Der Mobilfunkriese Vodafone hat nach Recherchen von CORRECTIV die Kontrolle über Teile der Daten seiner Kunden verloren. In Unterlagen, die CORRECTIV einsehen konnte, sind sensible Daten wie Passwörter und Kundennummern, aber auch Kopien von Personalausweisen oder Kreditkarten jeweils mit Vorder- und Rückseite sichtbar. Die Daten sind unverschlüsselt abrufbar. Sie sind für viele Vodafone-Mitarbeitende, aber auch für Beschäftigte der rund 400 Partneragenturen und Fachhändler zugänglich.

CORRECTIV konnte Datensätze von Kunden einsehen, die aus den internen Systemen des Telekommunikationskonzerns stammen, da diese nicht ausreichend gegen unberechtigten Zugriff gesichert waren.

Im Video wird eine unverschlüsselt zugängliche Datenbank mit Vodafone-Kundeninformationen gezeigt. Hier können über ein Mobilfunkgerät Handyverträge, Personalausweise, Sparkassen- und Kreditkarten frei zugänglich abgerufen werden. Der Ordner im Bild stammt aus dem Januar 2022. Die Informationen in der Datenbank selbst reichen bis weit in das Frühjahr 2023. Wir haben alle Daten zum Schutz der Quellen und persönlichen Informationen unkenntlich gemacht.

Vodafone steckt seit einiger Zeit in Schwierigkeiten, der Börsenkurs ist seit Juli 2022 stetig von damals rund 1,50 Euro auf aktuell rund 95 Cent gesunken. Vor allem Deutschland als wichtigster Markt gilt als problematisch, wie Vodafone in seinem Geschäftsbericht schreibt.

Um in dieser Situation möglichst viele Handyverträge zu verkaufen, setzt der Konzern in Deutschland auch auf Partneragenturen und Fachhändler. Diese bieten den Kunden die Verträge zu Rabattpreisen an und erhalten von Vodafone Provisionen und Werbekostenzuschüsse. Etliche Agenturen finanzieren mit diesen Einnahmen die Verträge selbst. Dieses Modell würde Händler nach eigenen Aussagen in ein Schneeballsystem treiben. Gegen einige Händler wird wegen des Verdachts auf Betrug ermittelt.

Das Vertriebsmodell im Mobilfunkbereich ist auf diese Strategie ausgerichtet, wie aus einer internen Präsentation des Konzerns hervorgeht, die CORRECTIV vorliegt. Die Zahl der verkauften Handyverträge in Europa ist eine elementare operative Kennzahl für den Erfolg von Vodafone und für den Aktienkurs des Unternehmens mitentscheidend.

In Deutschland hat Vodafone nach eigenen Angaben über 30 Millionen Kunden. Dazu kommen weitere Kunden im Kabelgeschäft. Laut seinem letzten Geschäftsbericht erzielte der Konzern in Deutschland im vergangenen Jahr rund 13 Milliarden Euro Umsatz – etwa doppelt so viel wie im Heimatmarkt Großbritannien.

Sicherheitslücken im Geschäftsverkehr mit Privatkunden sind in einem solchen Umfeld riskant.

Datenleck: Ausweiskopien oder Bankdaten auf Knopfdruck

CORRECTIV konnte in Tausende kaum gesicherte Kundendaten Einsicht nehmen. Abfragen aus dem Vodafone-System können auch ohne eine doppelte Authentifizierung durchgeführt werden, obwohl ein solches Verfahren alle unautorisierten Zugriffe unterbinden könnte, wenn es erzwungen wird. Tatsächlich waren in einer Vielzahl der Fälle die Passwörter ebenfalls Bestandteil der Kundendaten.

In unverschlüsselten Ordnern außerhalb des Kernsystems von Vodafone sind zudem Personalausweiskopien der Vodafone-Kunden, Kopien der Bankkarten – jeweils Vorder- als auch Rückseiten – gespeichert, dazu Vertragsdetails, Kontonummern und Bankverbindungen, die individuelle Handy-Kennung (IMEI-Daten), Adressen, Geburtstage, Telefonnummern. Die Daten können auf einfache Weise heruntergeladen werden. In einigen Fällen sollen Händler die Daten in Google Cloudsystemen oder etwa auf Sticks gespeichert haben – eine besonders unsichere Art der Speicherung. Eine Datenbank, in die CORRECTIV Einsicht genommen hat, stammt aus dem ersten Quartal 2023.

