Titelstorys in der WirtschaftsWoche

2008: Titelstory in der WirtschaftsWoche 50/2008 vom 8.12.2008 über einen der größten Datenraubzüge in Deutschland

Operation Goldesel

Deutschland droht ein Datenskandal unbekannten Ausmaßes. Nach Recherchen der WirtschaftsWoche sind Kontonummern von 21 Millionen Bundesbürgern illegal im Umlauf - offenbar zusammengestoßen von Mitarbeitern und Dienstleistern, die undichte Stellen in Unternehmen und Callcentern ausnutzten.

Das Steigenberger Hotel in Hamburg, gegen zehn Uhr vormittags an einem Werktag im November. Vor dem Eingang erwarten uns zwei Herren, mit denen wir telefonisch ein Treffen vereinbart haben. Der eine stellt sich als Jann F. vor, Teilhaber eines Handelskontors an den Großen Bleichen in der Nähe des Rathausmarktes. Der Endfünfziger wirkt wie ein hanseatischer Kaufmann: graues Haar, braune Hornbrille, dunkelblauer Zweireiher, weißes Hemd, blaue Krawatte, schwarzer Aktenkoffer. Der andere nennt sich Ronald, von Beruf angeblich Diamantenhändler. Der Mittdreißiger trägt kurzes Haar, einen Ohrring, schwarze Jeans und eine graue Windjacke. Mit seiner athletischen Figur und der brutalen Physiognomie passt er besser in die Halbwelt des Kiez auf St. Pauli als in ein Luxushotel.

Wir suchen uns eine ruhige Sitzecke im hinteren Bereich der Lobby und bestellen Kaffee, Ronald ordert einen Schnaps dazu. Auch wir sind zu zweit und haben uns als Geschäftsleute aus München ausgegeben, die für mehrere Unternehmen der Glücksspielbranche und der Vermögensberatung Adressen für die Telefonakquisition kaufen wollen. Über einen Mittelsmann waren uns einige Tage zuvor brisante Daten angeboten worden - von bis zu 21 Millionen Bundesbürgern. Vereinbart war, dass wir zunächst die Qualität und Herkunft des Materials prüfen, um anschließend einen Großteil der Daten zu kaufen, möglicherweise auch das Gesamtpaket. Nach zwei Stunden sind wir handelseinig. Wir vereinbaren, den Gesamtdatenbestand für insgesamt knapp zwölf Millionen Euro - 55 Cent je Datensatz - zu erwerben. Die erste Lieferung, eine CD mit 1,2 Millionen Daten, die wir einsehen konnten, nehmen wir sofort mit.

Die Daten, die der WirtschaftsWoche angeboten wurden und die ihr in Auszügen vorliegen, sind ganz offenkundig das Ergebnis krimineller Machenschaften, die sämtliche Datenskandale der vergangenen Monate weit übertreffen. Denn anders als etwa bei den Anfang Oktober aufgetauchten 17 Millionen Daten von T-Mobile-Kunden enthält das der WirtschaftsWoche vorliegende Datenmaterial nicht nur Namen, Adressen, Telefonnummern und Geburtsdaten. Damit ließe sich nicht allzu viel wirtschaftlicher Schaden anrichten.

Zur echten Bedrohung für Millionen von Bundesbürgern werden die illegal vagabundierenden Datensätze, weil sie neben den Angaben zur Person auch noch die Bankverbindung mit Kontonummer und Bankleitzahl beinhalten, in einigen Fällen sogar detaillierte Angaben zur Vermögenslage. Damit müssen im Extremfall drei von vier Haushalten in Deutschland fürchten, dass Geld von ihrem Girokonto abgebucht wird, ohne dass sie jemals eine Einzugsermächtigung erteilt haben - vielleicht sogar, ohne dass die Abbuchung bemerkt wird.

