Die Telekom-Tochter T-Com bietet mit ihrem Dienst webeasy zahlreiche Produkte aus dem Internet-Bereich. Unter anderem können Internet-Auftritte geordert und verwaltet werden. Kunden, die webeasy nutzen, speichern dort in der Regel wichtige Daten über Kunden, Bestellungen und das eigene Unternehmen. Alle Server und Systemkomponenten würden rund um die Uhr betreut und seien wirkungsvoll vor unbefugten Zugriffen aus dem Internet geschützt, wirbt T-Com für den webeasy-Dienst.
Doch dem Chaos Computer Club (CCC) zufolge, einem Verein von Informatik-Fachleuten, sei es möglich gewesen, durch einfache Manipulation Daten anderer Kunden einzusehen, zu verändern und eMails, die über Webseiten der Kunden gingen, abzufangen, mitzulesen sowie zu verändern. Durch unzureichend geschützte Passworte war der Zugriff auf mindestens mehrere tausend Kundenkonten möglich, offenbar überwiegend von Firmen, aber auch von Behörden und Botschaften. Nach Ansicht des CCC betreffen die Probleme zahlreiche Angebote der T-Com, wie zum Beispiel sämtliche Dienste des T-Mart Web-Services, IntraSelect oder das Telekom-System Brainloop. Ein Teil der Sicherheitsprobleme existiere noch immer.
Auf die Sicherheitslücken war ein Software-Fachmann bei der Verwaltung eines Accounts bei der T-Com gestoßen. Durch einfachste Manipulationen war es gelungen, Einblick in die Vertragsdaten anderer Kunden, wie Firmen, Behörden und öffentlichen Einrichtungen, die Webauftritte bei der Telekom haben, zu gewinnen. Dabei wäre es möglich gewesen, Kundendaten zu manipulieren, Leistungen hinzuzukaufen oder eMail-Konten weiterzuleiten. Letztlich sei auch der Zugriff auf so genannte „Betriebsdatenblätter“ der Telekom-Kunden möglich gewesen, in denen sich auch die kompletten Passworte zur Verwaltung von Webseiten und der dazu gehörenden eMails befinden. Zuletzt gelang es dem IT-Experten durch einfache Manipulationen von Abfragen an Telekom-Server, Administratoren-Passwörter zu erhalten, mit denen der volle Zugriff auf Kunden-Accounts auf Administratoren-Ebene möglich war. eMails, die über die Webpräsenzen zum Beispiel des Bundesnachrichtendienstes liefen, waren einzusehen, ohne dass dies von den Kunden bemerkt werden konnte. Nach Angaben der Experten des CCC wäre es auch problemlos möglich gewesen, den eMail-Verkehr zwischen Kunden und den Besitzern der Websites komplett zu manipulieren.
Erheblich vereinfacht wurden die Manipulationen durch zu einfache Passwort-Regeln im T-Com-System sowie eine schlampige Passwort-Einrichtung durch Telekom-Mitarbeiter. Diese verwendeten offenbar mehrfach ihren Nutzernamen lediglich leicht verändert als Passwort. „Es ist ja anscheinend so, dass an den Stellen, wo normalerweise massive Betonwände sein sollten, bestenfalls japanische Reispapierwände oder großmaschige Fischernetze vorhanden sind“, sagte ein IT-Experte und Unternehmensberater gegenüber tagesschau.de. Die Sicherheitslücken seien so umfangreich, dass das ganze System überarbeitet werden müsse.
Der Software-Fachmann, der auf die Sicherheitslücken aufmerksam wurde, informierte die Telekom unmittelbar nach der Entdeckung der ersten Sicherheitslücken im Mai 2003. Auch auf immer wieder neu entdeckte Lücken machte er die Telekom aufmerksam. Nach eigenen Angaben habe er bei jedem Nachforschen immer wieder weitere Sicherheitslücken gefunden. Für die Hinweise auf zwei anfangs gemeldete Sicherheitsprobleme habe ihm die Telekom eine Aufwandsentschädigung gezahlt. Die Telekom stimmte schließlich sogar einem Beratungsvertrag zu, mit dem weitere Recherchen des Experten vereinbart werden sollten. Zu einem Vertragsabschluss sei es letztlich nicht gekommen.
Die Antwort auf eine Anfrage von tagesschau.de bei der Telekom, ob und wie die Kunden über die Sicherheitsproblematik informiert wurden, stehe noch aus.
Quelle: tagesschau.de
Hinterlasse jetzt einen Kommentar