Das Datenleck ist teilweise auf eine doppelte Datenführung zurückzuführen. Die Daten wurden bei Partnern und Fachhändlern unsicher vor Ort gespeichert und an Vodafone weitergereicht, aber beim Händler nicht gelöscht. Das bedeutet: Selbst wenn die Personalausweise und Kreditkarten bei Vodafone verschlüsselt vorliegen, sind sie dennoch bei den Partneragenturen oder Fachhändlern unverschlüsselt zugänglich.

Teilweise sind die sensiblen Daten aus den Handyverträgen aber auch gar nicht erst bei Vodafone gelandet. Informationen von CORRECTIV zufolge behielten einzelne Händler Verträge, unterzeichnete SEPA-Lastschriftsmandate sowie die Kopien der Pässe und Bankkarten der Endkunden einfach bei sich – und gaben Vodafone stattdessen nur einen Teil der Daten zur Abrechnung der Handyverträge weiter. Nach den Regeln sollen diese Unterlagen spätestens sechs Wochen nach Übermittlung der Aufträge in Hardkopie an Vodafone gesendet werden. Eine Überprüfung dieser Pflichten fand in einigen Fällen nur unzureichend statt.

Daten können leicht in kriminelle Hände fallen

Damit sind die Daten für Missbrauch, etwa durch illegale Weitergabe oder Datenhandel besonders anfällig. Mit ihnen kann Online-Betrug in großem Stil durchgeführt werden.

Wer Zugriff auf die Daten hat, kann beispielsweise bei Amazon ohne Wissen der Vodafone-Kunden einkaufen oder Kredite bei Online-Banken abschließen. Meist werden Kreditkarten erst automatisch gesperrt, wenn die dahinter liegenden Konten mit einigen tausend Euro belastet sind. Ein Experte schätzt die abstrakte Schadenssumme, die mit dem Missbrauch der Daten möglich sein könnte, auf einen zweistelligen Millionenbetrag. Und das nur mit den Informationen aus einem Datensatz, in dem rund 10.000 solcher sensiblen Informationen gespeichert sind.

Dieser leichte Zugriff auf persönliche Daten ist bei tausenden Personen möglich, die einen Vodafone-Vertrag haben.

Vodafone hat die Kontrolle über die Daten verloren

Die Ursache für das Datenleck liegt im Agentur- und Fachhändler-System von Vodafone. Um das Ziel zu erreichen, über private Subunternehmer oder externe Fachhändler möglichst viele Verträge abzuschließen, wird den Händlern ein möglichst einfacher Zugriff auf Vodafone-Daten gegeben. Die Sicherheit der Informationen hat offenbar keine Priorität. Die Agenturen und deren Betreiber werden in der Regel nur ungenügend auf Zuverlässigkeit geprüft, wie die immer wieder gemeldeten Betrugsfälle zeigen. In Essen und Darmstadt ermitteln die Behörden derzeit gegen mehrere Händler.

Eigentlich dürfte es die Probleme nach Auskunft von Vodafone nicht mehr geben. So habe im Jahr 2021 ein Whistleblower auf Schwierigkeiten aufmerksam gemacht. Es habe Betrug gegen das Unternehmen genau wie gegen dessen Kunden gegeben. Nach eigenen Angaben hatte Vodafone Indizien dafür, dass durch Vertriebspartner datenschutzrechtliche Bestimmungen verletzt wurden.

Um den Missbrauch zu beenden, habe Vodafone dann „hart und umgehend reagiert und seine Sicherheitsmaßnahmen erhöht“. Der Konzern habe 15 Strafanzeigen gestellt, sich von zehn Agenturen getrennt und 53 Ladenlokale geschlossen. Mit den betroffenen Kunden habe der Konzern schon damals etwaige Unstimmigkeiten im direkten Dialog geklärt – so heißt es in einem Vodafone-Statement von 2021. Mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) stehe der Konzern zudem im regelmäßigen Austausch und „hat im Rahmen eines erwiesenen Datenschutzverstoßes fristgerecht eine Meldung an diese Behörde gemacht.“

Doch viele Probleme bestehen immer noch fort, wie die Unterlagen beweisen, die CORRECTIV einsehen konnte.

Vodafone müssten die Sicherheitslecks eigentlich bekannt sein. Seit Jahren werden der Vorstand und die relevanten Sicherheitsabteilungen des Konzerns von dem gleichen Whistleblower informiert, der auch den BfDI über die Lücken im System Vodafone in Kenntnis setzt.

