{"id":219,"date":"2026-06-19T08:13:10","date_gmt":"2026-06-19T08:13:10","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/19\/telus-datenpanne-shinyhunters-1-petabyte-2026\/"},"modified":"2026-06-19T08:14:41","modified_gmt":"2026-06-19T08:14:41","slug":"telus-datenpanne-shinyhunters-1-petabyte-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/telus-datenpanne-shinyhunters-1-petabyte-2026\/","title":{"rendered":"Telus-Datenpanne 2026: ShinyHunters stehlen 1 Petabyte, 65 Mio. $ L\u00f6segeld"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Im M\u00e4rz 2026 best\u00e4tigte Telus Digital, dass die Hackergruppe ShinyHunters bis zu <strong>1 Petabyte Daten<\/strong> aus ihren Systemen gestohlen hat. Die Angreifer forderten <strong>65 Millionen US-Dollar L\u00f6segeld<\/strong>, Telus verweigerte jede Zahlung. Der Angriff nutzte Google-Cloud-Zugangsdaten, die urspr\u00fcnglich beim Salesforce-Partner Salesloft erbeutet wurden. Was dieser Vorfall \u00fcber die Verwundbarkeit von Telekommunikationsunternehmen, die Taktiken moderner Cyberkriminalit\u00e4t und die Konsequenzen f\u00fcr europ\u00e4ische Netzbetreiber aussagt, analysiert dieser Bericht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-passiert-ist-der-angriff-auf-telus-in-zahlen\">Was passiert ist: Der Angriff auf Telus in Zahlen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Telus ist mit rund <strong>17 Millionen Kundinnen und Kunden<\/strong> der zweitgr\u00f6\u00dfte Telekommunikationskonzern Kanadas. Im Januar 2026 entdeckten interne Sicherheitsteams Anomalien im Datenzugriff. Am <strong>12. M\u00e4rz 2026<\/strong> best\u00e4tigte Telus offiziell, dass unbefugter Zugriff auf eine begrenzte Anzahl von Systemen stattgefunden hatte. Die Hackergruppe ShinyHunters behauptete gegen\u00fcber Reuters, mindestens <strong>700 Terabyte<\/strong> gestohlen zu haben. Andere Berichte, darunter Meldungen von BleepingComputer und Cybersecurity Dive, sprechen von bis zu <strong>1 Petabyte (1.000 Terabyte)<\/strong> an exfiltrierten Daten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Dimension dieses Vorfalls \u00fcbersteigt die meisten bekannten Datenpannen der Vergangenheit. Zum Vergleich: Der ber\u00fcchtigte T-Mobile-Breach von 2021, bei dem Daten von <strong>55 Millionen Nutzerinnen und Nutzern<\/strong> abgeflossen sind, umfasste ein Bruchteil des jetzigen Datenvolumens. Die Telus-Datenpanne 2026 sticht nicht durch die Anzahl der betroffenen Personen hervor, sondern durch die <strong>schiere Datenmenge<\/strong> und den Zugriff auf besonders sensitive Inhalte wie Quellcode und Beh\u00f6rdendaten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders beunruhigend ist die <strong>Dwell Time<\/strong> des Angriffs. Von der vermutlichen ersten Kompromittierung bis zur \u00f6ffentlichen Best\u00e4tigung vergingen mindestens zwei Monate. In dieser Zeit durchforsteten die Angreifer unbemerkt Datenbanken, extrahierten Datens\u00e4tze und sammelten Material f\u00fcr ihre Erpressung. Telus betonte, dass w\u00e4hrend des gesamten Vorfalls <strong>alle Unternehmensfunktionen vollst\u00e4ndig betriebsbereit<\/strong> blieben und es keinerlei Auswirkungen auf die Konnektivit\u00e4t der Kundinnen und Kunden gab.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"der-angriffsvektor-wie-google-cloud-zugangsdaten-entwendet-wurden\">Der Angriffsvektor: Wie Google-Cloud-Zugangsdaten entwendet wurden<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Angriff auf Telus folgt einem Muster, das Sicherheitsforschende seit 2024 als besonders gef\u00e4hrlich einstufen: den <strong>OAuth-Lieferketten-Angriff<\/strong>. Die T\u00e4tergruppe ShinyHunters verschaffte sich nicht direkt Zugang zu Telus-Systemen, sondern nutzte einen Umweg \u00fcber den Salesforce-Partner <strong>Salesloft<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2025 wurde Salesloft, ein verbreitetes CRM-Integrationstool, selbst Opfer eines Angriffs. Bei diesem Einbruch erbeuteten die Angreifer <strong>Google-Cloud-Platform-OAuth-Tokens<\/strong> von Telus. Diese Tokens erm\u00f6glichten es den Angreifern, sich gegen\u00fcber Google-Cloud-Diensten als legitime Nutzerinnen und Nutzer auszugeben, ohne ein Passwort zu ben\u00f6tigen. Der Fachausdruck daf\u00fcr lautet <strong>Token-Replay-Angriff<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mit diesen gestohlenen Zugangsdaten gelangten die Angreifer in