Angeblich gravierendes Sicherheitsleck bei T-Online
Bei der Deutschen Telekom gibt es angeblich ein gravierendes Datenleck, von dem bis zu 14 Millionen Kunden betroffen sein könnten. Wie das Mainzer Unternehmen RESISTO [Link entfernt] mitteilt, soll es möglich sein, die gesamte Liste der Haupt-E-Mail-Adressen von T-Online auszulesen. Diese Daten könnten möglicherweise bereits in die Hände unbefugter Dritter gelangt sein.
Wie RESISTO in einer Erklärung mitteilt, habe das Sicherheitsteam des Unternehmens das Auslesen der Mail-Adressen "unter Aufsicht von neutralen Sicherheitsexperten unter Beweis stellen können." Neben T-Online seien auch die Anbieter GMX und web.de von der Sicherheitslücke betroffen. Hier müsse man allerdings etwas mehr technischen Aufwand treiben, so dass das Herunterladen der Daten etwas länger dauere.
10 000 Testmails an ahnungslose Kunden versandt
Technisch geschehe die Abfrage sehr simpel: Die Mailadressen bei T-Online bestünden standardmäßig aus Anschlusskennung plus Mitbenutzer-Nummer. Wie Tobias Huch, der schon durch die Aufdeckung des T-Mobile-Datenskandals im Oktober 2008 bekannt wurde, gegenüber teltarif.de erklärt, habe man die Kundendatenbank der Telekom beim Formular "Passwort vergessen" einfach mit zufällig generierten Mailadressen bombardiert. Der Server sei dabei "so freundlich gewesen", mit ja oder nein zu antworten und so die Existenz einer bestimmten E-Mail-Adresse zu bestätigen.
Ingesamt habe man durch den Test rund 100 000 T-Online-Adressen ermittelt. An etwa 10 000 Kunden habe man Testmails versandt und die Betroffenen über das Sicherheitsleck informiert. Die Kunden seien zudem aufgefordert worden, sich über Datenschutz zu informieren und vor möglichen Phishing-Attacken zu schützen.
Huch fordert Telekom auf, nur noch Alias-Adressen zu nutzen
In der Mail, die teltarif vorliegt, schreibt RESISTO-Geschäftsführer Huch: "Wir fordern hiermit die Deutsche Telekom AG [auf,] die Praxis von Standard-E-Mail-Adressen zu ändern und für Kunden nur noch mit so genannten Alias-Namen zu arbeiten. Die T-Online-Kennung der Kunden gehört nicht in die Öffentlichkeit, sondern sollte nur der internen Kommunikation dienen. Auch ist eine Sicherung vor missbräuchlicher Nutzung der Kundendatenbank überfällig!"
Abfrage bei GMX und web.de würde länger dauern
Bei United Internet (GMX, web.de) müsse man per Brute-Force-Angriff vorgehen, um die Datenbank abzufragen. Huch: "Bei GMX und web.de bräuchten wir mit Sicherheit ein paar Tage oder Wochen länger, um einen großen und wertvollen Datenbestand zusammen zu haben, aber wir haben genügend Rechnerpower und eine 1000-MBit/s-Anbindung im Unternehmen, was für eine solche Unternehmung ausreichen dürfte."
Nach dem Aufdecken der Sicherheitslücken habe man "pflichtgemäß den Landesbeauftragten für Datenschutz in Rheinland-Pfalz informiert", so Geschäftsführer Huch.
Deutsche Telekom: Kein neuer Datenskandal
Im Gespräch mit teltarif.de hat Telekom-Pressesprecher Frank Domagala einen neuen Datenskandal dementiert. "Die Tatsache, dass es eine E-Mail-Adresse gibt, ist auf keinen Fall ein Datenleck", sagt Domagala. Zudem wisse man nicht, wem die E-Mail-Adresse überhaupt gehöre, eine Personalisierung habe nicht stattgefunden. Die Telekom versuche stets, ihre Kunden vor Spam-Nachrichten zu schützen: Von rund 250 Millionen E-Mails pro Tag würden etwa 90 Prozent automatisch abgeblockt.