Nur Insider hielten es bisher für möglich, dass Datenklau in Deutschland solche Ausmaße annehmen könnte. Zu ihnen gehört Tobias Huch, Erotikunternehmer aus Mainz, der den Datenskandal bei T-Mobile durch eine Anzeige losgetreten hat. "Ich schätze, dass die Bankverbindungen von 80 bis 90 Prozent aller hiesigen Konsumenten im Umlauf sind", sagt Huch, dem die WirtschaftsWoche von der CD berichtete.

Der Missbrauch, den die unlauteren Geschäftemacher mit den Kontonummern treiben können, reicht weit. Mit den Bankdaten lassen sich zum Beispiel von jedem Konto unauffällige Minibeträge per Bankeinzug abbuchen. Getarnt durch einen unverfänglichen Verwendungszweck wie "Jahresgebühr" fallen den meisten Kontoinhabern Posten von fünf Euro kaum auf. Dass jemand deswegen Nachforschungen anstellt oder die Abbuchung rückgängig macht, ist eher unwahrscheinlich.

Wie so viele Kontonummern illegal in Umlauf gelangen konnten, muss in den nächsten Wochen die Staatsanwaltschaft Düsseldorf klären. Die WirtschaftsWoche übergab den Ermittlern am vergangenen Donnerstag die CD mit den 1,2 Millionen Datensätzen und Kontonummern.

Fest steht nur: Der Schlüssel zum Konto der Verbraucher ist stets das Telefon. Und der Schritt vom freundlichen Anruf zum hinterhältigen Betrug ist klein. Gelingt es einem Anrufer, dem Konsumenten nur ein kleines unbedachtes "Ja" zu entlocken, hat der schon so gut wie verloren (siehe Kasten Seite 72). In Internet-Verbraucherportalen häufen sich die Beschwerden über dubiose Anbieter, die gutgläubige Verbraucher mit solchen Telefon-Tricks überrumpeln und wenig später zweistellige Beträge für weder gewünschte, geschweige denn bestellte Dienstleistungen abbuchen. Nicht von ungefähr überschrieben die Dunkelmänner, die der WirtschaftsWoche die CD mit den 1,2 Millionen Datensätzen verkauften, ihre Datensammlung mit "Goldesel".

Woher die Kontonummern genau stammen, lässt sich anhand der im Hintergrund abgespeicherten Ursprungsangaben nicht bis ins letzte Detail rekonstruieren. Auffällig ist jedoch, dass die Spuren fast durchgängig zu kleinen Callcenter-Betreiber wie etwa Limus aus Düsseldorf oder EMS aus Solingen führen.

Kein Zweifel besteht jedoch über die Ursache der zahllosen Lecks, die einen Datenklau in dieser Größenordnung erst möglich machen. Einen solchen Schwarzmarkt für persönliche Daten und Kontonummern gäbe es nicht, hätten viele Konzerne in den vergangenen Jahren nicht einen Sparkurs durchgezogen, bei dem sie große Teile des Vertriebs und des Kundenservices auslagerten. Allen voran auf heiß umkämpften Massenmärkten wie Telekommunikation, Energieversorgung oder Kabelfernsehen bedienen sich viele Anbieter fast nur noch externer, weil billiger Dienstleister und Callcenter. Unternehmen wie die Deutsche Telekom, Vodafone oder Kabel Deutschland und ihre Vertriebspartner sind dafür beredte Beispiele. Wann immer einer der Player zur Vertriebsoffensive bläst, legen per Telefon externe Dienstleister los. Die relevanten Kundendaten erhalten sie vom Auftraggeber. Schalten die Dienstleister ihrerseits Subunternehmer ein, verliert sich die Kontrolle über die Daten irgendwann im Nichts.

So ergänzen die Unterauftragnehmer die Daten ihrer Auftraggeber nicht selten, indem sie weitere Daten zukaufen (WirtschaftsWoche 35/2008). Das geschieht nicht nur bei legalen Adresshändlern. Offenbar mischen in dem Geschäft auch so manche Mitarbeiter insbesondere kleinerer Callcenter mit, die - schlecht bezahlt - ihr Monatssalär aufbessern, in dem sie Adressdaten auf USB-Sticks oder CDs kopieren und auf eigene Rechnung weiterverkaufen. Verhökert werden die Datensätze dann an Hinter- und Hinterhintermänner. Die führen die Bank- und Adressdaten aus verschiedenen Quellen zusammen, bereinigen sie um Dopplungen und bieten sie im großen Stil zum Kauf an.