Telus&#8217; <strong>Google-BigQuery-Datenbanken<\/strong>. BigQuery ist Googles Analyseplattform f\u00fcr gro\u00dfe Datenmengen, auf der Telus unter anderem Anrufaufzeichnungen, Kundendaten und Unternehmensmetriken speicherte. Ein gestohlener OAuth-Token ist dabei besonders gef\u00e4hrlich: Er umgeht Passwortschutz und Multi-Faktor-Authentifizierung vollst\u00e4ndig, sofern er noch g\u00fcltig ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Analysten von <strong>Push Security<\/strong> stellten in ihrer Auswertung der ShinyHunters-Kampagnen 2025 und 2026 fest, dass &#8220;die gro\u00dfe Mehrheit der Angriffe auf <strong>OAuth-Lieferketten-Angriffe durch kompromittierte Drittanbieter<\/strong> zur\u00fcckzuf\u00fchren ist.&#8221; Telus ist damit kein Einzelfall, sondern Teil einer systematischen Angriffswelle gegen Unternehmen, die Salesforce-\u00d6kosysteme nutzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-1-petabyte-daten-wirklich-bedeutet\">Was 1 Petabyte Daten wirklich bedeutet<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Zahl &#8220;1 Petabyte&#8221; klingt abstrakt. Um das Ausma\u00df greifbar zu machen: Ein Petabyte entspricht <strong>1.000 Terabyte<\/strong> oder <strong>1.000.000 Gigabyte<\/strong>. Wer eine handels\u00fcbliche externe Festplatte mit 4 Terabyte Kapazit\u00e4t kauft, br\u00e4uchte <strong>250 dieser Festplatten<\/strong>, um 1 Petabyte zu speichern. Zum Vergleich: Die gesamte gedruckte Sammlung der US-Kongressbibliothek entspricht sch\u00e4tzungsweise etwa <strong>10 Terabyte<\/strong> Text. Das Telus-Leck ist damit rund <strong>100-mal gr\u00f6\u00dfer<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Datenmenge<\/th><th>Entspricht<\/th><th>Kontext<\/th><\/tr><\/thead><tbody><tr><td>1 GB<\/td><td>694 Disketten<\/td><td>Typisches Smartphone-Foto = 3-5 MB<\/td><\/tr><tr><td>1 TB<\/td><td>1.000 GB<\/td><td>Ca. 250.000 hochaufl\u00f6sende Fotos<\/td><\/tr><tr><td>1 PB (Telus-Leck)<\/td><td>1.000.000 GB<\/td><td>250 Millionen hochaufl\u00f6sende Fotos<\/td><\/tr><tr><td>Kongressbibliothek (Text)<\/td><td>ca. 10 TB<\/td><td>Gesamte gedruckte Best\u00e4nde<\/td><\/tr><tr><td>T-Mobile-Breach 2021<\/td><td>ca. 106 GB<\/td><td>Daten von 55 Mio. Nutzenden<\/td><\/tr><tr><td>AT&#038;T-Breach 2024<\/td><td>Gespr\u00e4chsmetadaten<\/td><td>Anrufprotokolle nahezu aller Kunden<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Dimension erkl\u00e4rt, warum Sicherheitsforschende den Telus-Vorfall als potenziell bedeutendsten Telecom-Breach der Geschichte bezeichnen. Nicht allein die Anzahl betroffener Personen (etwa 17 Millionen Kundinnen und Kunden der Festnetz-Sparte), sondern die <strong>Tiefe der exfiltrierten Daten<\/strong> ist das entscheidende Merkmal.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"welche-daten-shinyhunters-gestohlen-hat\">Welche Daten ShinyHunters gestohlen hat<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Reuters-Journalisten sahen Stichproben des gestohlenen Materials. Die Hackergruppe gew\u00e4hrte ihnen Einblick, um Druck auf Telus aufzubauen. Die Stichproben enthielten laut Reuters-Bericht:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Personenbezogene Daten (PII)<\/strong> von Millionen Kundinnen und Kunden<\/li><li><strong>Anrufaufzeichnungen<\/strong>, einschlie\u00dflich Zeitstempel, Dauer und Rufnummern<\/li><li><strong>Gespr\u00e4chsaufnahmen<\/strong> aus dem Callcenter<\/li><li><strong>FBI-Hintergrund\u00fcberpr\u00fcfungen<\/strong> f\u00fcr Besch\u00e4ftigte<\/li><li><strong>Quellcode<\/strong> aus mehreren Abteilungen<\/li><li><strong>Finanzdaten<\/strong> und Salesforce-Datens\u00e4tze<\/li><li>Daten aus dem Telus-Digital-Bereich (BPO-Operationen, Kundenbetreuung, Moderationsabl\u00e4ufe)<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders heikel sind die FBI-Hintergrund\u00fcberpr\u00fcfungen. Telus Digital betreibt Callcenter f\u00fcr nordamerikanische Unternehmen und f\u00fchrte f\u00fcr neue Besch\u00e4ftigte Sicherheitspr\u00fcfungen durch. Diese Daten enthalten hochsensible pers\u00f6nliche Angaben zu Tausenden von Mitarbeitenden. Die Ver\u00f6ffentlichung solcher Informationen k\u00f6nnte f\u00fcr betroffene Personen jahrelange Konsequenzen haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiteres Detail beunruhigt Sicherheitsexperten besonders: Die Stichproben deuteten laut CBC auf Daten aus <strong>mindestens 24 Unternehmenskundinnen und -kunden<\/strong> hin. Telus Digital erbringt Dienstleistungen f\u00fcr Finanzinstitute, Gesundheitsorganisationen, Medienunternehmen und andere Telekommunikationsanbieter. Das Leck betrifft damit nicht nur Telus selbst, sondern potenziell deren gesamte Kundenkette.