--- url: 'https://www.corbado.com/de/blog/optus-datenleck' title: 'Wie kam es zum Optus-Datenleck und wie lässt es sich vermeiden?' description: 'Erfahren Sie mehr über die wichtigsten Sicherheitslücken hinter dem Optus-Datenleck 2022, von dem 10 Mio. Kunden betroffen waren. Lernen Sie Best Practices wie API-Sicherheit und starke Authentifizierungsprotokolle kennen.' lang: 'de' author: 'Vincent Delitz' date: '2026-05-27T09:34:05.265Z' lastModified: '2026-05-27T09:34:31.575Z' keywords: 'Optus, Optus-Datenleck, australischer Cyberangriff, australischer Datenschutz, API-Schwachstellen, Prävention von Datenlecks' category: 'Authentication' --- # Wie kam es zum Optus-Datenleck und wie lässt es sich vermeiden? ## Key Facts - Die **ungesicherte öffentliche API** war für jeden im Internet bis zu drei Monate lang zugänglich und ermöglichte den direkten Abruf sensibler Daten von fast 10 Millionen Optus-Kunden. - **Fortlaufende Kundenkennungen** (z. B. 5332, 5333) ermöglichten es Angreifern, die vollständige Exfiltration der Datenbank mit einem einfachen Skript zu automatisieren und so das Ausmaß und die Geschwindigkeit des Datenlecks zu erhöhen. - Ein **Programmierfehler aus dem Jahr 2018** schwächte die Zugriffskontrollen. Dieser wurde auf der Haupt-Website von Optus bis August 2021 behoben, aber nie auf eine sekundäre Domain angewendet, die bis zum Datenleck 2022 ungeschützt blieb. - **Unauthentifizierte APIs** sind laut OWASP die zweithäufigste Schwachstelle. Multi-Faktor-Authentifizierung (MFA) bei jeder Verbindungsanfrage und Penetrationstests sind die empfohlenen Gegenmaßnahmen, um eine Ausnutzung zu verhindern. ## 1. Einführung Im September 2022 erlitt Optus, einer der führenden australischen Telekommunikationsanbieter, ein Datenleck, bei dem die persönlichen Daten von fast 10 Millionen Kunden offengelegt wurden. Dieser Vorfall war einer der größten Cyberangriffe in der australischen Geschichte und führte zu großen Bedenken hinsichtlich des Datenschutzes und der Sicherheitspraktiken im Land. ![optus breach map](https://www.corbado.com/website-assets/optus_breach_5f928dbf73.jpg) Dieser Artikel konzentriert sich auf die folgenden Fragen: - Welche Sicherheitslücken bei Optus führten zu dem Datenleck? - Welche Gegenmaßnahmen hätte Optus ergreifen können, um die Sicherheitsverletzung zu vermeiden? ## 2. Sicherheitslücken, die zum Optus-Datenleck führten Im Folgenden finden Sie die 5 Sicherheitslücken des Datenlecks bei Optus. ### 2.1 Sicherheitslücke #1: Ungeschützte öffentliche API Die erste große Sicherheitslücke beim Optus-Datenleck war die Nutzung einer öffentlichen API (Application Programming Interface), die den Zugriff auf sensible interne Daten erleichterte. Öffentliche APIs sind so konzipiert, dass externe Systeme mit den Diensten eines Unternehmens interagieren können. Wenn diese APIs jedoch nicht richtig gesichert sind, können sie zu einem Einfallstor für Angreifer werden. **Wofür werden öffentliche APIs verwendet?** Sichere öffentliche APIs, wie beispielsweise die Google Maps API oder die Weather API, stellen externen Systemen begrenzte, nicht sensible Daten zur Verfügung. Sie sind so konzipiert, dass alle geteilten Daten von den Kernprozessen des Unternehmens isoliert sind, was sie von Natur aus sicherer macht. **Warum sind öffentliche APIs in diesem Fall ein Problem?** Im Gegensatz zu [sicheren APIs](https://www.wiz.io/academy/api-security-best-practices) legte die Optus-API sensible Kundeninformationen offen und es fehlten grundlegende Schutzmaßnahmen. Dies machte sie anfällig für Angreifer, die sie durch Internet-Scans lokalisieren konnten. **Wie konnten Angreifer diese API ausnutzen?