Die Spurensuche, auf die sich die WirtschaftsWoche nach dem Erwerb der CD mit den 1,2 Millionen Adressen und Kontonummern begab, erwies sich vor diesem Hintergrund wie das Tasten mit einer Stange im Nebel. Teilweise tauchten Unternehmen als mögliche Quellen der Daten auf, die nicht mehr existieren, zum Beispiel eine Firma TeleWelt aus Hamburg oder PKV aus Dortmund. Die Einträge im Handelsregister sind längst gelöscht. Teilweise stammten die Daten aber auch von Dienstleistern und Callcentern, die ihr Geschäft nach wie vor einträglich betreiben.

Düsseldorf, Kaiserstraße 2, Stadtteil Pempelfort. Im Hinterhof eines Mehrfamilienhauses treffen wir Sotirios Mistakidis. Der gebürtige Grieche steuert von hier aus seine Unternehmen Limus Ltd, Telemedia Ltd und B& H Telecom GmbH, die mehrere Callcenter in Deutschland betreiben. 50 Tische, spartanisch ausgestattet mit PC und Telefon, stehen dicht an dicht in den ehemaligen Lagerräumen. Die Wände sind vergilbt, es riecht nach kaltem Rauch. Mistakidis' Name befindet sich unter "zuletzt gespeichert" über einer Datei auf der CD, die der WirtschaftsWoche vorliegt. Auch sein Unternehmen Limus findet sich in der Datensammlung, ebenso die Süddeutsche Klassenlotterie (SKL) und der Stuttgarter Lotterieanbieter Glöckle. Mistakidis ist seit Jahren im Callcenter-Gewerbe aktiv.

Dass die CD der WirtschaftsWoche den Namen seines Unternehmens enthält, kann sich Mistakidis gut erklären. "Das kann jeder dorthin geschrieben haben", sagt er. "Wir haben auch niemals Dateien eingekauft, wir bekommen sie immer vom Produktgeber oder Auftragsvermittler." Insider aus Mistakidis’ Umfeld behaupten, das seien in diesem Fall der Stuttgarter Lotterieanbieter Glöckle und der im westfälischen Haltern ansässige Unternehmer Jürgen Hewing gewesen. Vor genau einem Jahr, im Dezember 2007, behauptet der Insider, seien Mistakidis Kundendaten gestohlen worden. Den Verantwortlichen, einen Mitarbeiter seiner kleinen IT-Abteilung, habe der sofort gefeuert.

Mistakidis ist einer von rund 5000 Callcenter-Betreibern in Deutschland. Seine Auftraggeber sind Lotteriegesellschaften, Telefonanbieter, Mobilfunkgesellschaften, TV-Kabelnetzbetreiber und Energieversorger. Von diesen erhält er Dateien mit aktuellen Kundendaten - teilweise mit, teilweise ohne Kontoverbindung. Seine Angestellten, fast ausschließlich Teilzeitkräfte, versuchen, diesen Kunden am Telefon Lotterielose, Glücksspielabos, Vertragsverlängerungen für DSL-Anschlüsse oder Mobilfunkverträge zu verkaufen. Mistakidis ist nicht wählerisch, er nimmt, was kommt und was hohe Provisionen verspricht.

Das Geschäft lohnt sich für Leute wie Mistakidis. 100 Euro und mehr zahlen beispielsweise Telefongesellschaften für einen Vertragsabschluss, eine Vertragsverlängerung bringt 50 Euro und mehr. Dank der niedrigen Löhne und Telefonkosten bleibt viel übrig: Ein Düsseldorfer Mitbewerber hat sich gerade einen neuen Ferrari zugelegt, ein anderer einen Porsche bestellt.