Der Komplex Vodafone

Eine Mini-Serie über krude Geschäfte in einem der größten Mobilfunkkonzerne der Welt.

Kapitel 1: Das Agentursystem (erschienen am 25. September)

Kapitel 2: Das Datenleck (erschienen am 29. September)

Kapitel 3: Der Whistleblower (erschienen am 5. Oktober)

Kapitel 4: Sammelklagen und andere Sorgen (erschienen am 13. März)

Angeblich hat Vodafone die notwendigen Änderungen durchgeführt, um die Datenlecks zu schließen, teilt der Konzern auf Anfrage mit. So sei „vor geraumer Zeit“ ein internes Programm gestartet worden, um die  Systemlandschaft stetig zu verbessern. Mit Hilfe eines „mTan-Verfahrens“ soll die bestehende Sicherheitsarchitektur komplett abgelöst werden, teile ein Sprecher mit. Dies ist eine Art doppelte Authentifizierung, mit der die Kunden den Zugriff auf ihre Daten bestätigen müssen. Die Nutzerrechte und Einsichten würden für die Vodafone-Mitarbeiter so stark eingeschränkt. „Grundsätzlich gilt: Vodafone geht gegen jegliche Art von Fehlverhalten rigoros vor: von der Abmahnung bis zur Kündigung von nachweislich auffälligen Partnern“, schreibt der Konzern.

Allerdings: Die Einsicht in die Datenbanken ist auch ohne „mTan“ weiter möglich, wie Vodafone bestätigt. „In Einzelfällen kann das mTan-Verfahren abgestellt werden“, sagte ein Vodafone-Sprecher, etwa wenn ein Kunde ein kaputtes Handy habe und nicht mehr an seine Daten kommen könne.

Dieses kleine Loch öffnet dem Missbrauch die Türen, sagt ein Insider. „Der Betreuer im Laden kann über alternative Datenabfragen immer die Daten abgreifen.“ Der Datenschutz sei mangelhaft. Bei einer Stichprobe konnte CORRECTIV zum Beispiel den Dienstausweis einer Polizistin einsehen, die Kundin bei Vodafone ist.

Nach Angaben von Insidern sind die Daten von Prominenten genauso gezielt auszuspähen wie die Daten von Journalisten oder Privatleuten. Selbst die Einzelverbindungsnachweise sollen den Aussagen nach einsehbar sein, wenn man die Rufnummern der Zielperson kennt – und die Sicherheitssysteme umgeht. Diese Abfragen aus dem Vodafone-System sind möglich, da die erweiterten Rechte der Mitarbeiter in den Shops oft ausreichen, alle Informationen zu bekommen, ohne dass die Kunden ihre Zustimmung zu den Abfragen gegeben haben. Der Grund: Die eigentlich vorgeschriebene doppelte Authentifizierung kann in den Shops leicht umgangen werden, da sie technisch nicht erzwungen wird. Bis zu 100 Abfragen gelten nach den internen Vorgaben von Vodafone nicht als auffällig.

Behörde kündigt Kontrollen „grundsätzlich“ vorher an

Die Überwachungsbehörde für die Datensicherheit – der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) – soll kontrollieren, ob es zu Verletzungen des Datenschutzes kommt. Doch das BfDI führt keine spontanen Kontrollen durch, sondern kündigt diese „grundsätzlich“ an. Für Mitarbeitende von Vodafone oder der Partneragenturen ist es damit leicht möglich, vor den Kontrollen die Standorte zu säubern, Zugriffsrechte und Passwörter zu ändern.

Auf Nachfrage teilte das BfDI mit, dass es Hinweisen auf datenschutzrechtliche Defizite im Rahmen seiner Zuständigkeit immer nachgehe. Dazu gehörten seit einiger Zeit auch die Hinweise auf die Löcher im Vodafone-Datennetz, die ein Whistleblower bekannt gemacht habe. So würden auch die Systeme und Prozesse von Vodafone überprüft, teilte eine Sprecherin des BfDI mit. „Da die Verfahren dazu noch laufen, können wir Ihnen zu den Details keine Auskunft geben.“

Jede Entwicklung im deutschen Markt ist für den gesamten Vodafone-Konzern entscheidend. In Deutschland werden über 25 Prozent des Gesamtumsatzes des Konzerns erwirtschaftet. Rund die Hälfte aller europäischen Mobilfunkverträge von Vodafone kommt aus Deutschland.