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"telus-reaktion-keine-zahlung-volle-strafverfolgung\">Telus&#8217; Reaktion: Keine Zahlung, volle Strafverfolgung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Als ShinyHunters ein L\u00f6segeld von <strong>65 Millionen US-Dollar<\/strong> forderte, w\u00e4hlte Telus einen klaren Kurs: kein Engagement mit den Erpressern, keine Zahlung. Das Unternehmen engagierte stattdessen <strong>f\u00fchrende Cyber-Forensik-Spezialisten<\/strong> und arbeitete sofort mit Strafverfolgungsbeh\u00f6rden zusammen. Welche Beh\u00f6rden konkret eingebunden wurden, machte Telus nicht \u00f6ffentlich, was auf R\u00fccksicht auf laufende Ermittlungen schlie\u00dfen l\u00e4sst.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In einer offiziellen Stellungnahme erkl\u00e4rte Telus: &#8220;Alle Unternehmensfunktionen sind vollst\u00e4ndig betriebsbereit, und es gibt keine Anzeichen f\u00fcr Unterbrechungen bei der Kundenkonnektivit\u00e4t oder den Diensten.&#8221; Das Unternehmen versprach, betroffene Kundinnen und Kunden entsprechend den Ermittlungsergebnissen zu benachrichtigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Entscheidung, nicht zu zahlen, ist aus mehreren Gr\u00fcnden richtig, aber nicht risikolos. Einerseits w\u00fcrde eine Zahlung ShinyHunters zu weiteren Angriffen ermutigen. Andererseits droht die Ver\u00f6ffentlichung der gestohlenen Daten, was rechtliche Risiken und Reputationssch\u00e4den bedeutet. Die Nicht-Zahlung sendet ein Signal an den gesamten Markt: Telus-Daten stehen potenziell zum Kauf oder werden frei ver\u00f6ffentlicht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wer-sind-die-shinyhunters-geschichte-und-struktur\">Wer sind die ShinyHunters? Geschichte und Struktur<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ShinyHunters tauchte erstmals <strong>2020<\/strong> in der Cybercrime-Szene auf und spezialisierte sich von Beginn an auf Massendiebstahl und Erpressung. Das FBI beschreibt die Gruppe als ein Kollektiv, das &#8220;<strong>gro\u00dfe Datenpannen und Erpressung<\/strong>&#8221; als Kerngesch\u00e4ftsmodell betreibt und &#8220;<strong>gro\u00dfe Unternehmen aus Technologie, Finanzen und Handel<\/strong>&#8221; angreift.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein bekanntes Mitglied ist <strong>S\u00e9bastien Raoult<\/strong>, ein franz\u00f6sischer Staatsb\u00fcrger, der 2023 in Marokko verhaftet und 2024 in die USA ausgeliefert wurde. Er bekannte sich schuldig und wurde zu mehreren Jahren Haft verurteilt. Trotz dieser Strafverfolgung blieb die Gruppe aktiv, was auf eine dezentrale Struktur mit mehreren Akteuren hindeutet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Gruppe ist eng mit dem Untergrundmarktplatz <strong>BreachForums<\/strong> verbunden, auf dem gestohlene Daten verkauft und Erpressungsangebote ver\u00f6ffentlicht werden. Analysten von <strong>EclecticIQ<\/strong> kamen zu dem Ergebnis, dass ShinyHunters &#8220;seine Operationen durch die Kombination von KI-gest\u00fctztem Voice-Phishing, Lieferketten-Kompromittierungen und der Nutzung b\u00f6swilliger Insider ausweitet.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mandiant-Forscher dokumentierten, wie Mitglieder der Gruppe &#8220;<strong>als IT-Mitarbeiter auftraten und Besch\u00e4ftigte bei Zielunternehmen anriefen, wobei sie behaupteten, das Unternehmen aktualisiere MFA-Einstellungen<\/strong>.&#8221; Diese Kombination aus technischer Sophistikation und Social Engineering macht ShinyHunters besonders gef\u00e4hrlich.