Die Sicherheitslücken in Callcentern wie bei Mistakidis entstehen weniger durch unzuverlässige einfache Mitarbeiter. Sie erlangen selten Zugriff auf die gesamte Kundendatei. Den haben in der Regel nur die Vorgesetzten sowie die IT-Spezialisten, die die Kundendateien einsehen und sogar Kopien ziehen können. Hier tun sich offenbar die undichten Stellen auf, durch die Daten in die Hände Unbefugter gelangen. Einige große Auftraggeber, berichtet ein Insider, verzichten sogar ganz auf Sicherheitsvorkehrungen und verschicken ihre Kundendaten inklusive Kontonummer bis heute in Excel-Tabellen und als gewöhnliche E-Mails.

Auf diese Weise passieren dann Anrufe, die eine "Marion" vor wenigen Wochen erhielt und die sie im Internet-Rechtsportal advoris.de schildert. Die Anonyma berichtete von einem Callcenter-Mitarbeiter, der sie im Auftrag des Deutschen Gewinner Clubs 24 angerufen habe. "Er wäre von der Kündigungsabteilung und wollte fragen, ob ich noch weiterspielen will", habe er sie gefragt. Wenn nicht, würde er ihr die Kündigungsunterlagen zuschicken, dazu müsse er allerdings die Bankdaten abgleichen. Dazu las der Callcenter-Mann "Marions" Name, Adresse, Kreditinstitut, Bankleitzahl sowie die erste und die letzte Nummer ihres Kontos vor. "Ich war total genervt und nannte ihm auch noch die anderen fünf Zahlen", erinnert sich die Angerufene. Zwei Tage später erhielt sie statt der Kündigung die schriftliche Bestätigung, dass sie nun Neukundin im Gewinner Club 24 sei und sie für 49,95 Euro pro Monat ein "persönliches Gewinnpaket" erhalten habe. Der Betrag war wenig später abgebucht.

Mistakidis kennt den Deutschen Gewinner Club 24 über Ecken. Sein Unternehmen arbeitete auch schon mit einem Callcenter-Betreiber zusammen, der mit Mistakidis eine Firma gegründet hat - diese Partnerschaft habe er aber schon nach wenigen Wochen wieder beendet.

Haltern am See, am nördlichen Rande des Ruhrgebiets. In einem einstöckigen unscheinbaren Zweckbau im Industriegebiet im Nordosten Halterns residiert Jürgen Hewing - und zwar gleich mit mehreren Firmen: mit der nach ihm benannten Unternehmensberatung, einem Software-Anbieter namens Media Call Service, der Vertriebsfirma Telemarketing TM sowie der Werbeagentur Media-Kontakt. Vor dem Sitz seines kleinen Reichs parken neben Kleinwagen auch dicke Schlitten, darunter ein aufgemotzter Mercedes. "Hewing ist eine große Nummer im Direktvertrieb für Lotto, Gewinnspiele und Zeitschriften. Der hatte mal 50 bis 60 Callcenter, hat sich aber zuletzt persönlich etwas aus dem Geschäft zurückgezogen", sagt ein Brancheninsider.

Hewing will mit der WirtschaftsWoche nicht reden, sondern schiebt einen Mitarbeiter namens Ansgar Henk vor. Henk wird von der WirtschaftsWoche mit den Daten und Kontonummern auf der CD konfrontiert, die offenbar aus einem ehemaligen Unternehmen Hewings stammen. Der Befragte räumt ein, "dass es einen Diebstahl aus unseren Datenbeständen gab. Wir haben Ende 2007 Strafanzeige gegen mehrere natürliche und juristische Personen gestellt." Unter den Firmen, die offenbar unerlaubt an Hewings Daten inklusive Kontonummern gekommen waren, habe sich auch ein Datenhändler befunden. Dieser habe wissen müssen, dass er illegales Adressmaterial erworben hatte. Details und Namen der Hintermänner will Henk nicht nennen, es handle es sich um ein "schwebendes Verfahren".

