags, Petra Pau (Linke), forderte in einer Mitteilung mehr Datenschutz. Die FDP kritisierte eine "immer weiter gehende Auswertung und Überwachung" der Bürger.
Auch Jauch und Lafer betroffen
Nach dem umstrittenen Gesetz zur Vorratsdatenspeicherung sollen Telefonfirmen seit Anfang des Jahres technische Daten von Gesprächen sechs Monate lang speichern. Ab 2009 wird auch die Kommunikation über das Internet erfasst. Gesprächsinhalte werden nicht gespeichert.
Im Fall der gestohlenen 17 Millionen Kundendaten bestätigte Telekom-Chef Obermann, dass bundesweit in sechs weiteren Fällen entwendeter Daten ermittelt wird. Bereits vor wenigen Monaten hatte die Telekom wegen der Bespitzelung von Aufsichtsräten und Journalisten in der Kritik gestanden.
Der "Bild"-Zeitung sagte Obermann, er habe sich persönlich bei einigen prominenten Opfern des Datendiebstahls entschuldigt. Unter ihnen waren der Fernsehmoderator Günther Jauch und TV-Koch Johann Lafer.
Kritik an Konzerführung wächst
Nach Bekanntwerden der neuerlichen Datenpanne wächst in der Telekom die Kritik an der Konzernführung. "Da verliert ja der letzte Kunde sein Vertrauen", sagte T-Mobile-Aufsichtsrat Ado Wilhelm der "Frankfurter Rundschau" (Montag). "Unsere Mitarbeiter werden mit Hohn und Spott überschüttet." Die Telekom sehe ihr Zukunftsgeschäft im Datentransfer, verhalte sich aber wie eine Klitsche, die von einer Garage aus agiere, sagte Wilhelm der Zeitung. Telekom-Chef René Obermann erwecke den Eindruck, als seien Mitarbeiter an dem Desaster schuld, die besser geschult werden müssten.
Wilhelm sagte, verantwortlich für die Strukturprobleme sei die Konzernführung. Der Vorstand müsse personelle Konsequenzen ziehen, wenn ständig Pannen aufträten. Der Aufsichtsrat werde über die Datenpannen regelmäßig im Dunkeln gelassen. Als Haupteigentümer hätten das Bundesfinanzministerium und die Kreditanstalt für Wiederaufbau eine Verpflichtung einzugreifen. (dpa/tc)