Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

06.08.2004 - 

Telekom räumt massive Sicherheitslücken ein

T-Com-Kundenportal vorerst geschlossen

Erst auf öffentlichen Druck hin reagierte die Telekom auf die gravierenden Probleme. Am 27. Juli schloss sie das T-Com-Kundenportal T-Mart Webservice vorübergehend. "Interne Spezialisten unterziehen die gesamte Plattform über die Routinemaßnahmen hinaus derzeit einem zusätzlichen intensiven Sicherheitscheck", hieß es auf der Website (siehe Abbildung).

Vorausgegangen waren Veröffentlichungen des Chaos Computer Clubs (CCC), die die Kunden des Staatskonzerns schockiert haben dürften. Sämtliche Online-Dienste von T-Mart Webservice, die auf dem Framework "Obsoc" (Online Business Solution Operation Center) basierten, wiesen Sicherheitsprobleme auf, warnten die Hanseaten in ihrem Fachblatt "Datenschleuder". Alle Benutzerkonten müssten als kompromittiert betrachtet werden.

Mit einfachsten Mitteln wie dem Austauschen einer Kundennummer in einer Web-Adresse hätten etwa Benutzer des T-Com-Dienstes "Webeasy" auf fremde Kundendaten zugreifen können, berichtete der Autor Dirk Heringhaus. Über Webeasy bietet T-Com seinen Kunden unter anderem eine Option, Internet-Auftritte zu ordern und zu verwalten.

Doch damit nicht genug: Durch das Ausnutzen weiterer Sicherheitslecks sei es Hackern möglich gewesen, E-Mails, die über Websites der Kunden gehen, zu lesen und zu verändern. Nach Einsicht in vertrauliche Betriebsdatenblätter von T-Mart-Kunden hätten Angreifer zudem in den Besitz sämtlicher Zugangspasswörter gelangen können. Betroffen waren laut CCC nicht nur Firmenkunden, sondern auch Behörden wie der Bundesnachrichtendienst und die Deutsche Bundesbank.

Bereits im Mai 2003 habe Heringhaus die Telekom erstmals auf Sicherheitslücken hingewiesen, kritisiert der CCC.

Zwar seien mittlerweile einige Probleme behoben. So ließen sich einfache Manipulationen in Kunden-Accounts nicht mehr bewerkstelligen, Passwort-Regelungen seien verschärft worden. Grundsätzlich aber seien sämtliche Dienste, die im Rahmen von T-Mart Webservice angeboten werden, unsicher. Unter der Adresse www.ccc.de/t-hack/ hat der CCC eine Dokumentation der Sicherheitslücken veröffentlicht.

Nach der öffentlichen Kritik reagierte die Telekom und schloss das Kundenportal vorübergehend. Ein Sprecher räumte ein, dass rund 250000 Kunden betroffen seien; bis zu 120000 müssten ihre Passwörter ändern. Zugleich bemühte sich der Konzern um Schadensbegrenzung. Die Probleme träten ausschließlich mit Diensten auf, die über das Portal www.t-mart-web-service.de liefen. Andere Services wie etwa T-Com T-DSL, ISDN oder Rechnung Online seien "keinesfalls betroffen". Das gelte auch für Dienste von T-Online wie beispielsweise E-Mails und Online-Banking.

Nach Ansicht der CCC-Spezialisten liegt das grundlegende Problem im Framework Obsoc. Das System fungiert als Online-Vertragsverwaltung. Es regelt unter anderem konzernweit die Benutzer- und Benutzerrechteverwaltung und ist mit Microsofts Single-Sign-on-System "Passport" grob vergleichbar. Laut CCC hat die Telekom Obsoc gemeinsam mit Microsoft aufgesetzt. Darauf basierend bauten das Bonner Unternehmen und dessen Töchter eine Reihe weiterer Netzdienstleistungen auf.

Auf die von der Telekom eingeleiteten Maßnahmen reagierte der CCC mit Spott. Zwar seien die Forderungen nach Absicherung der Kundenverwaltung und Information der Kunden zunächst erfüllt. Die komplette Abschaltung der Dienste dürfte aber "auf Dauer wohl etwas grob sein". Wann das Kundenportal wieder zugänglich sein wird, konnte die Telekom bis Redaktionsschluss nicht beantworten. (wh)