MSIT schließt KT-Sicherheitslücke: Mangelhaftes Femtozellen-Management als Ursache identifiziert

Das Ministerium für Wissenschaft und IKT (MSIT) gab am Montag, dem 29. Dezember 2025, die abschließenden Ergebnisse seiner Untersuchung des Sicherheitsvorfalls bei der KT Corp. bekannt. Die umfassende Prüfung ergab, dass die Hauptursache für die Schwachstelle in der unzureichenden Aufsicht und den mangelhaften Managementprotokollen des Mobilfunkanbieters bezüglich seiner Femtozellen-Infrastruktur lag. Diese kleinen Basisstationen dienen der lokalen Netzwerkerweiterung. Diese systematische Vernachlässigung schuf eine ausnutzbare Umgebung, die die Einführung illegaler Femtozellen ermöglichte, welche daraufhin unbefugten Zutritt zur proprietären internen Netzwerkarchitektur von KT verschafften.

Dieser Sicherheitsmangel hatte zwei wesentliche Konsequenzen: die Ermöglichung nicht autorisierter mobiler Zahlungsvorgänge und die weitreichende Offenlegung sensibler Kundendaten. Der finanzielle Schaden belief sich auf nicht genehmigte Mikrozahlungen in Höhe von insgesamt 243 Millionen Won, umgerechnet etwa 167.000 US-Dollar, wovon 368 Nutzer betroffen waren. Das Ausmaß des Datenkompromisses war jedoch weitaus größer und betraf 22.227 Nutzer. Deren persönliche Identifikationsmerkmale, einschließlich Mobiltelefonnummern, International Mobile Subscriber Identity (IMSI)-Nummern und International Mobile Equipment Identity (IMEI)-Nummern, wurden entwendet.

Die forensische Analyse, durchgeführt von einem gemeinsamen Untersuchungsteam aus Regierung und Privatwirtschaft, deckte eine kritische Schwachstelle im Geräteauthentifizierungsmechanismus auf. Konkret teilten alle von KT ausgegebenen Femtozellen ein identisches, vom Hersteller ausgestelltes digitales Zertifikat. Dieses Zertifikat besaß eine ungewöhnlich lange Gültigkeitsdauer von bis zu zehn Jahren. Diese Konfiguration bedeutete, dass ein Angreifer nach erfolgreicher Kopie dieses einzelnen Zertifikats den unbefugten Netzwerkzugriff nahezu ein Jahrzehnt lang aufrechterhalten konnte. Darüber hinaus stieß die Untersuchung auf eine erhebliche interne Malware-Präsenz: Es wurden 94 KT-Server identifiziert, die mit 103 verschiedenen Arten von Schadcode infiziert waren, darunter BPFDoor und Rootkit. Einige dieser Infektionen reichen Berichten zufolge bis in den April 2022 zurück.

Das MSIT kam letztendlich zu dem Schluss, dass KT nachweislich gegen seine vertragliche Verpflichtung verstoßen hatte, sichere Dienste bereitzustellen, wodurch alle Abonnenten einem potenziellen Bedrohungsrisiko ausgesetzt wurden. Dieser Vorfall reiht sich in eine Reihe von Prüfungen des Sektors ein, da bereits der Konkurrent von KT, SK Telecom, wegen eines eigenen Datenlecks mit einer Geldstrafe von 134,8 Milliarden Won belegt worden war. Das Ministerium hat KT angewiesen, unverzüglich strenge Sicherheitsverbesserungen einzuleiten. Dazu gehören die regelmäßige Rotation der IP-Adresse des Authentifizierungsservers und die Etablierung robuster Erkennungssysteme für nicht autorisierte Femtozellen-Verbindungen. KT ist verpflichtet, innerhalb eines Monats einen umfassenden Sanierungsplan vorzulegen. Eine anschließende staatliche Inspektion zur Überprüfung der Einhaltung ist für Juni 2026 angesetzt.

Angesichts der Schwere der Sicherheitsmängel signalisierte das MSIT, dass Mobilfunkanbieter generell bald angewiesen werden könnten, Stornogebühren für Nutzer zu erlassen, die zu Wettbewerbern wechseln. Unabhängig davon meldeten Strafverfolgungsbehörden die Festnahme von zwei chinesischen Staatsbürgern im Zusammenhang mit dem finanziellen Betrugsteil des Falles.

In einer parallelen Entwicklung berichtete das MSIT über ein behinderndes Ergebnis seiner gesonderten Untersuchung bezüglich eines Datenlecks bei der LG Uplus Corp., das erstmals im Juli 2025 bekannt wurde. Das Ministerium führte aus, dass LG Uplus durch die Einreichung gefälschter Dokumentationen und die Neuinstallation von Betriebssystemen auf betroffenen Servern nach der Anleitung der Korea Internet & Security Agency (KISA) unlauter gehandelt habe. Diese Maßnahmen behinderten eine gründliche forensische Untersuchung erheblich. Obwohl das Abfließen von Informationen aus LG Uplus' integrierter Passwortverwaltungslösung APPM bestätigt wurde, führte die Behinderung dazu, dass das MSIT formell eine polizeiliche Untersuchung gegen LG Uplus wegen des Verdachts der Strafvereitelung beantragte.

Schlüsselserver entlang des Netzwerkpfades wurden zwischen dem 12. August und dem 15. September neu installiert oder entsorgt, nachdem KISA am 19. Juli eine Zugangsanweisung erteilt hatte. Wissenschaftsminister Bae Kyung-hoon betonte die Tragweite der Angelegenheit und hob hervor, dass Informationssicherheit eine grundlegende Voraussetzung für die Überlebensfähigkeit von Unternehmen und die Aufrechterhaltung eines vertrauenswürdigen Dienstleistungsökosystems für die Nation sei. Die laufenden regulatorischen Schritte unterstreichen das verstärkte Engagement der südkoreanischen Regierung, die Rechenschaftspflicht bei der Sicherung kritischer Infrastrukturen durchzusetzen.