Dennoch gibt Henk ein weiteres Loch preis, durch das die Daten und Kontonummern auf der CD der WirtschaftsWoche in Umlauf gekommen sein können. Denn laut Henk organisierte den Datenraub ein externes Unternehmen, das Hewing mit der Verwaltung der Firmendatenbank beauftragt hatte - und das dadurch direkten Zugriff auf alle Adress- und Kontodaten erhalten hatte.

Stuttgart, Stadtteil Bad Cannstatt. Die Firma Glöckle ist ein sogenannter Lotterie-Einnehmer - das ist ein staatlich bestelltes, aber privatwirtschaftlich geführtes Unternehmen, das im Auftrag von Lottogesellschaften wie etwa SKL-Lose im großen Stil unter die Leute bringt - besser: brachte. Denn seit Anfang 2008 gilt der neue Glücksspielstaatsvertrag, und der untersagt die Werbung für Glücksspiel im Internet und per Telefon komplett. Bis Ende des vergangenen Jahres waren die Lottoanbieter eine der aktivsten Branche beim Telefonvertrieb. Zurzeit haben sich die Schwaben auf den Vertrieb von SKL-Losen spezialisiert.

Glöckle, das ergibt der Hinweis auf der CD der WirtschaftsWoche, ist ein großer Player im undurchsichtigen Gestrüpp aus Auftraggebern, Mittelsmännern und Callcentern. Von hier aus verlieren sich die Spuren allem Anschein nach entwendeter Personendaten und Kontonummern bis in die Schweiz. Auf unser Drängen hin steht Geschäftsführer Manfred Neff Rede und Antwort in der Firmenzentrale, einem zweigeschossigen Flachdachbau mit Ziegelfassade und großen Alufenstern.

Bei der Vorlage der Datei mit dem Namen Glöckle versichert Neff: "Diese Daten stammen auf keinen Fall von uns." Denn sobald Glöckle einen Kunden gewinne, würden dessen Daten an keinen Vertriebspartner mehr weitergegeben. Dennoch räumt Neff ein, mit Hewing und Mistakidis zusammengearbeitet zu haben; mit Letzterem nur kurz. Im Laufe dieses Jahres hätten sich mehrere Glöckle-Kunden über auffällige Anrufer einiger Callcenter beschwert, die über ihre Bankdaten verfügten. Daraufhin habe er Hewing zur Rede gestellt. Dessen Antwort: Ein früherer Mitarbeiter habe Daten veruntreut und sich damit abgesetzt. Gegen diesen Mitarbeiter wäre Strafanzeige erstattet worden.

Konfrontiert mit der Frage, wie Glöckle denn sichergestellt habe, dass frühere Vertriebspartner wie Hewing keine Kopien von Glöckle-Kundendaten ziehen konnten beziehungsweise diese Daten wirklich gelöscht hätten, antwortet Neff: "Formell wurde bei jeder Vertragsbeendigung auch nochmals auf die Plicht zur Datenlöschung hingewiesen. Leider gibt es darüber hinaus keine Möglichkeit, eine eventuelle kriminelle Energie in den Griff zu bekommen."

Duisburg, wenige Meter hinter dem Hauptbahnhof. Hier hat Frank Wiener* sein Büro, irgendwo zwischen dem Steakhaus Maredo und der Sandwichbude Subway. Wiener bezeichnet sich selbst als "Pooler". Pooler, so heißen im Branchenjargon Leute, die für Unternehmen wie die Deutsche Telekom oder die Süddeutsche Klassenlotterie zusätzliche Callcenter-Kapazitäten buchen, wenn diese große Vertriebsoffensiven planen. Im Moment sucht Wiener Callcenter für Gewinnspiel-Verkäufer, TV-Kabelgesellschaften und Billigstromanbieter. Die Kundendaten stellt Wiener seinen Subunternehmern meist kostenlos zur Verfügung. Die Agenten müssen die Listen nur noch abtelefonieren - bei Vertragsabschluss bekommen sie eine Provision zwischen 50 und 100 Euro.

