Was ist schiefgelaufen, während Optus verklagt wird, und welche Lehren können wir daraus ziehen?

Von Phil Muncaster • 25 September 2025

Die Mühlen der Justiz mahlen manchmal langsam. So ist es in Australien, wo die Datenschutzbehörde schließlich Zivilstrafverfahren eingeleitet gegen den Telekommunikationsriesen Optus wegen eines Datenlecks im Jahr 2022, dessen Auswirkungen bis heute nachwirken.

Das Bundesgericht kann für jeden Verstoß eine Zivilstrafe von bis zu 2.2 Millionen australischen Dollar (1.1 Millionen Pfund) verhängen. Der australische Datenschutzbeauftragte (AIC) behauptet, dass jeder der 9.5 Millionen Menschen, deren Privatsphäre Optus seiner Ansicht nach „schwerwiegend verletzt“ habe, einen Verstoß begangen habe. Obwohl dies höchst unwahrscheinlich ist, bedeutet dies eine theoretische Höchststrafe von über 20 Billionen australischen Dollar (9.8 Billionen Pfund).

Doch wichtiger als der Ausgang des Falls ist wohl, was die lokalen Unternehmen aus dem Vorfall lernen können – im Hinblick auf ihr Datenmanagement und ihre Risikomanagement-Strategie.

Ein Bruch, der Australien erschütterte

Der Vorfall datiert auf September 2022 zurück, als es einem Angreifer gelang, auf die persönlichen Daten von Millionen von Kunden des zweitgrößten Telekommunikationsunternehmens Australiens zuzugreifen. Dazu gehörten:

Namen, Geburtsdaten, Wohnadressen, Telefonnummern und E-Mail-Adressen
Passnummern, Führerscheinnummern, Medicare-Kartennummern, Informationen zu Geburtsurkunden und Heiratsurkunden sowie Identifikationsinformationen der Streitkräfte, Verteidigungskräfte und der Polizei

Das AIC behauptet, Optus habe „keine angemessenen Schritte unternommen“, um diese Informationen zu schützen. Als Gründe nennt es die Größe und Ressourcen des Unternehmens, die Menge der kompromittierten Daten und das Risiko, dass die Offenlegung zu Schäden für Einzelpersonen führen könnte.

Wie hoch der Schaden für die Opfer tatsächlich war, ist umstritten. Der Angreifer, der ursprünglich ein Lösegeld von einer Million US-Dollar (740,000 Pfund) forderte, änderte später seine Vorgehensweise und behauptete, die Daten gelöscht zu haben. Ob die Daten weiterverkauft oder von Betrügern verwendet wurden, bleibt ein Rätsel. Die emotionale Belastung für unzählige Australier und die Behörden, die Ausweisdokumente neu ausstellen mussten, ist jedoch offensichtlich.

Die nationale Empörung über den Vorfall führte zur Einführung eines neuen Cybersicherheitsregimes mit höheren Bußgelder bei Datenschutzverletzungenund das erste eigenständige Gesetz des Landes in diesem Bereich: die Cyber Security ActDie Australian Communications and Media Authority (ACMA) verklagt Optus außerdem wegen Verstoßes gegen den Telecommunications (Interception and Access) Act 1979.

Was ist passiert?

Die AIC hat sich über die Einzelheiten des Verstoßes bedeckt gehalten. Die Akten im ACMA-Fall, die von SecurityScorecard Erzählen Sie detailliert, was passiert ist und was schief gelaufen ist. Der Sicherheitsanbieter behauptet, dass:

Der Bedrohungsakteur verschaffte sich über eine falsch konfigurierte, inaktive API Zugriff auf Optus-Daten
Die API wurde 2020 internetfähig, ihre Zugriffskontrollen wurden jedoch aufgrund eines 2018 eingeführten Codierungsfehlers unwirksam.
Obwohl ähnliche Probleme im Jahr 2021 auf der Hauptdomäne von Optus gefunden und behoben wurden, blieb die Subdomäne mit der API „ungeschützt, unbeaufsichtigt und ungepatcht“.
Der Bedrohungsakteur konnte über mehrere Tage hinweg Kundendaten abfragen und dabei Zehntausende von IP-Adressen durchgehen, um der Erkennung zu entgehen.

Abgesehen von dem Sicherheitsproblem selbst gibt es auch Fragen darüber, warum Millionen von Datensätzen ehemaliger Kunden kompromittiert wurden. Die Best Practice der Datenminimierung besagt, dass viele dieser Datensätze hätten gelöscht werden müssen. Es gab auch Beschwerden über die Krisenkommunikationsbemühungen von OptusDas Unternehmen behauptete ursprünglich, es sei Opfer eines „raffinierten Angriffs“ geworden, was später von Experten widerlegt wurde. Einige beschwerten sich anschließend darüber, dass das Unternehmen besorgten Kunden nur langsam wichtige Details mitgeteilt, sich nicht entschuldigt und Verantwortung übernommen und den Betroffenen keine umsetzbaren Ratschläge gegeben habe.

