2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Das Odido-Datenleck: wie ein Anruf beim Kundenservice 6 Millionen Menschen traf

Im Februar 2026 verschafften sich Angreifer über eine Phishing-Mail und einen gefälschten IT-Anruf Zugang zum niederländischen Telekomanbieter Odido. Die Awareness-Lektion: Der Kundenservice ist ein Ziel, MFA lässt sich umgehen, und der eigentliche Schaden entsteht durch Folge-Phishing.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Am Wochenende des 7. und 8. Februar 2026 verschafften sich Kriminelle Zugang zu den Kundensystemen des niederländischen Telekomanbieters Odido. Nicht über einen ausgefeilten technischen Exploit, sondern über Menschen: zuerst eine Phishing-Mail, um die Passwörter von Kundenservice-Mitarbeitenden zu erbeuten, dann ein Anruf, bei dem sich der Angreifer als interne IT-Abteilung ausgab, um den zusätzlichen Login-Schritt zu umgehen. Das Ergebnis: Daten von rund 6,2 Millionen (ehemaligen) Kunden von Odido und der Marke Ben — fast die gesamte Kundenbasis.

Was genau passiert ist

Odido machte das Datenleck am 12. Februar 2026 öffentlich; der Angriff selbst fand am Wochenende davor statt. Zwei Wochen später, am 26. Februar, veröffentlichten die Kriminellen einen Teil der Beute im Darknet: Daten von rund 430.000 Personen und 290.000 Geschäftskunden.

Der gestohlene Datensatz war ungewöhnlich sensibel. Er enthielt nicht nur Namen, Adressen, Telefonnummern, E-Mail-Adressen und Kundennummern, sondern auch IBAN-Kontonummern, Geburtsdaten und Ausweisdaten. Einige interne Notizen enthielten sogar Hinweise auf Stalking, häusliche Gewalt und Sperradressen — Informationen, die in den falschen Händen lebensgefährlich sein können.

Der Zugang lief über die Salesforce-Umgebung des Kundenservice. Kein Server-Einbruch also, sondern der Missbrauch eines gültigen Kontos, das eine Mitarbeiterin selbst freigegeben hatte. Nach der DSGVO muss ein solches Datenleck binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden.

Warum ausgerechnet der Kundenservice das Ziel war

Angreifer wählen den Weg des geringsten Widerstands. Der Kundenservice — oft teilweise an externe Callcenter ausgelagert — hat täglich Zugriff auf große Mengen Kundendaten, erhält aber meist weniger Security-Aufmerksamkeit als IT-Administratoren oder Entwickler.

Hinzu kommt: Helfen ist der Beruf einer Servicekraft. Wer den ganzen Tag darauf trainiert ist, freundlich und lösungsorientiert zu sein, kooperiert von Natur aus, wenn 'ein Kollege aus der IT' mit einer dringenden Bitte anruft. Diese Hilfsbereitschaft ist keine individuelle Schwäche, sondern eine Eigenschaft, die Angreifer gezielt ausnutzen.

Für Awareness-Verantwortliche ist das die Kernlektion: Die Menschen mit den meisten Kundendaten sind nicht immer die, die das meiste Training bekommen. Diese Lücke muss man gezielt schließen.

MFA ist keine Endstation: so wurde der Extra-Schritt umgangen

Viele Organisationen glauben, Multi-Faktor-Authentifizierung (MFA) schütze sie vor gestohlenen Passwörtern. Das stimmt — bis ein Mensch den MFA-Schritt selbst bestätigt. Bei Odido rief der Angreifer die Mitarbeiterin nach der Phishing-Mail an, gab sich als IT-Helpdesk aus und bat, den Login-Versuch zu bestätigen. Die Mitarbeiterin genehmigte die Meldung und gab so den zweiten Faktor preis.

Das nennt man MFA-Müdigkeit oder das Umgehen von MFA durch Social Engineering. Die Technik funktioniert einwandfrei; der menschliche Prozess drumherum ist die Schwachstelle. Ein Angreifer braucht nur eine Person, die im falschen Moment auf 'Bestätigen' tippt.

MFA bleibt eine unverzichtbare Basismaßnahme, aber nur, wenn du sie richtig einrichtest. Du willst wissen, welche MFA-Formen solchen Angriffen standhalten und wie du sie ausrollst? Lies, wie du MFA in deiner Organisation implementierst.

