Fragen & Antworten

Worum geht es bei dem Vorfall?

Vodafone Deutschland war kürzlich Ziel eines kriminellen Angriffs auf einen seiner Server. Dieser Angriff war nur mit hoher krimineller Energie sowie Insiderwissen möglich und fand tief versteckt in der IT-Infrastruktur des Unternehmens statt. Dabei erlangte der Täter Zugang zu Stammdaten von 2 Millionen Personen. Er entwendete Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer. Sicher ist, dass der Täter keinen Zugang zu Kreditkarten-Daten, Passwörtern, PIN-Nummern, Mobiltelefonnummern oder Verbindungsdaten hatte.

Der Angriff ist von Vodafone entdeckt, gestoppt und unverzüglich zur Anzeige gebracht worden. Wir arbeiten eng mit den deutschen Aufsichts- und Justizbehörden zusammen, die sofort Ermittlungen eingeleitet haben. Die Behörden hatten uns zunächst gebeten, keine Informationen an die Öffentlichkeit zu geben, um die Ermittlungen nicht zu gefährden. Inzwischen haben die Behörden einen Tatverdächtigen identifiziert und eine Hausdurchsuchung durchgeführt. In Abstimmung mit den Behörden informieren wir jetzt alle betroffenen Personen per Brief und unterstützen sie dabei, mögliche Beeinträchtigungen zu vermeiden. Wir bedauern den Vorfall sehr und bitten um Entschuldigung. Wir werden alle Schritte unternehmen, um bei kriminellen Attacken noch besser gewappnet zu sein.

Inwiefern kann ich von der kriminellen Attacke betroffen sein?

Der Täter erlangte Zugang zu Stammdaten von 2 Millionen Personen. Er entwendete Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer.

Sicher ist aber, dass der Täter keinen Zugang zu Kreditkarten-Daten, Passwörtern, PIN-Nummern, Mobiltelefonnummern oder Verbindungsdaten hatte. Unabhängige Sicherheitsexperten bestätigen, dass es für den Täter kaum möglich ist, sich mit den gestohlenen Daten direkten Zugriff auf Bankkonten zu verschaffen. Nicht auszuschließen ist jedoch, dass über zusätzliche Phishing-Attacken versucht wird, von Ihnen mittels gefälschter E-Mails weitere Daten wie Passwörter und Kreditkartendaten abzufragen.

Was kann ich tun, wenn auch Daten von mir entwendet wurden?

Wir empfehlen, mit möglichen telefonischen oder E-Mail-Anfragen, in denen Sie zur Herausgabe von persönlichen Informationen wie Passwörtern oder Kreditkartendaten aufgefordert werden, besonders vorsichtig umzugehen. Vodafone stellt solche Anfragen grundsätzlich nicht. Weiterhin raten wir, Bankkonten regelmäßig zu überprüfen und bei Unregelmäßigkeiten unverzüglich Ihre Bank zu kontaktieren.

Seit wann weiß Vodafone von der Attacke?

Vodafone entdeckte den Angriff am 5. September 2013 und informierte sofort die Behörden. Die Behörden hatten daraufhin gebeten, keine Informationen an die Öffentlichkeit zu geben, um die Ermittlungen nicht zu gefährden. In Abstimmung mit den Behörden informieren wir jetzt alle betroffenen Personen umfassend und unterstützen sie dabei, mögliche Beeinträchtigungen zu vermeiden. Der Angriff fand tief versteckt in unserer IT-Infrastruktur statt und war nur mit hoher krimineller Energie und offensichtlichem Insiderwissen möglich. Wir werden alle Schritte unternehmen, um bei kriminellen Attacken noch besser gewappnet zu sein.

Warum informiert Vodafone erst jetzt?

Die Behörden hatten uns dringend gebeten, keine Informationen an die Öffentlichkeit zu geben, um die Ermittlungen nicht zu gefährden. In Abstimmung mit den Behörden informieren wir jetzt alle betroffenen Personen umfassend und unterstützen sie dabei, mögliche Beeinträchtigungen zu vermeiden.

Hat ein Mitarbeiter bei diesem Angriff geholfen?

Der Angriff fand tief versteckt in unserer IT-Infrastruktur statt. Ein solcher Angriff war nur mit hoher krimineller Energie und Insiderwissen möglich. Aufgrund der weiter laufenden Ermittlungen können wir hier noch keine weiteren Aussagen treffen. Wir werden alle Schritte unternehmen, um bei kriminellen Attacken noch besser gewappnet zu sein.

Sind die Sicherheitssysteme von Vodafone zum Schutz von Kundendaten ausreichend?

Die Sicherheit von Daten hat für uns höchste Priorität. Vodafone Deutschland verfügt über IT-Systeme, die den höchstmöglichen Standards entsprechen. Diese werden regelmäßig aktualisiert und erweitert. Der Angriff war nur mit hoher krimineller Energie sowie Insiderwissen möglich und fand tief versteckt in unserer IT-Infrastruktur statt. Wir werden alle Schritte unternehmen, um bei kriminellen Attacken noch besser gewappnet zu sein.

Was wird Vodafone tun, um solche Angriffe in Zukunft zu verhindern?

Wir werden alle Schritte unternehmen, um bei kriminellen Attacken noch besser gewappnet zu sein. Da der Angriff nur mit Insiderwissen möglich war, haben wir sämtliche Passwörter und Zertifikate aller Administratoren geändert. Alle identifizierten Server werden derzeit aus Sicherheitsgründen komplett neu aufgesetzt.