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"shinyhunters-angriffsbilanz-2020-bis-2026\">ShinyHunters: Angriffsbilanz 2020 bis 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Gruppe hat eine beeindruckende und erschreckende Angriffsbilanz aufgebaut. In ihrer aktivsten Phase 2025 und 2026 konzentrierten sie sich auf Salesforce-\u00d6kosysteme und erbeuteten nach eigenen Angaben \u00fcber <strong>1,5 Milliarden gestohlene Salesforce-Datens\u00e4tze<\/strong> aus mehr als <strong>1.000 Organisationen<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Jahr<\/th><th>Opfer<\/th><th>Gestohlene Daten<\/th><th>L\u00f6segeld<\/th><th>Ergebnis<\/th><\/tr><\/thead><tbody><tr><td>2020<\/td><td>Tokopedia (Indonesien)<\/td><td>91 Mio. Nutzerdaten<\/td><td>Nicht bekannt<\/td><td>Daten im Darknet ver\u00f6ffentlicht<\/td><\/tr><tr><td>2021<\/td><td>AT&#038;T (Stichprobe)<\/td><td>70 Mio. Datens\u00e4tze<\/td><td>Nicht bekannt<\/td><td>AT&#038;T bestritt zun\u00e4chst<\/td><\/tr><tr><td>2022<\/td><td>Mehrere Tech-Firmen<\/td><td>Diverses Material<\/td><td>Variabel<\/td><td>BreachForums-Verk\u00e4ufe<\/td><\/tr><tr><td>2024<\/td><td>Snowflake-Kampagne<\/td><td>Ticketmaster, Santander u.a.<\/td><td>Variabel<\/td><td>Verhaftungen in Australien\/Kanada<\/td><\/tr><tr><td>2025<\/td><td>Salesloft \/ SaaS-Kampagne<\/td><td>1,5 Mrd. Salesforce-Records<\/td><td>Variabel<\/td><td>OAuth-Tokens f\u00fcr Folgeangriffe genutzt<\/td><\/tr><tr><td>2026<\/td><td>Telus Digital<\/td><td>Bis zu 1 Petabyte<\/td><td>65 Mio. USD<\/td><td>Zahlung verweigert, Ermittlungen laufen<\/td><\/tr><tr><td>2026<\/td><td>Crunchbase<\/td><td>2 Mio. Datens\u00e4tze<\/td><td>Nicht bekannt<\/td><td>Daten ver\u00f6ffentlicht nach Verweigerung<\/td><\/tr><tr><td>2026<\/td><td>Match Group<\/td><td>10 Mio. Datens\u00e4tze<\/td><td>Nicht bekannt<\/td><td>Unter Untersuchung<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-65-millionen-forderung-das-dilemma-bei-loesegeldzahlungen\">Die 65-Millionen-Forderung: Das Dilemma bei L\u00f6segeldzahlungen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">65 Millionen US-Dollar ist kein willk\u00fcrlicher Betrag. ShinyHunters kalkuliert Forderungen anhand der Gr\u00f6\u00dfe des Opfers und des Werts der gestohlenen Daten. Telus erzielte 2025 einen Jahresumsatz von rund <strong>18 Milliarden Kanadischen Dollar<\/strong> (ca. 12 Mrd. USD). Die geforderten 65 Millionen USD entspr\u00e4chen damit weniger als <strong>0,5 Prozent<\/strong> des Jahresumsatzes. Aus Angreiferperspektive ist das eine &#8220;vern\u00fcnftige&#8221; Summe, die ein Unternehmen dieser Gr\u00f6\u00dfe theoretisch zahlen k\u00f6nnte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Telus verweigerte jedes Engagement. Diese Entscheidung hat Modellcharakter. Im Jahr 2024 zahlten laut Chainalysis Unternehmen weltweit <strong>1,1 Milliarden US-Dollar<\/strong> an L\u00f6segeldern, obwohl Beh\u00f6rden und Sicherheitsexperten \u00fcbereinstimmend davon abraten. Jede Zahlung finanziert weitere Angriffe und signalisiert anderen T\u00e4tergruppen, dass Erpressung lukrativ ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gleichzeitig ist die Nicht-Zahlung mit Risiken verbunden. ShinyHunters ver\u00f6ffentlichte in der Vergangenheit gestohlene Daten, wenn Opfer nicht zahlten, wie die F\u00e4lle SoundCloud und Crunchbase zeigen. F\u00fcr Telus bedeutet das: Die 1 Petabyte an gestohlenen Daten k\u00f6nnte in Teilen auf BreachForums zum Kauf angeboten oder vollst\u00e4ndig ver\u00f6ffentlicht werden. Die Ermittlungsbeh\u00f6rden werden die Situation genau beobachten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"monatelange-verweildauer-was-dwell-time-ueber-abwehrschwaechen-verraet\">Monatelange Verweildauer: Was Dwell Time \u00fcber Abwehrschw\u00e4chen verr\u00e4t<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Einer der alarmierendsten Aspekte des Telus-Angriffs ist nicht das Was, sondern das Wie lange. Der Begriff <strong>Dwell Time<\/strong> beschreibt die Zeit zwischen dem ersten Eindringen und der Entdeckung eines Angriffs. Im Telus-Fall sprechen Berichte von einem <strong>mehrmonatigen Zeitraum<\/strong>, in dem die Angreifer unentdeckt operierten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das CrowdStrike Global Threat Report 2026 zeigt, dass die durchschnittliche Dwell Time bei Cybervorf\u00e4llen zwar sinkt, aber bei Angriffen mit <strong>legitimen Zugangsdaten<\/strong> (wie im Telus-Fall durch gestohlene OAuth-Tokens) nach wie vor besonders hoch ist. Wer sich mit g\u00fcltigen Credentials anmeldet, sieht aus Sicht von Monitoring-Systemen aus wie ein legitimer Nutzer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese &#8220;living off the land&#8221;-Taktik ist eine der schwierigsten Bedrohungsformen zu erkennen. Die Angreifer f\u00fchren keine neuen Schadsoftware ein, die Antivirensysteme ausschlagen k\u00f6nnten. Sie loggen sich ein, laden Daten herunter und gehen wieder, fast wie regul\u00e4re Cloud-Nutzer. Die einzige