Telekom: Schweigt sich aus zu den stürmischen Protesten gegen angebliche Sicherheitsmängel in der Kunden-Vertragsverwaltung OBSOC
"T-hack" nennt der Chaos Computer Club eine aktuelle Webseite zu einem Bericht aus der neuesten Ausgabe seines Vereinsmagazins "Datenschleuder" - und selten hat die mehr Staub aufgewirbelt. Unter der Schlagzeile "No more secrets" berichtet T-Systems-Kunde und CCC-Mitglied Dirk Heringhaus von einer zwölfmonatigen Korrespondenz mit der Telekom: Darin versuchte er, den Rosa Riesen zur Behebung virulenter Sicherheitslecks zu bewegen - mit durchwachsenem Erfolg.
Heringhaus war darüber gestolpert, dass er durch eine bloße Veränderung seiner Kundennummer in der Lage war, Einblick in die Vertragsdaten anderer Kunden zu erlangen. Er meldete den Vorgang der Telekom, die versuchte, das Leck zu stopfen. Einmal misstrauisch geworden, was den selbst deklarierten hohen Sicherheitsstandard der Telekom-Vertragsdatenbank OBSOC (Online Business Solution Operation Center) angeht, stocherte Heringhaus weiter - und wurde wiederholt fündig. Sein Befund: Von der mangelhaften Absicherung der Datenbank bis hin zum schludrigen Umgang mit der Passwortsicherheit bei T-Mitarbeitern bot und biete das System zahlreiche Angriffspunkte.
Das ganze einen "Hack" zu nennen sei dabei fast geschmeichelt: Heringhaus beschränkte sich darauf, seine Kundennummer zu variieren oder die Namen und Orte von Telekom-Niederlassungen oder Mitarbeitern als Passworte für den Systemzugang zu probieren. Das Resultat seiner zwölfmonatigen Recherche und Korrespondenz mit der Telekom hat der CCC vor zwei Monaten als "Liste mit offenen Fehlern am OBSOC-System und diversen Netzen an den Bundesbeauftragten für Datenschutz (BfD) übergeben, der diese an die Regulierungsbehörde für Telekommunikation und Post (RegTP) weiterleiten soll".
Doch das Büro des Bundesbeauftragten, behauptet der CCC, habe die Annahme der Liste verweigert. Daraufhin bereitete der Club eine Veröffentlichung des Vorgangs vor.
Öffentlicher Druck soll für Bewegung sorgen
Flankiert wird das durch eine Pressemitteilung des CCC: "Der CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem auf, umgehend ihre Kunden über dieses Problem zu informieren."
Heringhausen und der CCC dokumentieren die Geschichte des "Falles" auf eigens dafür eingerichteten Webseiten. Der Aufwand ist auch nach Meinung des Berliner IT-Sicherheitsexperten Frank Ziemann kaum übertrieben. Gegenüber tagesschau.de äußerte dieser die Vermutung, dass sich die zahlreichen Sicherheitsprobleme auch in anderen Teilen der OBSOC-Plattform fortsetzen könnten - inklusive der Online-Zahlungsabwicklung, die ebenfalls über OBSOC laufe. Ziemann: "Es spricht jedenfalls mehr dafür als dagegen. Es fehlt im Prinzip der Nachweis, dass dieses System besser abgeschottet ist als andere Untersysteme."
Ähnliches vermuten auch die CCC'ler. Ihr konkreter Vorwurf: Statt die grundlegenden Sicherheitsprobleme zu lösen, habe die Telekom zwölf Monate lang nur gekittet und Symptome bekämpft. Das aber setze die Kunden der "T-Mart Web-Services" einem fortwährenden Sicherheitsrisiko aus.
Dirk Engling von der Redaktion der "Datenschleuder": "Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen. Ein Angreifer wäre somit im Besitz sämtlicher Zugangspasswörter aller Kunden dieser auf OBSOC basierenden Dienstleistung".
tagesschau.de dokumentierte die Sicherheitslecks unter anderem mit Abbildungen aus einem Verzeichnis des Bundesnachrichtendienstes BND, bei dem E-Mailadressen die zugehörigen Passworte (geschwärzt) zugeordnet sind.
Von Seiten der Telekom gibt es bisher keine verbale Stellungnahme zu den Vorwürfen. Bis dahin aber will der CCC deren Kunden beruhigen: "Bis zu dieser abschließenden Klärung kann der Chaos Computer Club die vielen Betroffenen wie z.B. Bundesnachrichtendienst, Deutsche Bundesbank, Bundesgrenzschutzdirektion und Bundesamt für den Zivildienst nur in dem Punkt beruhigen, dass deren Daten zumindest beim CCC sicher sind."
Das sind sie mit Sicherheit auch bei der Telekom, denn die nahm am Dienstag kommentarlos ihre OBSOC-basierten Webservices vom Netz. Kunden, die sich trotz der laufenden Diskussion um potenzielle Sicherheitsmängel einloggen wollen, laufen nun vor die virtuelle Wand: "Sehr geehrter Kunde, zu unserem Bedauern ist diese Plattform aus technischen Gründen zur Zeit nicht zu erreichen."
Frank Patalong
Auf anderen Social Networks posten:
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
| alles aus der Rubrik Netzwelt | Twitter | RSS |
| alles aus der Rubrik Tech | RSS |
© SPIEGEL ONLINE 2004
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
Wetter