„Der Optus-Datenleck ist ein deutlicher Beleg dafür, dass das Management von Cyberrisiken zwei Seiten hat. Die erste betrifft die Softwareentwicklung selbst – das Erkennen und Managen von Risiken vor, während und nach der Veröffentlichung des Codes. Unsichere Software oder Fehlkonfigurationen können schwerwiegende Folgen haben, wenn Kundendaten betroffen sind“, erklärt Mac Moeun, Direktor von Patterned Security, gegenüber ISMS.online.

Der zweite Punkt ist, wie Sie mit dem Vorfall umgehen. Sie benötigen einen bewährten, im Notfall erprobten Plan, sind offen, kommunizieren frühzeitig und häufig und geben den Kunden Klarheit darüber, was betroffen ist. Mit diesen Schritten haben Sie die besten Chancen, das Vertrauen Ihrer Kunden zu erhalten.

Welche Lehren können wir daraus ziehen?

Der Datendiebstahl bei Optus war der erste in einer langen Reihe von Vorfällen, die Australien erschütterten, darunter auch Medibank und Latitude Financial. Doch als erster und einer der schlimmsten Fälle dient er vielen als Warnung. Die Muttergesellschaft Singtel beiseite legen 140 Millionen AU$ (68.5 Millionen Pfund) zur Deckung der Kosten der Folgen, und es gab Berichte über erhebliche Kundenabwanderung nach dem Vorfall.

Aus rein technischer Sicht sollten CISOs Folgendes berücksichtigen:

Verfolgung potenzieller Sicherheitsrisiken wie inaktiver APIs und nicht verwalteter Assets
Einsatz verhaltensbasierter Überwachung zur Erkennung verdächtiger Aktivitäten (z. B. IP-Rotation)
Datenminimierung als bewährte Methode, um sicherzustellen, dass alles, was die Organisation nicht mehr benötigt, gelöscht wird
Sichere Codierungspraktiken (DevSecOps) einschließlich automatisiertem Scannen

Ryan Sherstobitoff, Field Chief Threat Intelligence Officer bei SecurityScorecard, erklärt gegenüber ISMS.online: „Der Optus-Datenleck unterstreicht die Notwendigkeit strenger API-Inventare und -Audits (einschließlich inaktiver Endpunkte), sicherer Codierung mit kontinuierlicher Schwachstellenprüfung, strenger Richtlinien zur Datenaufbewahrung/-löschung und einer erweiterten Anomalieerkennung, um wenig ausgeklügelte, aber effektive Angriffstaktiken zu erkennen.“

Unabhängig davon betont das AIC die Notwendigkeit mehrschichtiger Sicherheitskontrollen, klarer Domänenzuständigkeiten, einer robusten Sicherheitsüberwachung und regelmäßiger Überprüfungen. Unternehmen können jedoch noch einen Schritt weiter gehen. Eine ganzheitlichere Lösung wäre die Implementierung von Best-Practice-Standards wie ISO 27001 und 27701 (für die Implementierung eines Informationssicherheits-Managementsystems bzw. eines Datenschutz-Informationsmanagementsystems).

Sie bieten einen umfassenden, risikobasierten Rahmen für die Verwaltung und den Schutz sensibler Daten, einschließlich personenbezogener Daten (PII). Der Weg zur Compliance stellt sicher, dass Unternehmen verstehen, welche Daten sie verwalten, wo Sicherheitslücken bestehen und welche Kontrollen und Prozesse helfen, diese zu schließen. Entscheidend ist, dass die Standards die Idee der kontinuierlichen Überwachung und Verbesserung fördern, sodass sich konforme Unternehmen erfolgreich an veränderte IT-Infrastrukturen, Bedrohungstrends und andere Faktoren anpassen können.

„Diese ISMS-Frameworks bieten strukturierte, überprüfbare Kontrollen für das Asset-Management, die sichere Entwicklung, das Monitoring und die PII-Lebenszyklus-Governance. Sie helfen Unternehmen dabei, Zero-Trust-Prinzipien durchzusetzen, die Datenfreigabe zu minimieren und langfristige blinde Flecken bei der Kodierung oder Datenspeicherung zu vermeiden“, sagt Sherstobitoff.

Der Optus-Datenleck liegt zwar schon drei Jahre zurück, wirft aber noch heute einen Schatten auf australische Unternehmen. Wenn mehr Menschen aus den Fehlern der Vergangenheit lernen, ist das keine schlechte Sache.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 3 Februar 2026

Betrugsmeldungen im Zusammenhang mit dem WEF-Bericht sind mittlerweile die größte Cybersicherheitssorge von CEOs, aber nicht die einzige.

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

Fünf Jahre sind eine lange Zeit in der Cybersicherheit. Doch genau so lange befragt das Weltwirtschaftsforum (WEF) bereits CEOs für seine globale Cybersicherheitsinitiative.

Phil Muncaster

Internet-Sicherheit 27 Januar 2026

Datenschutz ist wichtig: Was Compliance-Teams im Jahr 2026 erwarten können

Der 28. Januar ist der Welttag des Datenschutzes – ein Anlass, das Recht auf Datenschutz und Datensicherheit zu feiern, das viele von uns heute als selbstverständlich ansehen. Es war…

Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster