Der kanadische Outsourcing-Spezialist Telus Digital, eine Einheit des Telekommunikationskonzerns Telus, hat einen schwerwiegenden Cyberangriff mit Datenabfluss bestätigt. Die Hackergruppe ShinyHunters reklamiert den Diebstahl von nahezu einem Petabyte an Informationen – ein Vorfall, der bereits jetzt als einer der bedeutendsten Angriffe auf einen BPO-Provider (Business Process Outsourcing) der letzten Jahre gilt.
Telus Digital unter Beschuss: Rolle als BPO-Anbieter und erste Bestätigung
Telus Digital übernimmt für internationale Unternehmen zentrale Geschäftsprozesse: Kundenservice und Callcenter, Content-Moderation, die Implementierung und den Betrieb von KI-basierten Services sowie weitere ausgelagerte Geschäftsabläufe. Solche BPO-Dienstleister sind besonders attraktive Ziele, da ein erfolgreicher Angriff potenziell den Zugriff auf Daten zahlreicher Unternehmenskunden eröffnet.
Nach Recherchen von BleepingComputer lagen bereits seit Januar 2026 Hinweise auf einen möglichen Sicherheitsvorfall vor, ohne dass Telus Digital dies zunächst öffentlich kommentierte. Inzwischen hat das Unternehmen den unautorisierten Zugriff auf eine begrenzte Zahl von Systemen eingeräumt und eine forensische Untersuchung gemeinsam mit Sicherheitsspezialisten und Strafverfolgungsbehörden gestartet.
Telus Digital betont, dass die laufenden Geschäftsprozesse weiterhin verfügbar seien und verdächtige Aktivitäten schnell eingedämmt wurden. Die von ShinyHunters behauptete Datenmenge legt jedoch nahe, dass es sich um eine mehrstufige, über einen längeren Zeitraum andauernde Kompromittierung der Infrastruktur handelt.
Angriffsvektor: von gestohlenen Cloud-Zugangsdaten zu BigQuery
Laut ShinyHunters gelang der Einstieg über Konto- und Zugangsdaten zur Google Cloud Platform (GCP), die bereits bei einem früheren Vorfall abgeflossen sein sollen. Diese Zugangsdaten stammten demnach aus Datenbeständen, die beim Angriff auf die Plattform Salesloft Drift und darüber verbundene Salesforce-Umgebungen von hunderten Unternehmen entwendet wurden.
Sicherheitsexperten von Mandiant hatten bereits im Zusammenhang mit diesen früheren Vorfällen davor gewarnt, dass gestohlene Datenbestände systematisch auf Cloud-Accounts, Zugriffstoken und API-Schlüssel analysiert werden. Solche „digitalen Schlüssel“ ermöglichen es Angreifern, Sicherheitsperimeter zu umgehen und direkt in Cloud-Umgebungen einzudringen – ein Muster, das sich im Fall Telus Digital offenbar bestätigt.
Missbrauch der Google Cloud Platform und BigQuery
Nach dem ersten Zugriff sollen die Angreifer umfangreiche Berechtigungen innerhalb der GCP-Umgebung von Telus Digital erlangt haben, darunter einen großen BigQuery-Cluster. BigQuery ist ein skalierbarer Analytics-Dienst von Google, der häufig als zentrales Datenspeicher- und Auswertungssystem eingesetzt wird. Wer hier Zugriff erhält, kann oft auf große Teile der analytischen Unternehmensdaten zugreifen.
TruffleHog: Automatisierte Suche nach geheimen Schlüsseln
ShinyHunters gibt an, anschließend das Open-Source-Tool TruffleHog eingesetzt zu haben. TruffleHog durchsucht Quellcode, Konfigurationsdateien und Logs nach Passwörtern, Tokens und anderen sensiblen „Secrets“. In vielen Unternehmen finden sich solche Secrets noch immer im Klartext in Skripten, Konfigurationsdateien oder Repositories.
Die Kombination aus großen Datenmengen in der Cloud und unzureichend geschützten Secrets ermöglicht in solchen Szenarien ein rasches laterales Bewegen innerhalb der Infrastruktur: weitere Systeme werden kompromittiert, Berechtigungen ausgebaut und schrittweise immer mehr Daten exfiltriert.
Umfang der Datenpanne: BPO-Kundendaten, KI-Systeme und Telefondaten
Nach Angaben von ShinyHunters konnten bei Telus Digital nahezu ein Petabyte an Daten abgezogen werden – darunter Informationen des Dienstleisters selbst sowie zahlreicher BPO-Kunden. Ein von den Angreifern vorgelegter, nicht öffentlich gemachter Markenliste zufolge sind mindestens mehrere Dutzend Unternehmen betroffen.