Auch Wiener ist eines der möglichen Lecks, durch das Kundendaten und -kontonummern unkontrolliert in Umlauf gelangen können. Er zeigt sich wenig überrascht, dass ein Teil der Daten auf der CD der WirtschaftsWoche seine Signatur trägt. "Solche Dateien kursieren in Deutschland seit Jahren", sagt er. Fast täglich bekomme er dubiose Angebote. Schlecht verdienende Callcenter-Agenten oder Teamleiter seien neidisch auf ihre Chefs, kopierten die Daten und eröffneten andernorts ein eigenes Callcenter. "Das Geschäft wollen viele selber machen", sagt Wiener. Die Investitionen seien gering: "Ein Telefon, ein Stuhl und ein Tisch reichen aus, um ein Callcenter zu gründen."

Wiener kann sich vor Anfragen kaum retten. Zurzeit sucht er per Kleinanzeigen im Internet nach Callcentern, die den Kunden der Fernsehkabelgesellschaft Kabel Deutschland Internet- und Telefonanschlüsse verkaufen sollen. "Sie bekommen die vollständigen Kundendaten", wirbt er für den Großauftrag, der vielen Callcentern monatelang Vollbeschäftigung garantiert. Auch die Bankverbindungen seiner Kunden gibt Kabel Deutschland außer Haus - obwohl der TV-Anbieter nicht einmal weiß, bei wem diese letztlich landen. Lediglich die letzten drei Ziffern der Kontonummern sind unkenntlich gemacht - sie zu vervollständigen ist für einen halbwegs geübten Callcenter-Agenten nur selten ein Problem, sagt Wiener.

Auch die Vertriebspartner der Deutschen Telekom haben sich solcher Pooler bedient. Fachhändler heuerten vor allem im vergangenen Jahr externe Telefonwerber an, damit möglichst viele DSL-Kunden in Verträge mit zweijähriger Laufzeit wechselten. Damit öffnete der Konzern seine Kundendatenbank mit zum Teil hochsensiblen Angaben Dienstleistern, deren Zuverlässigkeit nicht nachprüfbar ist. "Viele Callcenter mit unzureichenden Datenschutz-Standards kamen so in den Besitz von Telekom-Daten", berichtet ein Callcenter-Betreiber, der nicht genannt werden will.

Solingen, im Stadtteil Ohligs. In einem Haus aus der Gründerzeit, unweit vom Bahnhof, residiert Dieter Kaufmann mit seiner Firma. Er hat die Räume neu bezogen, alles wirkt noch etwas improvisiert: Ein laminiertes Din-A4-Blatt weist den Weg zu Exacom GmbH, DKB GmbH (ehemals Eurosafe), Deutsche Millionenchance und McWin 24.

Der 38-jährige Multiunternehmer ist in Personalunion auch noch Chef des Gewinnspielanbieters Erfolg mit System (EMS). EMS zählt ebenfalls zu den Firmen, die auf der CD der WirtschaftsWoche als Quelle für einige Adress- und Kontodaten auftauchen. Kaufmanns Erklärungen für die Lecks ähneln der seiner Branchenkollegen: Ende 2006 habe er die Information erhalten, dass seine Datenbestände auf dem Markt angeboten worden seien. Es habe Indizien dafür gegeben, dass sein damaliger IT-Administrator und ein Vertriebsleiter darin verwickelt gewesen seien. Seine Nachforschungen hätten aber keine Beweise gebracht. "Wir haben damals sofort alle Personen entlassen und die Schlösser ausgetauscht", sagt Kaufmann.

Der Fall beschäftigte trotzdem die Justiz. Kaufmann beantragte einstweilige Verfügungen gegen die Verdächtigen. Die Namen der Ex-Mitarbeiter will er nicht nennen.

Die Staatsanwälte in Düsseldorf können sich auf einige Arbeit freuen.

Co-Autoren: Hans-Jürgen Klesse, Michael Kroker