M\u00f6glichkeit, solche Angriffe zu erkennen, sind <strong>verhaltensbasierte Analysen<\/strong> und <strong>Anomalie-Erkennungssysteme<\/strong>, die untypische Datenzugriffsmuster identifizieren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"auswirkungen-auf-millionen-kundinnen-und-kunden\">Auswirkungen auf Millionen Kundinnen und Kunden<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Was konkret auf die betroffenen Kundinnen und Kunden zukommt, h\u00e4ngt davon ab, welche Daten ShinyHunters tats\u00e4chlich ver\u00f6ffentlicht. F\u00fcr Kundinnen und Kunden der Telus-Festnetzsparte sind nach aktuellem Erkenntnisstand <strong>Anrufzeiten, Gespr\u00e4chsdauern und Rufnummern<\/strong> betroffen. Das klingt zun\u00e4chst weniger dramatisch als Kreditkartennummern oder Passw\u00f6rter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Anrufmetadaten sind jedoch eine besonders sensible Datenkategorie. Sie offenbaren, wer wen wann anruft, und lassen R\u00fcckschl\u00fcsse auf pers\u00f6nliche Beziehungen, berufliche Kontakte, Gesundheitszust\u00e4nde (Anrufe bei \u00c4rzten) und politische Aktivit\u00e4ten zu. F\u00fcr Beh\u00f6rden, Journalistinnen und Aktivistinnen k\u00f6nnen solche Metadaten lebensbedrohlich sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Telus ist nach kanadischem Datenschutzrecht (PIPEDA) verpflichtet, betroffene Personen zu benachrichtigen, sobald die Untersuchungen einen &#8220;realen Schaden&#8221; als wahrscheinlich einstufen. Die Frage, wann genau dieses Schwellenwertkriterium erf\u00fcllt ist, wird Datenschutzbeh\u00f6rden und Telus noch \u00fcber Monate besch\u00e4ftigen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"vergleich-die-groessten-telekommunikations-datenpannen\">Vergleich: Die gr\u00f6\u00dften Telekommunikations-Datenpannen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um den Telus-Breach einzuordnen, lohnt ein Vergleich mit anderen gro\u00dfen Telekommunikations-Datenpannen der vergangenen Jahre. Die Branche ist seit Jahren ein bevorzugtes Angriffsziel, weil Telekommunikationsunternehmen enorme Mengen sensibler Kommunikationsdaten verwalten.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Unternehmen<\/th><th>Jahr<\/th><th>Betroffene Personen<\/th><th>Datenvolumen<\/th><th>Angriffstyp<\/th><th>Konsequenzen<\/th><\/tr><\/thead><tbody><tr><td>Telus (Kanada)<\/td><td>2026<\/td><td>17 Mio. (Festnetz)<\/td><td>Bis zu 1 PB<\/td><td>OAuth-Credential-Diebstahl<\/td><td>65 Mio. $ Forderung, Zahlung verweigert<\/td><\/tr><tr><td>Salt Typhoon (USA)<\/td><td>2024\/25<\/td><td>Mehrere US-Telefongesellschaften<\/td><td>Nicht bekannt<\/td><td>Staatlicher Einbruch (China)<\/td><td>Nationaler Sicherheitsfall<\/td><\/tr><tr><td>AT&#038;T (USA)<\/td><td>2024<\/td><td>Nahezu alle US-Kunden<\/td><td>Anrufmetadaten<\/td><td>Snowflake-Kompromittierung<\/td><td>\u00d6ffentliche Aufarbeitung<\/td><\/tr><tr><td>T-Mobile (USA)<\/td><td>2023<\/td><td>37 Mio.<\/td><td>Nicht bekannt<\/td><td>API-Missbrauch<\/td><td>350 Mio. $ Vergleich<\/td><\/tr><tr><td>T-Mobile (USA)<\/td><td>2021<\/td><td>55 Mio.<\/td><td>ca. 106 GB<\/td><td>Unsicherheitsautomaten-Exploit<\/td><td>150 Mio. $ Vergleich<\/td><\/tr><tr><td>Optus (Australien)<\/td><td>2022<\/td><td>9,8 Mio.<\/td><td>Nicht bekannt<\/td><td>Unsichere API<\/td><td>Regulatorische Ma\u00dfnahmen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Der Telus-Breach unterscheidet sich von allen Vorg\u00e4ngern durch die Kombination aus <strong>extremem Datenvolumen<\/strong> und dem Einschluss von sensiblen Unternehmens- und Beh\u00f6rdendaten. Fr\u00fchere Telekommunikationspannen betrafen prim\u00e4r Kundendaten; hier wurden offenbar auch <strong>Betriebsgeheimnisse und Drittunternehmen<\/strong> in die Kompromittierung hineingezogen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-sicherheitsexperten-empfehlen\">Was Sicherheitsexperten empfehlen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Telus-Datenpanne liefert eine Blaupause daf\u00fcr, was schiefgehen kann, wenn Zugangsdaten von Drittanbietern nicht ausreichend gesichert werden. Sicherheitsexpertinnen und -experten sind sich \u00fcber mehrere zentrale Empfehlungen einig.