Zu den mutmaßlich entwendeten Daten gehören unter anderem:
- Support- und Callcenter-Daten einschließlich Tickets und Interaktionshistorien,
- Leistungskennzahlen und Ratings von Service-Agenten,
- vertrauliche KI- und Anti-Fraud-Lösungen für den Kundenkontakt,
- Systeme und Daten zur Content-Moderation,
- Quellcode interner Anwendungen,
- Sicherheitsüberprüfungen (Background Checks), Finanzunterlagen und Salesforce-Daten,
- Aufzeichnungen von Support-Telefonaten.
Darüber hinaus soll auch der Telko-Kernbereich von Telus betroffen sein. ShinyHunters behaupten, Zugriff auf Call Detail Records (CDR) erlangt zu haben – also Verbindungsdaten mit Zeit, Dauer, beteiligten Rufnummern und Qualitätsparametern – sowie auf Sprachaufzeichnungen und Marketingdaten. Solche Datensätze erlauben detaillierte Profile von Kundenverhalten und Kommunikationsmustern und bergen erhebliche Datenschutz- und Compliance-Risiken.
Supply-Chain-Risiken und Datenerpressung ohne Ransomware
Der Vorfall bei Telus Digital ist ein typisches Beispiel für eine Supply-Chain-Attacke: Statt jedes Zielunternehmen direkt zu attackieren, konzentrieren sich Angreifer auf zentrale Dienstleister, die Zugang zu vielen Kundensystemen haben. Laut dem Verizon Data Breach Investigations Report 2024 zählen gestohlene oder missbrauchte Zugangsdaten weiterhin zu den häufigsten Auslösern erfolgreicher Angriffe – genau dieser Mechanismus ist hier zu beobachten.
ShinyHunters geben an, Telus im Februar 2026 mit der Veröffentlichung der Daten erpresst und dafür 65 Millionen US-Dollar gefordert zu haben. Hinweise auf eine Verschlüsselung von Systemen – wie bei klassischer Ransomware – liegen bislang nicht vor. Der Fall steht damit exemplarisch für den Trend zur „reinen Datenerpressung“ (Data Extortion), bei der allein die Androhung der Veröffentlichung sensibler Informationen Druck auf Unternehmen ausübt.
Zentrale Lehren und Empfehlungen für mehr Cybersicherheit
Der Angriff auf Telus Digital verdeutlicht, wie wichtig ein systematisches Management von Identitäten, Secrets und Zugriffsrechten in Cloud- und BPO-Umgebungen ist. Unternehmen können aus diesem Fall mehrere konkrete Maßnahmen ableiten:
- Strenge Passwort- und Secret-Hygiene: Regelmäßige Rotation von Passwörtern, Schlüsseln und Tokens, kein Hardcoding von Secrets im Quellcode, konsequenter Einsatz von Secret-Managern in GCP, AWS oder Azure.
- MFA für alle privilegierten Zugriffe: Mehrfaktor-Authentifizierung und starke Absicherung von Cloud-Administrationskonten, Service-Accounts und Remote-Zugängen.
- Prinzip der geringsten Rechte (Least Privilege): Minimierung von Berechtigungen für Nutzer- und Dienstkonten, konsequente Segmentierung von Cloud-Projekten und -Netzwerken.
- Kontinuierliches Monitoring und Audit-Logs: Zentrale Auswertung von Cloud-Logs, BigQuery-Joblogs und IAM-Änderungen, um Anomalien früh zu erkennen.
- Risikomanagement für Dienstleister: BPO- und Callcenter-Provider sollten explizit in Sicherheitsaudits, Penetrationstests und Notfallübungen einbezogen werden; Sicherheitsanforderungen gehören in Verträge und SLA.
- Zero-Trust-Ansatz: Kein automatisches Vertrauen in interne oder Partner-Systeme, sondern konsequente Verifizierung jeder Anfrage – unabhängig davon, woher sie kommt.
Der Vorfall zeigt, dass Unternehmen ihre Sicherheitsstrategie nicht auf die eigene IT-Landschaft beschränken können. Organisationen, die in hohem Maße auf BPO-Services und Cloud-Plattformen setzen, sollten ihre Zugangsrichtlinien, Cloud-Konfigurationen und Lieferketten-Risiken kurzfristig überprüfen, Schwachstellen priorisieren und gezielt schließen. Wer frühzeitig in Identity- und Secret-Management, Zero Trust und ein robustes Lieferketten-Controlling investiert, reduziert das Risiko, selbst zum Kollateralschaden der nächsten groß angelegten Supply-Chain-Attacke zu werden.
