Datenleck bei Netzwerkausrüster: Wenn das Netz selbst zur Angriffsfläche wird

Breaches und Leaks bei Telekommunikationsanbietern und Netzausrüstern häufen sich – und folgen einem gefährlichen Muster

Bild: Getty Images / Credits: mesh cube

Telekommunikationsunternehmen gelten als Rückgrat der digitalen Gesellschaft. Sie transportieren Sprache, Daten, Identitäten – und damit enorme Mengen an sensiblen Informationen. Umso alarmierender ist die zunehmende Zahl von Datenlecks und Sicherheitsvorfällen in der Telekommunikationsbranche – und sie entstehen immer seltener durch klassische Angriffe, sondern durch Fehlkonfigurationen oder strukturelle Schwächen. Dabei geraten nicht nur die Betreiber selbst, sondern auch deren Zulieferer, etwa Hersteller von Netzwerkinfrastruktur, zunehmend ins Visier.

👉 Direkt zum Executive Takeaway für CISOs

Netzausrüster im Visier

Bei Nokia meldeten mehrere Cybercrime‑Gruppen in den Jahren 2024 und 2025 angebliche Datenabflüsse über Drittanbieter. Nokia bestätigte diese Vorwürfe nicht, untersuchte sie jedoch.

Unabhängig davon zeigen diese Fälle, wie attraktiv Supply‑Chain‑Angriffe für Angreifer geworden sind. Statt stark gesicherte Kernsysteme anzugreifen, genügt oft der Zugriff auf einen weniger gut geschützten Dienstleister.

Bei Juniper Networks wiederum standen weniger Kundendaten im Fokus als die Infrastruktur selbst. Staatlich motivierte Angriffe auf Router und Firewalls verdeutlichten, dass kompromittierte Netzkomponenten nicht nur Daten, sondern ganze Verkehrsströme angreifbar machen können – mit potenziell geopolitischer Dimension.

Der jüngste Data Breach bei der US‑Tochter des Netzausrüsters Ericsson reiht sich nahtlos in diese Serie ein. Im März 2026 meldete Ericsson Inc., die US‑Tochter des schwedischen Netzwerkausrüsters, einen Datenschutzvorfall, der Tausende von Personen betrifft. Der Angriff richtete sich nicht gegen Ericsson selbst, sondern gegen einen externen Dienstleister, der personenbezogene Daten von Mitarbeitenden und Kunden verarbeitete.

Zwischen April 17 und 22 des Vorjahres verschafften sich Unbekannte Zugriff auf einen begrenzten Dateibestand. Betroffen waren unter anderem Namen, Adressen, Sozialversicherungsnummern, Ausweis‑IDs, Finanz‑ und medizinische Informationen. Allein im Bundesstaat Texas wurden über 4.000 Personen benachrichtigt.

Ericsson betont, dass es bislang keine Hinweise auf einen Missbrauch der Daten gibt. Auch eine Ransomware‑Gruppe hat sich nicht zu dem Vorfall bekannt. Dennoch ist der Schaden real – rechtlich, organisatorisch und reputativ.

Der Fall ist typisch für eine neue Klasse von Sicherheitsvorfällen: Third‑Party‑Breaches, bei denen Unternehmen nicht durch eigene Sicherheitslücken kompromittiert werden, sondern durch die Schwächen ihres digitalen Ökosystems.

“Telekommunikationsnetze sind riesig und komplex und umfassen oft mehrere Ebenen von Lieferanten”, sagt James Neilson, SVP of Global Sales bei OPSWAT. “Die Produkte und Dienstleistungen, auf die Telekommunikationsbetreiber angewiesen sind, stammen aus aller Welt, wodurch ein stark vernetztes Ökosystem entsteht. Diese Komplexität macht es für Sicherheitsteams schwierig, vollständige Transparenz zu gewährleisten und Cyberangriffe effektiv zu erkennen und darauf zu reagieren.”

Image
Description
James Neilson ist SVP Global Sales bei OPSWAT.

Ericsson ist kein Einzelfall. Im Gegenteil: Die Telekommunikationsbranche ist besonders anfällig für solche indirekten Angriffe – aus mehreren Gründen.

