US-Bundesstaat Washington verklagt T-Mobile US nach Datendiebstahl

Eingang eines T-Mobile-Geschäfts
Angreifer konnten damals sensible Daten von Kundinnen und Kunden des Anbieters abgreifen, darunter Sozialversicherungsnummern. (Quelle: IMAGO / glasshouseimages)

Der Generalstaatsanwalt des US-Bundesstaats Washington hat am Montag Klage gegen den Mobilfunkanbieter eingereicht. Darin wird dem US-amerikanischen Tochterunternehmen der Deutschen Telekom vorgeworfen, Kundendaten nicht ausreichend gegen einen IT-Angriff im Jahr 2021 geschützt zu haben. Damals wurden persönliche Daten von mehr als 79 Millionen Menschen erbeutet.

Mehr als zwei Millionen Einwohnerinnen und Einwohner des Bundesstaates Washington seien unter den Betroffenen gewesen, teilte Generalstaatsanwalt Bob Ferguson mit. In der Klage wirft er dem Unternehmen Verstöße gegen das Verbraucherschutzgesetz des Bundesstaates vor. Die Generalstaatsanwaltschaft fordert Entschädigungen für Betroffene und verlangt, dass der Anbieter gerichtlich zur Verbesserung seiner IT-Sicherheit verpflichtet wird. Das Unternehmen ist mit mehr als 120 Millionen Kundinnen und Kunden einer der größten Mobilfunkanbieter in den USA.

Bei dem IT-Angriff im Jahr 2021 konnten Unbekannte unter anderem Namen, Adressen und Geburtsdaten von Kundinnen und Kunden erbeuten. Auch Telefonnummern, Führerscheindaten sowie Sozialversicherungsnummern wurden entwendet. Einige dieser Daten sollen von Kriminellen zum Kauf angeboten worden sein.

Insbesondere US-Sozialversicherungsnummern sind sensibel, weil sie in den USA nicht nur zu Steuer- sondern auch zu Identifikationszwecken verwendet werden. Die Nummern lassen sich somit zum Identitätsdiebstahl missbrauchen – Kriminelle können beispielsweise Kreditkarten in fremdem Namen beantragen.

Vermeidbarer Datendiebstahl

Der Generalstaatsanwalt von Washington wirft T-Mobile US vor, die Sicherheitsvorkehrungen für die IT-Systeme jahrelang vernachlässigt zu haben. So habe das Unternehmen von Schwachstellen gewusst, diese aber nicht beseitigt. Aus einer Mitteilung an die US-Börsenaufsicht im Jahr 2020 sei beispielsweise hervorgegangen, dass T-Mobile US mit weiteren IT-Angriffen gerechnet hatte – zu diesem Zeitpunkt hatte es bereits mehrere Datendiebstähle bei dem Anbieter gegeben.

Dennoch sei der Anbieter in der Praxis teils von den eigenen Sicherheitsvorschriften abgewichen. Das Unternehmen habe für einige Systeme beispielsweise offensichtliche Passwörter verwendet, die von den Angreifern im Jahr 2021 teils einfach erraten werden konnten, um Zugriff auf Kundendaten zu erlangen. Zusätzlich habe es keine Begrenzung für Anmeldeversuche gegeben. Der umfangreiche Datendiebstahl sei eine direkte Folge dieser Versäumnisse gewesen.

Weil T-Mobile US die eigenen Systeme zudem unzureichend überwacht habe, hatten die Angreifer von März bis August 2021 Zugriff, ohne dass der Anbieter dies mitbekam. Erst nachdem ein Hinweis auf die online angebotenen Kundendaten einging, habe das Unternehmen davon erfahren.

Generalstaatsanwalt Ferguson konstatierte: “Dieser schwerwiegende Datendiebstahl war vollständig vermeidbar. T-Mobile US hatte jahrelang Zeit, um zentrale Schwachstellen in den Systemen zu beheben – und hat es versäumt.”

Die Reaktion des Konzerns wird in der Klage ebenfalls als unzureichend kritisiert: Kunden seien über den Vorfall zwar per Textnachricht benachrichtigt worden – in denen jedoch gesetzlich vorgeschriebene Informationen gefehlt hätten. In einigen Fällen seien die Betroffenen über das Ausmaß des Datendiebstahls in die Irre geführt worden.

Kunden, deren Sozialversicherungsnummern gestohlen wurden, seien zudem nicht über dieses Detail informiert worden. Andere Kunden hätten hingegen diese Information erhalten, obwohl ihre Sozialversicherungsnummern nicht von dem Diebstahl betroffen waren. Aufgrund der unzureichenden Benachrichtigungen hätten Kundinnen und Kunden das Risiko eines drohenden Identitätsdiebstahls nicht ausreichend einschätzen können.

Eine Sprecherin von T-Mobile US erklärte gegenüber der Nachrichtenseite TechCrunch, die Klage sei eine Überraschung. Das Unternehmen sei aber offen für einen Dialog, um die aufgeworfenen Fragen zu klären.

Wiederholt Kundendaten gestohlen

Kriminelle konnten bei dem US-Mobilfunkanbieter in den vergangenen Jahren wiederholt Daten abgreifen. So wurden bereits im August 2018 Daten wie Namen, Telefonnummern und E-Mail-Adressen von etwa 2 Millionen Kunden gestohlen.

Ende 2019 konnten Angreifer ebenfalls Daten wie Namen und Telefonnummern erbeuten. Nach Unternehmensangaben war damals eine “kleine Zahl” Prepaid-Kunden betroffen.

Im Jahr 2022 hatte es einen weiteren Datendiebstahl gegeben. Und auch Anfang 2023 konnten Kriminelle Kundendaten erbeuten – in diesem Fall waren rund 37 Millionen Menschen betroffen.

Die Regulierungsbehörde FCC hatte die Datenlecks aus den Jahren 2021, 2022 und 2023 untersucht und sich im September 2024 schließlich mit T-Mobile US auf eine Strafzahlung in Höhe von 15,75 Millionen US-Dollar geeinigt. Das Unternehmen hatte sich außerdem verpflichtet, dieselbe Summe in die Sicherheit seiner IT-Systeme zu investieren. (js)