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Analysten von <strong>EclecticIQ<\/strong> betonen, dass Unternehmen &#8220;<strong>Umgebungen aggressiv segmentieren, hochwertige Datenspeicher isolieren und auf Massenzugriffsmuster \u00fcberwachen<\/strong>&#8221; m\u00fcssen. Diese Empfehlung richtet sich besonders an Organisationen, die Cloud-Datenanalyse-Plattformen wie BigQuery betreiben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das FBI warnt in seiner Lageeinsch\u00e4tzung zu ShinyHunters: &#8220;Identit\u00e4t ist der neue Perimeter.&#8221; Wer Zugangsdaten stiehlt, bekommt legitimen Zugang ohne klassische Angriffsspuren. Die Konsequenz laut FBI: &#8220;<strong>MFA \u00fcberall, besonders f\u00fcr Administratoren und Drittanbieter<\/strong>,&#8221; kombiniert mit regelm\u00e4\u00dfigen Audits aller aktiven OAuth-Tokens und API-Schl\u00fcssel.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mandiant-Forschende empfehlen au\u00dferdem spezifische Gegenma\u00dfnahmen gegen Vishing-Angriffe, die ShinyHunters erg\u00e4nzend zu technischen Angriffen einsetzt: &#8220;<strong>Verifizierungsprotokolle f\u00fcr alle Identit\u00e4ts\u00e4nderungsanfragen<\/strong>, einschlie\u00dflich MFA-Reset-Anfragen per Telefon, sind unverzichtbar.&#8221; Viele Unternehmen untersch\u00e4tzen, wie effektiv Social Engineering als Einstiegspunkt f\u00fcr technische Angriffe genutzt werden kann.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"fuenf-konkrete-schritte-gegen-oauth-token-angriffe\">F\u00fcnf konkrete Schritte gegen OAuth-Token-Angriffe<\/h3>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Token-Inventarisierung:<\/strong> Alle aktiven OAuth-Tokens und Service-Account-Schl\u00fcssel regelm\u00e4\u00dfig auflisten und nicht mehr ben\u00f6tigte Tokens widerrufen.<\/li><li><strong>Kurzlebige Tokens:<\/strong> OAuth-Tokens auf kurze G\u00fcltigkeitsdauern (maximal 1 Stunde) begrenzen und Refresh-Token-Rotationen erzwingen.<\/li><li><strong>Drittanbieter-Audits:<\/strong> Alle SaaS-Integrationen und ihre Zugriffsberechtigungen viertelj\u00e4hrlich \u00fcberpr\u00fcfen. Salesloft-Typ-Verbindungen mit Least-Privilege konfigurieren.<\/li><li><strong>Anomalie-Detektion:<\/strong> Verhaltensbasierte \u00dcberwachung einrichten, die ungew\u00f6hnliche Datenzugriffsmuster (Massenabrufe aus BigQuery) sofort eskaliert.<\/li><li><strong>Incident-Response-\u00dcbungen:<\/strong> Regelm\u00e4\u00dfige Simulationen von Token-Diebstahl-Szenarien durchf\u00fchren, damit Sicherheitsteams schnell reagieren k\u00f6nnen.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"lektionen-fuer-europaeische-und-deutsche-telekommunikationsunternehmen\">Lektionen f\u00fcr europ\u00e4ische und deutsche Telekommunikationsunternehmen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Was bedeutet der Telus-Breach f\u00fcr Telekommunikationsunternehmen in Deutschland, \u00d6sterreich und der Schweiz? Die Angriffstaktiken von ShinyHunters kennen keine nationalen Grenzen. Europ\u00e4ische Telekommunikationsanbieter nutzen dieselben Cloud-Plattformen, dieselben CRM-Integrationen und dieselben Salesforce-\u00d6kosysteme wie Telus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In Deutschland betreiben <strong>Deutsche Telekom, Vodafone Deutschland und Telef\u00f3nica Deutschland (O2)<\/strong> zusammen die Infrastruktur f\u00fcr \u00fcber <strong>120 Millionen Mobilfunkanschl\u00fcsse<\/strong>. Alle drei nutzen Cloud-basierte Analyseplattformen f\u00fcr Betriebsdaten. Ein \u00e4hnlicher OAuth-Token-Angriff auf einen ihrer Drittanbieter k\u00f6nnte analog zum Telus-Breach zu massiven Datenabfl\u00fcssen f\u00fchren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Seit Januar 2025 gilt in Deutschland die <strong>NIS-2-Richtlinie<\/strong> als umzusetzende Verpflichtung f\u00fcr kritische Infrastrukturenbetreiber. Telekommunikationsunternehmen fallen klar in den NIS-2-Anwendungsbereich. Bei einem vergleichbaren Breach w\u00fcrden deutsche Anbieter nicht nur mit Reputationsrisiken konfrontiert, sondern auch mit Bu\u00dfgeldern von bis zu <strong>10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes<\/strong>. F\u00fcr die Deutsche Telekom mit einem Umsatz von rund 114 Milliarden Euro w\u00e4ren das bis zu <strong>2,28 Milliarden Euro<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus gilt seit Februar 2025 die <strong>DORA-Verordnung<\/strong> f\u00fcr Finanzdienstleister, die auch Telekommunikationsanbieter ber\u00fchrt, die Finanzinstitute betreuen. Der Telus-Breach, der Daten von mindestens 24 Unternehmenskunden enth\u00e4lt, zeigt, wie schnell eine Kompromittierung zu einer