Erstens betreiben Telcos hochkomplexe, historisch gewachsene Infrastrukturen, oft über Jahrzehnte erweitert, virtualisiert und ausgelagert. Zweitens arbeiten sie mit einer Vielzahl externer Dienstleister – von Abrechnungssystemen über Kundenportale bis hin zu Adtech‑ und Analyseplattformen. Drittens verwalten sie Daten, die für Angreifer extrem wertvoll sind: Identitäten, Bewegungsprofile, Metadaten, Authentifizierungsinformationen.

Diese Kombination macht Telcos zu attraktiven Zielen – auch ohne spektakuläre Zero‑Day‑Exploits. “Telekommunikationsunternehmen wie Ericsson übertragen und speichern große Mengen sensibler Daten, was sie zu einem attraktiven Ziel für Cyberkriminelle macht, die auf schnellen Profit aus sind”, so Neilson weiter.

Wenn Fehlkonfigurationen zum Datenleck führen

Ein prägnantes Beispiel lieferte 2025 die MagentaTV‑Plattform der Deutschen Telekom. Sicherheitsforscher entdeckten eine offen zugängliche Elasticsearch‑Datenbank, die von einem externen Ad-Tech‑Dienstleister betrieben wurde. Über 324 Millionen Log‑Einträge waren aufgrund einer Fehlkonfiguration abrufbar – darunter IP‑Adressen, MAC‑Adressen, Session‑IDs und Kundenkennungen.

Auch hier lag die Ursache nicht im Kernnetz, sondern in der digitalen Peripherie – einem Bereich, der in vielen Sicherheitsstrategien nachrangig behandelt wird.

Wie teuer strukturelle Schwächen werden können, zeigt der Fall Vodafone. 2025 verhängte die Bundesdatenschutzbeauftragte Bußgelder in Höhe von insgesamt 45 Millionen Euro. Der Vorwurf: unzureichende Kontrolle von Partneragenturen und Schwächen im Authentifizierungsprozess des Kundenportals „MeinVodafone“.

Konkret ermöglichten Sicherheitsmängel unter anderem den unbefugten Zugriff auf eSIM‑Profile. Zusätzlich kam es zu Betrugsfällen durch Partneragenturen, bei denen Verträge manipuliert oder fingiert wurden.

Vodafone reagierte mit dem Austausch von Systemen und strengeren Kontrollen. Doch der Schaden war bereits entstanden.

Beide Fälle verdeutlichen: Compliance‑Versäumnisse und technische Schulden sind kein abstraktes Risiko, sondern materialisieren sich finanziell – oft zu Lasten der Kunden.

Das Insider‑Risiko

Nicht jeder Datenabfluss beginnt außerhalb des Unternehmens. Bei Verizon wurde bereits 2023 bekannt, dass ein Mitarbeiter personenbezogene Daten von über 63.000 Beschäftigten unbefugt weitergegeben hatte – darunter Sozialversicherungsnummern und Gehaltsinformationen.

Dass es sich um einen Insider‑Vorfall handelte, zeigt ein weiteres Problemfeld: großzügige Zugriffsrechte, mangelnde interne Kontrollen und die lückenhafte Überwachung privilegierter Nutzer. Gerade in großen Organisationen mit vielen Systemen und Schnittstellen sind das Risiken, die große Schäden verursachen können.

Alle Vorfälle zeigen exemplarisch, warum klassische Sicherheitsannahmen im Telco‑Umfeld nicht mehr ausreichen.

Das Muster hinter den Vorfällen

So unterschiedlich die Fälle erscheinen mögen, sie folgen einem klaren Muster:

Für Unternehmen bedeutet das: Klassische Sicherheitsmodelle, die sich auf den Schutz des eigenen Netzwerks konzentrieren, greifen zu kurz.

Fazit

Der Fall Ericsson – und die Vielzahl ähnlicher Vorfälle – machen deutlich: Telekommunikationssicherheit ist heute Ökosystemsicherheit. Wer nur Firewalls und Kernsysteme absichert, aber Dienstleister, Logs, Schnittstellen und Identitäten vernachlässigt, baut Sicherheitslücken gleich mit ein.

Für Telcos, Netzausrüster und ihre Kunden ist das eine unbequeme Erkenntnis. Aber eine notwendige. Denn das Netz ist längst nicht mehr nur Transportweg – es ist selbst zum Ziel geworden.

