Deutschland
 

Telco Optus gehackt

Schlimmster Cybervorfall in der Geschichte Australiens

Hacker haben Daten von fast zehn Millionen Australiern erbeutet, darunter auch sensible Informationen. Vieles deutet darauf hin, dass es der TK-Konzern Optus den Angreifern leicht gemacht hat.
Von 
CSO | 29. September 2022 14:05 Uhr
Standen die Türen der IT-Systeme bei Optus so weit offen, dass Hacker kein Problem hatten, Millionen Daten abzugreifen?
Standen die Türen der IT-Systeme bei Optus so weit offen, dass Hacker kein Problem hatten, Millionen Daten abzugreifen?
Foto: Optus

Hacker haben am 22. September den australischen Telekommunikationsanbieter Optus angegriffen. Es handelt sich um die zweitgrößte Telco des Landes, Optus versorgt knapp zehn Millionen australische Bürgerinnen und Bürger mit seinen Services - das sind fast 38 Prozent der gesamten Bevölkerung. Das Unternehmen ist eine Tochtergesellschaft der Singapore Telecommunications Ltd.

Experten bezeichneten den Hack als die schlimmste Datenpanne in der Geschichte Australiens. Das liegt offenbar auch am chaotischen Umgang der Verantwortlichen mit dem Vorfall. Zunächst hieß es, es seien persönliche Informationen von aktuellen und ehemaligen Optus-Kunden gestohlen worden - darunter Informationen wie Namen, Adressen, Geburtsdaten sowie Kontaktinfos wie Telefonnummern und E-Mail-Konten.

Später wurde bekannt, dass den Hackern offenbar auch Pass- und Führerscheinnummern in die Hände fielen. Davon seien etwa 2,8 Millionen Menschen betroffen, hieß es in Medienberichten. Die australischen Behörden warnten, dass die Betroffenen nun einem hohen Risiko des Identitätsdiebstahls ausgesetzt seien.

Die Optus-Verantwortlichen beteuern immerhin, dass keine Zahlungsdaten und Passwörter gestohlen worden seien. Der Hack werde noch untersucht. Polizei, Finanzinstitute sowie die staatlichen Aufsichtsbehörden seien informiert worden. Optus-CEO Kelly Bayer Rosmarin sprach von einem raffinierten Angriff und entschuldigte sich bei den Kunden. "Natürlich bin ich wütend, dass es Leute gibt, die unseren Kunden so etwas antun, und ich bin enttäuscht, dass wir das nicht verhindern konnten", sagte die Unternehmenschefin. Gleichzeitig beteuerte sie, dass Optus auf seine Cyber-Sicherheit achte und starke Werkzeuge dafür im Einsatz habe.

Hack über offene Schnittstelle?

Inzwischen gibt es allerdings ernsthafte Zweifel an dieser Behauptung. Der Angreifer veröffentlichte einige wenige Daten von Optus-Kunden in einem Online-Forum und forderte Geld von dem Konzern. Ansonsten würden die Daten portionsweise im Dark Web verkauft, drohte er. Einem australischen Journalisten erklärte er, dass es einfach gewesen sei, an die Daten zu kommen. Er habe für den Hack eine frei zugängliche Schnittstelle ausgenutzt. Von einem ausgeklügelten Angriff könne keine Rede sein.

Das Management geriet angesichts der Veröffentlichungen stark unter Druck. Nachdem weitere gestohlene Daten veröffentlicht wurden, stellte sich heraus, dass wohl auch zehntausende IDs für sensible medizinische Informationen von Optus-Kunden geklaut wurden. Mittlerweile bereiten Anwaltskanzleien erste Sammelklagen gegen den Konzern vor.

Politik wirft Optus Schlamperei vor

Von den Behörden ist keine Rückendeckung zu erwarten. Die australische Regierung bezeichnete die Datenpanne als beispiellos und gab Optus die Schuld dafür. Das Unternehmen habe dem Diebstahl sensibler Daten praktisch Tür und Tor geöffnet. Die Ministerin für Cybersicherheit Clare O'Neil sagte in einem Fernseh-Interview, sie nehme den Optus-Verantwortlichen nicht ab, dass es sich um einen raffinierten Hackerangriff gehandelt habe. "Wir sollten in diesem Land keinen Telekommunikationsanbieter haben, der dem Diebstahl von persönlichen Daten praktisch Tür und Tor geöffnet hat", twitterte die Ministerin.

Australiens Innenministerin Clare O'Neil, die auch für Cyber Security zuständig ist, will die Sicherheitsregeln verschärfen und droht bei Verstößen härtere Strafen an.
Australiens Innenministerin Clare O'Neil, die auch für Cyber Security zuständig ist, will die Sicherheitsregeln verschärfen und droht bei Verstößen härtere Strafen an.
Foto: Clare O'Neil MP

Der Optus-Hack hat heftigen Debatten über Cybersicherheit und Datenschutz in Australien ausgelöst. Ministerin O'Neil kündigte an, die Regeln zu verschärfen. Der Vorfall habe die Defizite offengelegt und Rückstände aufgezeigt. Unternehmen, die bei ihrer Cybersecurity schlampten, sollten künftig schärfer bestraft werden können. Derzeit liegen die Obergrenzen für Geldstrafen bei zwei Millionen australischen Dollar.

Lesetipp: Cyberspionage-Angriff -Chinesische Hacker spionieren australische Organisationen aus

In anderen Ländern würden in solchen Fällen hunderte Millionen Dollar fällig, sagte O'Neil, die nun die Cyber-Security-Gesetze des Landes auch auf Telekommunikationsanbieter ausweiten will. Es sei ein Fehler gewesen, den Beteuerungen der Branche zu glauben, man werde sich schon gut um die Sicherheit der Daten kümmern. Australische Datenschützer fordern jetzt, dass sensible Daten nicht mehr so lange aufbewahrt werden dürfen und Kunden das Recht bekommen sollten, die Löschung ihrer Daten einzufordern.

Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.
Folgen: