CNIL verhängt Rekordstrafe gegen Free und Free Mobile nach Datenleck

Die französische Datenschutzbehörde CNIL hat gegen die Telekommunikationsanbieter Free und Free Mobile eine Rekordstrafe von insgesamt 42 Millionen Euro verhängt. Grund ist ein massives Datenleck, das sensible Informationen von über 24 Millionen Kunden preisgab.

Die Sanktionen, die heute bekannt wurden, treffen beide Unternehmen der Iliad-Gruppe. Free Mobile muss 27 Millionen Euro zahlen, der Festnetzanbieter Free 15 Millionen Euro. Die Strafe ist eine der höchsten ihrer Art in Frankreich und folgt auf einen Cyberangriff aus dem Jahr 2024.

Die Untersuchung der CNIL offenbarte gravierende Sicherheitslücken, die gegen die EU-Datenschutzgrundverordnung (DSGVO) verstoßen. Die Angreifer nutzten ein schlecht gesichertes Virtual Private Network (VPN) für Mitarbeiter als Einstiegspunkt. Über dieses drangen sie zu einem internen Abonnentenverwaltungstool namens MOBO vor.

Viele Unternehmen unterschätzen, wie eine einzelne schlecht gesicherte VPN-Verbindung ganze Kundendaten offenlegen kann – und wie teuer das wird (in Frankreich: 42 Millionen Euro Strafe). Das kostenlose E‑Book «Cyber Security Awareness Trends» erklärt aktuelle Angriffswege, typische Fehlkonfigurationen (inkl. VPN) und konkrete Sofortmaßnahmen, mit denen Sie Ihre IT schnell härten können. Für Geschäftsführer und IT‑Verantwortliche: Praxisnahe Checklisten und eine Prioritätenliste. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

Der Angriff begann Ende September 2024. Das Unternehmen bemerkte den Einbruch jedoch erst am 21. Oktober – nach einer Warnung der Hacker selbst. Zu diesem Zeitpunkt hatten die Cyberkriminellen bereits seit dem 6. Oktober massenhaft Daten abgezogen. Betroffen waren Informationen zu rund 24,6 Millionen Verträgen.

Die Behörde kritisierte fundamental verfehlte Sicherheitsvorkehrungen. Die Authentifizierung für das VPN sei nicht robust genug gewesen. Zudem hätten die Unternehmen keine wirksamen Maßnahmen zur Erkennung anomaler Systemaktivitäten gehabt.

Millionen Bankverbindungen im Darknet

Besonders brisant: Unter den gestohlenen Daten befanden sich Millionen International Bank Account Numbers (IBANs). Die Kombination aus Bankdaten und persönlichen Identifikationsmerkmalen erhöht das Risiko für Betrug und gezielte Phishing-Angriffe auf die Kunden erheblich.

Zwar betonte das Unternehmen bei der ersten Bekanntgabe 2024, dass Passwörter und Kreditkartendetails nicht kompromittiert worden seien. Das Ausmaß des Lecks persönlicher und finanzieller Daten wirft dennoch ernste Fragen zur Identitätssicherheit der Betroffenen auf.

Klare Botschaft an die Industrie: DSGVO ist ernst zu nehmen

Die Höhe der Strafe sendet ein deutliches Signal. Die CNIL begründet sie mit drei Hauptverstößen gegen die DSGVO: unzureichende Sicherheitsmaßnahmen, mangelhafte Kommunikation gegenüber den Betroffenen und Nichteinhaltung von Aufbewahrungsfristen für Altkundendaten.

Die Bemessung orientierte sich am hohen Umsatz und Gewinn der Iliad-Gruppe, der extrem sensiblen Natur der gestohlenen Daten und einem von der Behörde monierten „Mangel an Kenntnis essenzieller Sicherheitsprinzipien“. Die Entscheidung reiht sich in eine europaweite Tendenz verschärfter DSGVO-Durchsetzung ein.

Was bedeutet das für Kunden und Branche?

Free und Free Mobile sind nun verpflichtet, ihre Sicherheitsarchitektur weiter zu verbessern. Seit der Entdeckung des Lecks haben die Unternehmen nach eigenen Angaben bereits Maßnahmen ergriffen. Der Vorfall wird das Kundenvertrauen jedoch nachhaltig erschüttern und von der gesamten Telekommunikationsbranche aufmerksam verfolgt werden.

Für die betroffenen Kunden gilt: Besondere Wachsamkeit bei verdächtigen E-Mails und regelmäßige Kontrolle der Kontoauszüge sind jetzt unerlässlich. Der Fall unterstreicht die Notwendigkeit mehrstufiger Sicherheitssysteme mit starker Authentifizierung und permanenter Überwachung. In Zeiten immer raffinierterer Cyberangriffe bleibt Datenschutz Chefsache – sonst wird es teuer.

PS: Wenn Bankdaten und IBANs auf dem Spiel stehen, reicht oft kein Bauchgefühl mehr. Das Gratis‑E‑Book «Cyber Security Awareness Trends» zeigt, wie Sie ohne große Budgets Ihre Abwehr signifikant verbessern – von der Erkennung anomalen Verhaltens bis zu effektiven Mitarbeiterschulungen gegen Phishing. Ideal für Management und Sicherheitsverantwortliche, die schnell wirksame Schritte umsetzen wollen. Gratis‑E‑Book jetzt anfordern