Für zunehmend global vernetzte Unternehmen bedeutet das: Klassische Sicherheitsmodelle, die sich auf den Schutz des eigenen Netzwerks konzentrieren, greifen zu kurz.

Executive Takeaway für CISOs

Sicherheit endet nicht am eigenen Netzwerk – sie beginnt beim Ökosystem. In der Regel sind Vorfälle wie die im Beitrag aufgeführten kein Einzelversagen, sondern ein strukturelles Risiko im Telco‑Ökosystem. Angriffe zielen nicht primär auf das Kernnetz, sondern auf Drittparteien, Identitäten, Logs und Netzkomponenten. Klassische Perimetersicherheit greift zu kurz.

1. Third‑Party & Supply‑Chain Risk

Risikostufe: 🔴 Hoch

Beobachtung: Ericsson, Deutsche Telekom, Vodafone und Nokia waren nicht durch direkte Angriffe, sondern über Dienstleister, Partner oder externe Plattformen betroffen.

Die Gefahr: Fehlkonfigurationen und unzureichende Kontrollen bei Dritten führen zu meldepflichtigen Breaches.

Geschäftliche Auswirkungen:

Board‑relevante Frage: Wissen wir, welche Drittparteien Zugriff auf personenbezogene oder netzrelevante Daten haben – und wie gut sie abgesichert sind?

2. Identitäts‑ & Metadatenexposition

Risikostufe: 🔴 Hoch

Beobachtung: Abgeflossen sind häufig keine Inhalte, sondern Identitäts‑, Session‑, Log‑ und Metadaten (z. B. SSNs, Ausweis‑IDs, IP‑Adressen, eSIM‑Profile).

Die Gefahr: Diese Daten ermöglichen Folgeangriffe: Phishing, SIM‑Swap oder Account‑Übernahmen.

Geschäftliche Auswirkungen:

Board‑relevante Frage: Behandeln wir Metadaten und Identitätsinformationen wirklich als hochkritische Assets – oder nur als „technische Nebenprodukte“?

3. Fehlkonfigurationen & technische Schulden

Risikostufe: 🟠 Mittel bis hoch

Beobachtung: Mehrere Vorfälle entstanden durch offene Datenbanken, veraltete Systeme oder schwache Authentifizierung – nicht durch Zero‑Days.

Die Gefahr: Komplexe, historisch gewachsene Architekturen erhöhen die Fehleranfälligkeit.

Geschäftliche Auswirkung:en

Board‑relevante Frage: Wo betreiben wir Systeme, die funktional unverzichtbar, aber aus Sicherheitssicht nicht mehr Stand der Technik sind?

4. Insider‑ & Partnerzugriffe

Risikostufe: 🟠 Mittel

Beobachtung: Verizon und Vodafone zeigen: Insider und Partner sind reale Risikofaktoren.

Die Gefahr: Breite Zugriffsrechte, unzureichende Trennung und fehlende Überwachung begünstigen Missbrauch.

Geschäftliche Auswirkungen:

Board‑relevante Frage: Wissen wir, wer heute privilegierten Zugriff hat – und ob dieser (noch) gerechtfertigt ist?

5. Netzkomponenten als strategisches Risiko

Risikostufe: 🔴 Hoch (kritische Infrastruktur)

Beobachtung: Fälle wie Juniper zeigen: Router, Firewalls und Core‑Komponenten sind selbst Ziel von Angriffen.

Die Gefahr: Kompromittierte Netzkomponenten ermöglichen Traffic‑Manipulation, Spionage und Sabotage.

Geschäftliche Auswirkungen:

Board‑relevante Frage: Wie gut überwachen wir eigentlich unser eigenes Netz – und zwar die gesamte Infrastruktur, nicht nur die IT‑Systeme?

6. Compliance & Reputation

Risikostufe: 🔴 Hoch

Beobachtung: Vodafone beweist: Datenschutz‑ und Sicherheitsmängel werden sanktioniert (45 Mio. € Bußgeld).

Die Gefahr: Öffentlichkeit und Aufsichtsbehörden differenzieren kaum zwischen direkter Schuld und Organisationsversagen.

Geschäftliche Auswirkungen:

Board‑relevante Frage: Können wir im Ernstfall erklären, warum ein Vorfall trotz angemessener Governance passiert ist?