Londoner Datenleck: Zehn Millionen Fahrgäste betroffen

Eine 2024 gehackte Datenbank enthüllt das volle Ausmaß des Mega-Leaks bei Londons Verkehrsbetrieben. Die Behörde hatte die Dimensionen massiv unterschätzt.

Der Cyberangriff auf Transport for London (TfL) war weitaus gravierender als bekannt. Neue Erkenntnisse bestätigen: Persönliche Daten von rund zehn Millionen Menschen wurden gestohlen. Diese Zahl, die erst jetzt durch einen Hacker an die Öffentlichkeit gelangte, übertrifft die ursprünglichen Schätzungen der Behörde bei weitem. Das Datenleck zählt zu den größten seiner Art in der britischen Geschichte und wirft kritische Fragen zu Transparenz und Datenschutz auf. Adressen, Telefonnummern und E-Mails der Betroffenen kursieren nun im Darknet.

Der massive Datendiebstahl bei TfL zeigt drastisch, wie verwundbar Organisationen durch moderne Hacker-Methoden geworden sind. In diesem kostenlosen Report erfahren Sie, welche Strategien Kriminelle aktuell nutzen und wie Sie Ihr eigenes Unternehmen wirksam schützen. 4-Schritte-Anleitung zur erfolgreichen Hacker-Abwehr kostenlos herunterladen

Das wahre Ausmaß des "Scattered Spider"-Angriffs

Der ursprüngliche Hackerangriff fand zwischen Ende August und Anfang September 2024 statt. Er legte interne Computersysteme lahm. Züge und Busse fuhren zwar weiter, doch Online-Zahlungsportale und Fahrgastinformationssysteme fielen wochenlang aus. TfL hatte damals keine genauen Opferzahlen genannt und nur von einer "Teilmenge" der Kunden gesprochen.

Die wahre Dimension kam erst diese Woche ans Licht. Ein Mitglied der Hackergruppe "Scattered Spider" übergab einem Sicherheitsjournalisten über Telegram die komplette gestohlene Datenbank. Sie enthält fast 15 Millionen Datensätze. Analysen deuten auf etwa zehn Millionen eindeutige betroffene Personen hin. Die Daten umfassen vollständige Namen, E-Mail- und Privatadressen sowie Festnetz- und Mobiltelefonnummern. Der Journalist konnte die Echtheit der Datei verifizieren, indem er seine eigenen Daten darin fand.

Pannen bei der Benachrichtigung und regulatorisches Versagen

Die Enthüllung legt massive Mängel im Krisenmanagement offen. Nach Bekanntwerden der zehn Millionen betroffenen Personen bestätigte TfL, Warn-E-Mails an 7,1 Millionen Kunden mit aktiver E-Mail-Adresse geschickt zu haben. Doch die Öffnungsrate lag bei nur 58 Prozent.

Millionen Betroffene wissen somit nichts vom Diebstahl ihrer Daten. Fahrgäste ohne hinterlegte E-Mail-Adresse erhielten überhaupt keine digitale Warnung. Besonders pikant: Die britische Datenschutzaufsicht Information Commissioner's Office (ICO) hatte TfL im Februar 2025 von jeglichem Fehlverhalten freigesprochen. Angesichts der neuen Zahlen stellt sich die Frage, ob die bestehenden Compliance-Regeln Verbraucher angemessen schützen, wenn fast die Hälfte der Opfer nicht erreicht wird.

Finanzschaden und Sicherheitsfolgen

Die Kosten für die Behörde sind immens. Sie bezifferte den Schaden auf rund 39 Millionen Pfund (etwa 45 Millionen Euro). Ein Großteil floss in die System-Sanierung und externe IT-Sicherheitsunterstützung.

Fälle wie der TfL-Hack verdeutlichen, dass mangelnde IT-Sicherheit nicht nur Daten, sondern auch die finanzielle Stabilität von Unternehmen gefährdet. Dieser Experten-Report zeigt Geschäftsführern und IT-Verantwortlichen effektive Strategien auf, um das Sicherheitsniveau ohne Budget-Explosion deutlich zu steigern. Kostenlosen Cyber-Security-Leitfaden für Unternehmen sichern

Während die Hauptdatenbank Standard-Kontaktdaten enthielt, war für eine kleinere Gruppe das Risiko extrem hoch. Bei etwa 5.000 Kunden waren möglicherweise auch Bankverbindungen betroffen, die für Rückerstattungen auf ihre Oyster-Karten hinterlegt waren. Diese Hochrisikogruppe wurde per E-Mail und Post kontaktiert und erhielt besondere Unterstützung. Die Tat wird der englischsprachigen Hackergruppe "Scattered Spider" zugeschrieben, die für Social-Engineering-Angriffe und SIM-Swapping berüchtigt ist.

Systemisches Problem und internationale Vergleiche

Die verspätete Aufklärung des wahren Ausmaßes zeigt ein systemisches Problem im Umgang mit Datenpannen auf. Oft wird der volle Umfang erst lange nach dem Vorfall klar. Eine Datenbank mit zehn Millionen verifizierten Pendler-Daten ist im digitalen Untergrund ein Schatz von unschätzbarem Wert. Sicherheitsexperten warnen: Selbst wenn die Daten noch nicht aktiv missbraucht werden, dienen sie noch Jahre als Grundlage für gezielte Phishing-Angriffe und Betrugskampagnen.

Der Fall offenbart auch einen krassen Unterschied zu internationalen Meldepflichten. Im Gegensatz zu Ländern wie den Niederlanden, Japan oder Südkorea sind Unternehmen in Großbritannien nicht gesetzlich verpflichtet, die genaue Zahl der Betroffenen öffentlich zu machen. Dieser Mangel an Transparenz behindert den Kampf gegen Cyberkriminalität und macht Bürger anfällig für Betrug.

Ausblick: Prozess und politische Konsequenzen

Die strafrechtliche Aufarbeitung läuft. Zwei britische Teenager, die im Zusammenhang mit dem Angriff angeklagt wurden, müssen sich im Juni 2026 vor Gericht verantworten. Der Prozess könnte neue Erkenntnisse über die ausgenutzten Sicherheitslücken liefern.

Die betroffenen Fahrgäste sollten weiterhin besonders wachsam bei unerwünschten Nachrichten sein, die auf ihre Verkehrskonten oder Adressen verweisen. Der beispiellose Datendiebstahl könnte zum Katalysator für schärfere Gesetze werden. Verbraucherschützer dürften nun auf strengere Transparenzregeln für Betreiber kritischer Infrastrukturen drängen. Öffentliche Einrichtungen müssten dann verpflichtet werden, bei Mega-Datenlecks wirksamere Kommunikationsstrategien umzusetzen.