** Ohne Authentifizierung oder Datenisolierung konnten sich Angreifer direkt mit der API verbinden und vertrauliche Kundeninformationen abrufen, wobei sie interne Sicherheitsmaßnahmen umgingen. ### 2.2 Sicherheitslücke #2: Ungesicherte API gewährt Zugriff auf sensible Kundendaten Die zweite große Sicherheitslücke beim Optus-Datenleck war, dass **die API nicht gesichert war**. Sie gewährte daher Zugriff auf hochsensible Kundendaten. Während sich das erste Problem darum drehte, dass die API öffentlich zugänglich war, bestand das kritische Problem hier im Mangel an angemessenen Zugriffskontrollen, die einen uneingeschränkten Zugriff auf vertrauliche Informationen ermöglichten. Wenn ein Optus-Kunde über die Optus-App oder die Website auf sein Konto zugreift, erleichtern APIs die Kommunikation zwischen Frontend- und Backend-Systemen, um die erforderlichen Daten abzurufen. Diese Backend-Prozesse verarbeiten häufig sensible Informationen, um Kundenprofile zu laden. In diesem Fall verschaffte die ungeschützte API Angreifern direkten Zugriff auf die folgenden Arten von personenbezogenen Daten, die besonders wertvoll für Identitätsdiebstahl und Betrug sind: • Führerscheinnummern • Telefonnummern • Geburtsdaten • Privatadressen Eine Analyse öffentlicher DNS-Einträge (Domain Name System) ergab später, dass diese API wahrscheinlich öffentlich und für jeden im Internet bis zu drei Monate lang zugänglich war. ### 2.3 Sicherheitslücke #3: Verwendung von fortlaufenden Kundenkennungen Die dritte Sicherheitslücke beim Optus-Datenleck war die Verwendung von inkrementierenden Kundenkennungen. In der digitalen Welt werden einzigartige Kundenkennungen – bestehend aus zufälligen Zahlen- und Buchstabenfolgen – verwendet, um Konten sicher zu unterscheiden. **Die Best Practices der Cybersicherheit schreiben vor, dass diese Kennungen zufällig** und nicht miteinander verbunden sein sollten, um Hacker daran zu hindern, Muster zu erkennen. **Optus-Kundenkennung**: In diesem Fall folgten die Kundenkennungen einem vorhersehbaren Muster, das sich jeweils um 1 erhöhte. Wenn beispielsweise die Kennung eines Kunden 5332 war, wäre die nächste 5333. Sobald der Hacker Zugriff auf die Datenbank erlangt hatte, konnte er ein automatisiertes Skript schreiben, um jeden Datensatz einfach durch Hochzählen der Kennung abzurufen. Dieser automatisierte Ansatz beschleunigte den Datendiebstahl und ermöglichte es dem Angreifer, sensible Kundendaten im großen Stil zu exfiltrieren. Der vorhersehbare Designfehler führte dazu, dass das Optus-Datenleck schneller auftrat und mehr Kunden betraf, als es sonst möglich gewesen wäre. ### 2.4 Sicherheitslücke #4: Geschwächte Zugriffskontrollen aufgrund eines Programmierfehlers Neben den Schwachstellen in Bezug auf APIs und Kunden-IDs gab es weitere Sicherheitsprobleme: Im Jahr 2018 **schwächte ein Programmierfehler die Zugriffskontrollen auf bestimmten Optus-Domains**, wodurch diese weniger sicher wurden. Obwohl Optus dieses Problem auf seiner Hauptwebsite im August 2021 behob, versäumte das Unternehmen es, denselben Fix auf eine sekundäre Website anzuwenden, die im Internet zugänglich war. Diese sekundäre Domain blieb angreifbar, bis das Datenleck im September 2022 entdeckt wurde. Dieses Versäumnis hinterließ eine erhebliche Sicherheitslücke. Öffentliche Domains sind ein häufiges Ziel für Angreifer, und jede nicht gepatchte Schwachstelle erhöht das Risiko eines unbefugten Zugriffs. In diesem Fall ermöglichte der Programmierfehler Angreifern, Zugriffskontrollen zu umgehen und auf sensible Daten zuzugreifen. Das Übersehen sekundärer oder weniger sichtbarer Domains kann kritische Schwachstellen offen lassen, die Angreifer problemlos ausnutzen können. Regelmäßige Audits und gründliche Tests sind unerlässlich, um sicherzustellen, dass Sicherheitsupdates überall dort angewendet werden, wo sie benötigt werden. ### 2.5 Sicherheitslücke #5: Anfällige zweite Domain Dieser Mangel an angemessener Aufsicht erstreckte sich auf die sekundäre Domain, die bei dem Datenleck eine Schlüsselrolle spielte. Obwohl die Domain nicht aktiv genutzt wurde, blieb sie über einen längeren Zeitraum online und ungeschützt. Obwohl sie für den täglichen Betrieb nicht erforderlich war, wurde sie weder mit angemessenen Zugriffskontrollen gesichert noch stillgelegt, was Angreifern einen einfachen Einstiegspunkt bot. Selbst wenn sie nicht aktiv genutzt werden, können solche Domains immer noch als Angriffsvektoren dienen, wenn Schwachstellen vorhanden sind. Um diese Risiken zu mindern, sollten Unternehmen ihre digitalen Assets regelmäßig prüfen, ungenutzte Domains umgehend stilllegen oder das gleiche Sicherheitsniveau wie bei aktiven Systemen anwenden. ## 3. Wie lassen sich solche Datenlecks vermeiden? Um Datenlecks wie den Optus-Hack zu verhindern und das Risiko von Reputationsschäden zu mindern, können Unternehmen verschiedene Sicherheitsstrategien anwenden, die im Folgenden erläutert werden: ### 3.1 Gegenmaßnahme #1: Beziehen Sie sich auf das OWASP API Security Project Das OWASP API Security Project ist eine regelmäßig aktualisierte Ressource, die bekannte API-Sicherheitsrisiken aufzeigt. Es ist für Cybersicherheitsteams unerlässlich, diese Datenbank routinemäßig zu überwachen, um Schwachstellen zu identifizieren und zu beheben, die ihr Unternehmen beeinträchtigen könnten. Es deckt eine Vielzahl potenzieller Risiken ab, zum Beispiel: - **Broken Object Level Authorization (BOLA):** Lücken in den Zugriffsberechtigungen von Benutzern, die einen unbefugten Datenzugriff ermöglichen. - **Excessive Data Exposure:** APIs, die mehr Informationen als nötig zurückgeben und so das Risiko von Datenlecks bei sensiblen Daten erhöhen. - **Security Misconfigurations:** Falsch ausgerichtete Einstellungen oder Standardwerte, die sensible APIs Angriffen aussetzen. - **Injection Flaws:** Angreifer nutzen APIs aus, um bösartige Befehle oder Daten einzuschleusen. ### 3.2 Gegenmaßnahme #2: Sichern Sie alle APIs mit einem Authentifizierungsprotokoll Das OWASP API Security Project **hebt unauthentifizierte APIs als zweithäufigste API-Schwachstelle hervor**. Diese APIs erfordern weder einen Benutzernamen, ein Passwort noch eine andere Authentifizierungsmethode, um eine Verbindung herzustellen, was sie sehr anfällig für Ausbeutung macht. Diese Art von Schwachstelle spielte beim Optus-Datenleck eine zentrale Rolle. In einigen Fällen werden APIs absichtlich unauthentifiziert gelassen, um die Kompatibilität mit Altsystemen aufrechtzuerhalten oder zu Testzwecken. Es ist wahrscheinlich, dass Optus seine API aus ähnlichen Gründen unauthentifiziert gelassen hat. Doch egal, wie wichtig Tests oder Anforderungen an Altsysteme sein mögen, die Bereitstellung einer API – ob intern oder öffentlich – ohne Authentifizierung stellt ein erhebliches Sicherheitsrisiko dar. **So verhindern Sie die Ausnutzung unauthentifizierter APIs** Um Ihre APIs zu schützen, sollte jede Verbindungsanfrage mit **Multi-Faktor-Authentifizierung (MFA)** gesichert sein. MFA bietet eine zusätzliche Schutzschicht, indem sie mehrere Formen der Verifizierung erfordert. Dies macht sie zu einer der effektivsten und unkompliziertesten Methoden, um unbefugten Zugriff auf APIs und Benutzerkonten zu blockieren. **Versteckte API-Schwachstellen identifizieren** Eine API-Sicherheitsrichtlinie ist nur dann effektiv, wenn alle zu schützenden APIs erfasst sind. Aber was passiert, wenn Ihr Unternehmen unwissentlich durch eine öffentliche API gefährdet ist, wie es bei Optus der Fall war? Versteckte oder übersehene APIs sind mit Standard-Scan-Tools schwer zu erkennen. Der effektivste Weg, sie aufzudecken, sind **Penetrationstests**, um Schwachstellen aufzuzeigen wie: - **Schwache Authentifizierungsmechanismen:** Systeme, die Klartext-Passwörter oder schlecht gehashte Anmeldeinformationen akzeptieren. - **Anfälligkeit für Credential Stuffing oder Brute-Force-Angriffe:** Die massenhafte Ausnutzung gestohlener Benutzernamen und Passwörter. - **Manipulation von API-Parametern:** Offenlegung sensibler Authentifizierungsdaten in URLs oder Antworten. ## 4. Fazit Zusammenfassend lässt sich sagen, dass das Optus-Datenleck die entscheidende Bedeutung der Implementierung robuster Cybersicherheitsmaßnahmen und der regelmäßigen Überprüfung digitaler Assets unterstreicht. Das Versäumnis, APIs zu sichern, ordnungsgemäße Authentifizierungsprotokolle durchzusetzen und übersehene Schwachstellen auf sekundären Domains zu beheben, trug erheblich zu diesem Vorfall bei. Durch die Übernahme von Best Practices der Branche, wie sie im OWASP API Security Project beschrieben sind, und die Priorisierung umfassender Sicherheitsstrategien können Unternehmen sich vor ähnlichen Verstößen schützen, sensible Kundendaten sichern und vor allem das Vertrauen ihrer Benutzer wahren. ## Häufig gestellte Fragen ### Welche personenbezogenen Daten wurden beim Optus-Datenleck gestohlen und warum ist das so schädlich? Die ungeschützte API gab Angreifern direkten Zugriff auf Führerscheinnummern, Telefonnummern, Geburtsdaten und Privatadressen. Diese Datenarten sind besonders wertvoll für Identitätsdiebstahl und Betrug, was den Vorfall für die betroffenen Kunden so gefährlich macht. ### Warum sollte ein Unternehmen eine API überhaupt unauthentifiziert lassen? APIs werden manchmal absichtlich unauthentifiziert gelassen, um die Kompatibilität mit Altsystemen aufrechtzuerhalten oder zu Testzwecken, was bei Optus wahrscheinlich der Fall war. Die Bereitstellung einer API, ob intern oder öffentlich, ohne Authentifizierung stellt jedoch unabhängig von der betrieblichen Rechtfertigung ein erhebliches Sicherheitsrisiko dar. ### Wie können Sicherheitsteams versteckte oder übersehene APIs entdecken, bevor Angreifer sie ausnutzen? Standard-Scan-Tools haben Schwierigkeiten, versteckte oder übersehene APIs zu erkennen. Der effektivste Ansatz sind Penetrationstests, die schwache Authentifizierungsmechanismen, Anfälligkeit für Credential-Stuffing-Angriffe und sensible Authentifizierungsdaten, die in URLs oder API-Antworten offengelegt werden, aufdecken können. ### Was ist das OWASP API Security Project und wie hilft es Unternehmen, Datenlecks wie bei Optus zu vermeiden? Das OWASP API Security Project ist eine regelmäßig aktualisierte Ressource, die bekannte API-Sicherheitsrisiken wie Broken Object Level Authorization, Excessive Data Exposure, Security Misconfigurations und Injection Flaws katalogisiert. Cybersicherheitsteams sollten es routinemäßig überwachen, um Schwachstellen zu identifizieren und zu beheben, bevor Angreifer sie ausnutzen können.