Lieferketten-Haftungsfrage wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"prognosen-wie-sich-die-bedrohungslage-entwickelt\">Prognosen: Wie sich die Bedrohungslage entwickelt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Auf Basis des Telus-Breaches und der aktuellen Sicherheitslage lassen sich folgende Entwicklungen prognostizieren:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. OAuth-Angriffe werden h\u00e4ufen:<\/strong> Die Erfolgsserie von ShinyHunters mit OAuth-Token-Missbrauch wird andere T\u00e4tergruppen inspirieren. Experten von EclecticIQ erwarten, dass sich die Zahl der Angriffe \u00fcber kompromittierte Drittanbieter-Tokens bis Ende 2026 verdoppeln wird. Unternehmen, die Cloud-Analysetools wie BigQuery, Snowflake oder Redshift betreiben, sind besonders exponiert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2. Petabyte-Exfiltrationen werden zur neuen Norm:<\/strong> Mit zunehmend leistungsf\u00e4higerer Cloud-Infrastruktur sinken die technischen H\u00fcrden f\u00fcr Massendatenexfiltration. Was 2024 noch die Ausnahme war, wird 2026 und 2027 zur Standardwaffe von Hochrisikogruppen. Unternehmen m\u00fcssen nicht mehr damit rechnen, dass einzelne Datenbanken betroffen sind, sondern ganze Cloud-Umgebungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Mehr Strafverfolgungserfolge, aber nicht schnell genug:<\/strong> Die Verhaftung von S\u00e9bastien Raoult zeigt, dass internationale Strafverfolgung m\u00f6glich ist. Dennoch werden neue Mitglieder schnell rekrutiert. ShinyHunters operiert dezentral genug, um Verhaftungen einzelner Mitglieder zu \u00fcberstehen. Kurzfristig ist kein signifikanter R\u00fcckgang der Aktivit\u00e4t zu erwarten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Regulatorischer Druck auf Cloud-Anbieter steigt:<\/strong> Die EU-Kommission wird den Telus-Fall als Argument f\u00fcr strengere Sicherheitsanforderungen an Cloud-Anbieter nutzen. Im Rahmen des Cyber Resilience Act und NIS-2 k\u00f6nnten Google, AWS und Azure verpflichtet werden, Token-Missbrauch proaktiver zu erkennen und automatisch zu blockieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. Telecom-Fusionen als Sicherheitskonsolidierung:<\/strong> In Europa werden kleinere Telekommunikationsanbieter m\u00f6glicherweise Fusionen anstreben, auch mit dem Argument, gemeinsam bessere Cybersicherheitsressourcen vorhalten zu k\u00f6nnen. Der Telus-Breach verdeutlicht, dass Sicherheit im Telekommunikationssektor ein Ressourcenthema ist, das kleine Anbieter allein kaum stemmen k\u00f6nnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-berichte\">Verwandte Berichte<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"weitere-berichte-aus-der-redaktion\">Weitere Berichte aus der Redaktion<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/de\/red-hat-datenleck-crimson-collective\/\">Red Hat Datenleck: 570 GB, 28.000 Repos geleakt [2026]<\/a><\/li><li><a href=\"\/de\/skoda-datenleck-onlineshop-hack\/\">\u0160koda Datenleck: Onlineshop-Hack, 6 Datentypen [2026]<\/a><\/li><li><a href=\"\/de\/cl0p-oracle-ebs-2026\/\">Cl0p hackt Oracle: 29 Opfer, CVSS 9.8 [2026]<\/a><\/li><li><a href=\"\/de\/bka-cybercrime-bericht-2025\/\">BKA 2025: 333.922 Cyberf\u00e4lle, \u20ac202 Mrd. Schaden [2026]<\/a><\/li><li><a href=\"\/de\/dach-cyberangriffe-2026-deutschland\/\">DACH: Cyberangriffe um 124 % gestiegen [2026]<\/a><\/li><li><a href=\"\/de\/enisa-ransomware-bedrohungslage-2026\/\">Ransomware: 81 % aller EU-Cyberangriffe [2026]<\/a><\/li><li><a href=\"\/de\/crowdstrike-global-threat-report-2026\/\">CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken +89 % [2026]<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufig-gestellte-fragen\">H\u00e4ufig gestellte Fragen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-genau-wurde-bei-der-telus-datenpanne-2026-gestohlen\">Was genau wurde bei der Telus-Datenpanne 2026 gestohlen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">ShinyHunters behauptet, bis zu 1 Petabyte Daten gestohlen zu haben, darunter personenbezogene Daten von Kundinnen und Kunden, Anrufaufzeichnungen und -protokolle, Quellcode, FBI-Hintergrund\u00fcberpr\u00fcfungen f\u00fcr Besch\u00e4ftigte sowie Salesforce-Daten aus dem BPO-Betrieb von Telus Digital. Reuters-Journalisten sahen Stichproben, die diese Anspr\u00fcche teilweise best\u00e4tigten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-kamen-die-angreifer-in-das-telus-system\">Wie kamen die Angreifer in das Telus-System?