Die Faustregel, die jede Person kennen muss: Die echte IT-Abteilung fragt nie nach deinem Passwort, deinem MFA-Code oder nach der Bestätigung eines Login-Versuchs, den du nicht selbst gestartet hast. Solch eine Anfrage? Auflegen und über eine bekannte interne Nummer zurückrufen.

Der eigentliche Schaden kommt später: Folge-Phishing mit echten Daten

Ein Datenleck ist kein Endpunkt, sondern ein Ausgangspunkt. Mit echten Kundendaten können Kriminelle Nachrichten verschicken, die stimmig wirken: Sie kennen deinen Namen, deine Kundennummer, deinen Anbieter und manchmal deine IBAN. Eine Phishing-Mail oder -SMS, die mit korrekten Daten beginnt, ist weit überzeugender als das klassische 'Sehr geehrter Kunde'.

Entsprechend folgte auf das Odido-Leck eine Welle von Folge-Phishing: gefälschte Nachrichten 'von Odido' über eine fehlgeschlagene Zahlung oder offene Rechnung, mit Link auf eine nachgebaute Login-Seite. Das ist das eigentliche Geschäftsmodell hinter dem Diebstahl.

Das heißt: Ein Leck bei einer Organisation erhöht das Risiko für alle. Deine Mitarbeitenden und Kunden können gezielter angesprochen werden, selbst wenn deine eigenen Systeme nie betroffen waren.

So verankerst du das in deinem Awareness-Programm

Der Odido-Vorfall ist ein idealer, nachvollziehbarer Fall für dein Programm — gerade weil es keinen 'genialen Hack' gab, sondern nur einen Anruf und eine Mail.

Konzentriere dich nicht nur auf Büromitarbeitende. Den größten Hebel haben die Teams mit vielen Kundendaten und viel eingehendem Kontakt: Kundenservice, Helpdesk, Empfang und externe Callcenter.

  • Zielgruppe + Rhythmus: Gib Kundenservice und Helpdesk ein eigenes Modul mit Rückruf-Verfahren und wiederhole es jedes Quartal — die Fluktuation ist hoch.
  • Eine Regel, die alle kennen: 'IT fragt nie nach Passwort oder MFA-Bestätigung; im Zweifel auflegen und über die interne Nummer zurückrufen.'
  • Übe das Szenario live: Eine Vishing-Simulation (gefälschte IT ruft an) bringt mehr als ein E-Learning-Modul allein.
  • Miss das Meldeverhalten, nicht nur das Klickverhalten: Wie viele melden den verdächtigen Anruf binnen 30 Minuten?
  • Mehr Tiefe? Sieh dir an, wie du das strukturell angehst über Security-Awareness-Training.

Verwandte Artikel

Häufig gestellte Fragen

War das Odido-Datenleck ein technischer Hack?

Nein. Die Angreifer nutzten keine Softwarelücke, sondern Social Engineering: eine Phishing-Mail, um Passwörter zu stehlen, gefolgt von einem Anruf, bei dem sie sich als interne IT ausgaben, um den MFA-Schritt bestätigen zu lassen. Es war ein menschlicher Angriff, kein technischer.

Wie kann MFA umgangen werden, wenn sie aktiviert ist?

MFA schützt vor einem gestohlenen Passwort, aber nicht vor einer Person, die den Login-Versuch selbst bestätigt. Durch den Anruf als angebliche IT brachte der Angreifer die Mitarbeiterin dazu, den zweiten Faktor zu bestätigen. Die Technik funktionierte; der menschliche Prozess war die Schwachstelle.

Was sollten Mitarbeitende bei einem verdächtigen 'IT-Anruf' tun?

Auflegen und über eine bekannte interne Nummer zurückrufen. Die echte IT fragt nie nach deinem Passwort, deinem MFA-Code oder nach der Bestätigung eines Logins, den du nicht selbst gestartet hast.

Warum ist ein Datenleck bei einem anderen Unternehmen auch mein Problem?

Weil Kriminelle mit echten Daten weit überzeugenderes Folge-Phishing verschicken können. Deine Mitarbeitenden und Kunden können mit korrekten Namen, Kundennummern oder Kontodaten gezielter angesprochen werden, selbst wenn deine Systeme nie betroffen waren.

Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel