Der Telekommunikationskonzern T-Mobile US fürchtet, dass der erneute Cyberangriff gegen das Unternehmen Folgekosten nach sich ziehen könnte. Wie das Unternehmen in einem SEC Filing mitteilt, wurde der Angriff, von dem 37 Millionen Kunden betroffen sind, am 5. Januar bekannt. Der Angreifer soll demnach über eine Schnittstelle zur Programmierung von Anwendungen (Application Programming Interface, API) eingedrungen sein. Mit Hilfe externer Berater für Cybersicherheit sei der Angriff binnen eines Tages gestoppt worden. Es gebe zurzeit keine Hinweise darauf, dass der Angreifer Systeme oder Netzwerke kompromittiert habe.

Bezahldaten oder Passwörter von Kunden seien nicht zugänglich gewesen. Über die Schnittstelle könnten jedoch Namen, Rechnungsadressen, E-Mails, Telefonnummer, Geburtsdaten oder auch Vertragsdaten abgerufen worden sein. Die Angriffe liefen offenbar über einen längeren Zeitraum: Den ersten Zugriff schätzt T-Mobile US auf etwa den 25. No­vem­ber 2022.

Für das Unternehmen ist es der zweite schwere Cyberangriff seit 2021. Damals bestätigte T-Mobile US im August, dass die Daten mehrerer Millionen Kunden von einer Attacke betroffen waren. Seitdem arbeitet der Konzern nach eigenen Angaben mit externen Beratern daran, seine Cybersicherheit zu verbessern. Man habe bereits „substanzielle Fortschritte“, heißt es in dem SEC Filing. Das Cybersicherheitsprogramm solle durch weitere Investitionen gestärkt werden, Details nannte das Unternehmen nicht. Der neuerliche Cyberangriff könne nun erhebliche Aufwendungen („significant expenses“) nach sich ziehen, gibt T-Mobile US in dem Schreiben an die Börsenaufsicht an. Wesentliche Auswirkungen auf das Geschäft, etwa durch verändertes Kundenverhalten, erwartet der Konzern nach derzeitigem Stand nicht, verweist aber auf die noch andauernde Aufarbeitung des Cyberangriffs. Diese könne noch weitere Erkenntnisse zutage fördern.

Eine Sammelklage von Opfern der 2021 bekannt gewordenen Cyberattacke wendete T-Mobile US Medienberichten zufolge über einen Vergleich ab. Neben einer Zahlung von 350 Mill. Dollar an die Betroffenen soll sich das Unternehmen damals verpflichtet haben, 150 Mill. Dollar in neue Sicherheitstechnologie zu investieren.