Sind auch die Kundendaten von anderen Vodafone-Unternehmen gefährdet?

Nein. Der Täter hat ausschließlich Zugriff auf persönliche Informationen erlangt, die auf einem lokalen Server von Vodafone Deutschland gespeichert wurden.

Haben Kriminelle nun Zugang zu meinen persönlichen Accounts, z.B. meinem Bankkonto?

Es ist sehr unwahrscheinlich, mit den erlangten Stammdaten einen Schaden anzurichten. Dies ist Tätern nur mit höchstpersönlichen Zusatzdaten möglich. Diese erlangen Täter nur über so genannte Phishing-Attacken, bei denen zum Beispiel durch gefälschte E-Mails weitere Daten wie Passwörter und Kreditkartendaten abgefangen werden. Wir empfehlen Ihnen daher dringend, mit telefonischen oder E-Mail-Anfragen, in denen Sie zur Herausgabe von persönlichen Informationen wie Passwörtern oder Kreditkartendaten aufgefordert werden, besonders vorsichtig umzugehen. Vodafone stellt solche Anfragen grundsätzlich nicht. Weiterhin raten wir, Ihre Bankkonten regelmäßig zu überprüfen und bei Unregelmäßigkeiten Ihre Bank unverzüglich zu kontaktieren.

Wie kann ich mich wirksam vor Identitätsdiebstahl schützen?

Sicherheitssoftware nutzen und aktuell halten
Schützen Sie Ihren Rechner vor Cyber-Attacken. Haben Sie stets ein Virenschutzprogramm installiert - genau wie eine Anti Spyware Software und eine Firewall. Halten Sie alle Programme stets auf dem neuesten Stand.

Surfen Sie sicher
Achten Sie darauf, wo Sie im Internet surfen. Bevor Sie auf Webseiten sensible Daten eingeben, prüfen Sie, ob die Seite sicher ist. Das können Sie in der Adressleiste anhand der Buchstabenfolge "https" erkennen. Der Internet-Browser zeigt zudem im Regelfall ein Schloss-Symbol. Einen Blick lohnt auch die Datenschutzrichtlinie der von Ihnen besuchten Webseite. Hier geben gute Anbieter an, wie sie mit Ihren Daten umgehen.

Verwenden Sie sichere Kennwörter
Leicht zu merkende Kennwörter vergessen Sie vielleicht nicht, aber sie sind für Kriminelle oft sehr einfach zu knacken. Nutzen Sie eine Kombination aus großen und kleinen Buchstaben. Verwenden Sie Zahlen und Sonderzeichen. Und geben Sie Ihre Passwörter grundsätzlich niemandem weiter.

Bei E-Mails immer einen zweiten Blick riskieren
Seien Sie bei Links in E-Mails immer wachsam - auch wenn Sie den Absender kennen. Es könnte sich eine Phishing-Falle dahinter verbergen. Vorsicht ist auch beim Öffnen von Mail-Anhängen geboten.

Prüfen Sie Ihre Konten und Bankinformationen immer vorsichtig
Schauen Sie Ihre Kontoauszüge immer aufmerksam durch. Prüfen Sie diese nach auffälligen Abbuchungen und Gebühren. Das gilt für Banken genauso wie für Internet-Bezahlanbieter wie PayPal und Co.

Schützen Sie auch Ihre Briefpost
Holen Sie Briefe immer zeitnah aus dem Kasten. Wer diese stiehlt, kommt schnell an Daten, die als Grundlage für einen Identitätsmissbrauch dienen können. Benutzen Sie einen Aktenvernichter, wenn Sie wichtige Papiere in den Müll werfen.

Vor Verkauf die Computerdaten löschen
Wenn Sie Ihren PC verkaufen, sorgen Sie dafür, dass Ihre Festplatte sauber und dauerhaft gelöscht wird. Nur so verhindern Sie, dass private, digitale Daten von Ihnen in falsche Hände geraten können.

Was kann ich tun, wenn ich Opfer eines Identitätsmissbrauchs geworden bin?

Setzen Sie sich mir Ihrer Bank in Verbindung
Stellen Sie unberechtigte Abbuchungen von einem Konto (oder einer Kreditkarte) fest, dann kontaktieren Sie so schnell wie möglich den Kundenservice Ihrer Bank oder des Instituts, das die Kreditkarte ausgegeben hat.

Informieren Sie Online-Anbieter
Wurden mit Ihren Daten in Online-Shops Waren bestellt, dann sollten Sie umgehend die Betreiber informieren. Diese können gegebenenfalls bei der Aufklärung helfen, indem sie die genutzten IP-Adressen herausgeben.

Ändern Sie Ihre Zugangsdaten
Stellen Sie einen Identitätsmissbrauch fest, sollten Sie unbedingt alle Zugangsdaten ändern. Dies gilt auch für Seiten, auf denen man sich mit den gleichen Daten einloggt.

Prüfen Sie die Sicherheit Ihres IT-Systems bzw. Rechners
Als Opfer eines Identitätsmissbrauchs sollte man sein gesamtes IT-System überprüfen lassen. Zudem sollten Sie stets die aktuelle Version eines Virenscanners auf dem Rechner installiert haben. Zusätzliche Sicherheit bringt der Einsatz von Antispy-Software.



Weitere Infos