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der Angriff nutzte einen indirekten Weg: ShinyHunters kompromittierte 2025 den Salesforce-Integrationspartner Salesloft und erbeutete dabei Google-Cloud-Platform-OAuth-Tokens von Telus. Mit diesen Tokens konnten die Angreifer auf Telus&#8217; BigQuery-Datenbanken zugreifen, ohne ein Passwort zu ben\u00f6tigen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hat-telus-das-loesegeld-bezahlt\">Hat Telus das L\u00f6segeld bezahlt?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nein. Telus verweigerte jedes Engagement mit den Erpressern und zahlte die geforderten 65 Millionen US-Dollar nicht. Das Unternehmen arbeitete stattdessen mit Strafverfolgungsbeh\u00f6rden und Cyber-Forensik-Spezialisten zusammen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"sind-meine-daten-als-telus-kundin-oder-kunde-betroffen\">Sind meine Daten als Telus-Kundin oder -Kunde betroffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Telus best\u00e4tigte, dass es bei der Untersuchung keinen Hinweis auf Unterbrechungen der Kundenverbindung gab. Das Unternehmen versprach, betroffene Kundinnen und Kunden direkt zu benachrichtigen, sobald die Ermittlungen konkrete Ergebnisse liefern. Betroffene sollten in der Zwischenzeit Anrufprotokolle auf ungew\u00f6hnliche Aktivit\u00e4ten \u00fcberwachen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-ein-oauth-token-angriff-und-wie-kann-man-sich-schuetzen\">Was ist ein OAuth-Token-Angriff und wie kann man sich sch\u00fctzen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein OAuth-Token ist ein digitaler Zugangscode, der es einer Anwendung erlaubt, im Namen einer Nutzerin oder eines Nutzers auf einen Cloud-Dienst zuzugreifen, ohne Passwort. Wenn dieser Token gestohlen wird, hat der Angreifer denselben Zugang wie die legitime Person. Schutz: Token-G\u00fcltigkeitsdauern auf maximal eine Stunde begrenzen, regelm\u00e4\u00dfige Audits aller aktiven Tokens durchf\u00fchren und verd\u00e4chtige Massenzugriffsmuster in Cloud-Diensten sofort eskalieren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-konsequenzen-haette-ein-aehnlicher-angriff-auf-einen-deutschen-telekommunikationsanbieter\">Welche Konsequenzen h\u00e4tte ein \u00e4hnlicher Angriff auf einen deutschen Telekommunikationsanbieter?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nach NIS-2-Richtlinie m\u00fcssen deutsche Telekommunikationsunternehmen erhebliche Sicherheitsvorf\u00e4lle innerhalb von 24 Stunden melden. Bei Verst\u00f6\u00dfen gegen Sicherheitspflichten drohen Bu\u00dfgelder von bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes. F\u00fcr die Deutsche Telekom w\u00e4ren das theoretisch bis zu 2,28 Milliarden Euro.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-unterscheidet-den-telus-breach-von-frueheren-telekommunikationspannen\">Was unterscheidet den Telus-Breach von fr\u00fcheren Telekommunikationspannen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das Datenvolumen. W\u00e4hrend fr\u00fchere Pannen bei T-Mobile oder AT&#038;T haupts\u00e4chlich Kundendatens\u00e4tze betrafen, umfasst der Telus-Breach bis zu 1 Petabyte, darunter Quellcode, Beh\u00f6rdendaten und Daten von mindestens 24 Unternehmenskunden. Das macht diesen Vorfall zu einem potenziellen Lieferkettenproblem mit Auswirkungen weit \u00fcber Telus hinaus.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im M\u00e4rz 2026 best\u00e4tigte Telus Digital, dass die Hackergruppe ShinyHunters bis zu 1 Petabyte Daten aus ihren Systemen gestohlen hat. Die Angreifer forderten 65 Millionen US-Dollar L\u00f6segeld, Telus verweigerte jede\u2026<\/p>\n","protected":false},"author":2,"featured_media":220,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-219","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/219","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=219"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/219\/revisions"}],"predecessor-version":[{"id":221,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/219\/revisions\/221"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/220"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=219"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=219"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=219"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}