Odido-Datenleck: Millionen Kunden von Identitätsbetrug bedroht

Der größte Datendiebstahl in der niederländischen Geschichte eskaliert. Nach der Veröffentlichung von 6,6 Millionen Kundendatensätzen durch die Hackergruppe ShinyHunters hat die Staatsanwaltschaft eine Strafuntersuchung eingeleitet. Die Folgen sind bereits spürbar: Die Meldungen zu Identitätsbetrug haben sich mehr als verdoppelt.

Der Fall Odido zeigt drastisch, wie Hacker über einfache Phishing-Mails Zugriff auf Millionen Kundendaten erlangen können. Schützen Sie Ihr Unternehmen effektiv vor solchen Angriffen mit unserer praxiserprobten 4-Schritte-Anleitung. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Strafrechtliche Ermittlungen und Regulierungsdruck

Die niederländische Staatsanwaltschaft prüft nun die genauen Umstände des Cyberangriffs und mögliche Fahrlässigkeiten des Telekommunikationsanbieters Odido. Im Fokus steht die Frage, ob ausreichende Sicherheitsvorkehrungen zum Schutz der sensiblen Daten getroffen wurden.

Parallel ermittelt die niederländische Datenschutzbehörde wegen möglicher Verstöße gegen die Datenschutz-Grundverordnung (DSGVO). Ein zentraler Prüfpunkt ist das Prinzip der Datenminimierung. Berichten zufolge speicherte Odido sensible Metadaten – darunter Passkopien und interne Kundendienstnotizen – länger als nötig in einer angreifbaren Umgebung. Selbst Daten ehemaliger Kunden, die den Anbieter teils vor Jahren verlassen hatten, blieben im kompromittierten System. Bei Verstößen drohen dem Unternehmen massive Geldstrafen neben den strafrechtlichen Konsequenzen.

Identitätsbetrug nimmt explosionsartig zu

Die praktischen Auswirkungen des Lecks sind bereits akut. Die zentrale Meldestelle für Identitätsbetrug verzeichnete in den letzten Tagen einen mehr als doppelten Anstieg an Anfragen zu Odido. Hunderte bestätigte Betrugsfälle wurden bereits registriert.

Das gestohlene Datenpaket enthält unveränderliche persönliche Details: Vollständige Namen, Adressen, Geburtsdaten, Bankverbindungen und Gültigkeitsdaten von Ausweisdokumenten. Besonders brisant: Auch interne Sicherheitsfragen und Kundendienstnotizen wurden erbeutet. Diese Informationen geben Kriminellen exakt die Antworten in die Hand, um Identitätsprüfungen bei Banken oder Behörden zu umgehen. Die Behörden warnen eindringlich vor betrügerischen Anrufen und Nachrichten, bei denen sich Täter als Odido-Mitarbeiter oder Bankangestellte ausgeben.

So lief der Angriff ab – Prominente unter den Opfern

Der Angriff datiert auf das Wochenende des 7. und 8. Februar 2026. Die Gruppe ShinyHunters gelangte zunächst per Phishing-E-Mails an die Login-Daten von Kundenservice-Mitarbeitern. Anschließend gaben sich die Hacker als interne IT-Mitarbeiter aus, um die Zwei-Faktor-Authentifizierung zu umgehen. So erhielten sie Zugriff auf eine Salesforce-Kundenkontaktumgebung, aus der sie mit automatisierten Skripten Millionen Datensätze abzogen.

Da 73 % der Unternehmen unzureichend auf Cyberangriffe vorbereitet sind, ist eine proaktive Stärkung der IT-Sicherheit heute wichtiger denn je. Dieser Experten-Report enthüllt effektive Strategien, wie Sie Ihre Organisation ohne Budget-Explosion gegen Cyberkriminelle wappnen. Gratis E-Book zu Cyber-Security-Trends sichern

Unter den Betroffenen sind hochsensible Personengruppen: Medienberichten zufolge enthält das Datenpaket Informationen von vier niederländischen Ministern, Mitarbeitern des Geheimdienstes und Personen unter staatlichem Schutz. Zudem wurden Daten von mehr als 16.000 Angestellten aus strategischen Schlüsselsektoren gestohlen, darunter Mitarbeiter des Halbleiterherstellers ASML, des Rüstungskonzerns Thales und des Elektronikriesen Philips. Odido lehnte eine Lösegeldforderung der Hacker in Höhe von etwa einer Million Euro ab.

Branche muss Datenhunger überdenken

Experten sehen im Odido-Vorfall eine deutliche Warnung vor den Schwachstellen zentralisierter Customer-Relationship-Management-Systeme (CRM). Während Telekom-Anbieter viel in die Sicherheit ihrer Kernnetze investieren, sammeln sich in Kundenservice-Plattformen enorme Mengen an Identitäts- und Finanzdaten – ein lukratives Ziel für Erpresser.

Die Reaktion des Unternehmens, betroffenen Kunden ein zweijähriges Abo für ein Sicherheitspaket anzubieten, stößt bei Datenschützern auf Kritik. Softwarelösungen bieten kaum Schutz gegen den Diebstahl unveränderlicher Ausweisnummern oder Bankdaten. Im Gegensatz zu einem Passwort lassen sich diese Informationen nicht zurücksetzen. Der Vorfall zwingt die gesamte Branche zu einer grundsätzlichen Frage: Wie viele Daten dürfen Unternehmen überhaupt sammeln und wie lange dürfen sie sie – insbesondere nach Vertragsende – speichern?

Was kommt auf Odido und die Betroffenen zu?

Odido muss sich 2026 auf anhaltenden rechtlichen und regulatorischen Druck einstellen. Verbraucherschutzorganisationen prüfen bereits Sammelklagen im Namen der 6,6 Millionen Betroffenen, vor allem für jene, deren Daten über die gesetzlichen Aufbewahrungsfristen hinaus gespeichert wurden.

Cybersicherheitsexperten rechnen mit einer anhaltenden Welle von Folgeangriffen unter Verwendung der gestohlenen Odido-Daten. Banken und Behördenportale in den Niederlanden werden wahrscheinlich verstärkte Verifizierungsmaßnahmen einführen müssen. Die Telekommunikationsbranche könnte künftig strengere Vorgaben zur Datenminimierung, zu Mitarbeiterzugriffen und zur Sicherheit von Drittanbieter-Systemen erwarten.