CCC: Erhebliche Sicherheits-Defizite bei DTAG-Online-Portal

In der aktuellen Ausgabe der "Datenschleuder" (Nr. 83, S.16ff.), dem Magazin des Chaos Computer Clubs (CCC), berichtet der Autor Dirk Heringhaus über katastrophale Sicherheits-Defizite beim Deutschen Telekom AG (DTAG) Online-Portal http://www.t-mart-web-service.de. Der Artikel ist hier online abrufbar.

Die DTAG setzte bei ihrem o.g. Portal ein OBSOC-System ein. OBSOC steht für "Online Business Solution Operation Center" und ist quasi eine Art von Online-Vertragsmanagement-Tool. Kunden und die Mitarbeiter der DTAG können, jeweils mit unterschiedlichen Rechten ausgestattet, auf das OBSOC zugreifen und Änderungen vornehmen.

Heringhaus berichtet nun detailiert wie es möglich war ohne allzu große Anstrengungen in das OBSOC einzudringen und fremde Daten einzusehen. Dabei überraschen zweierlei Dinge. Zum einen die scheinbare katastrophale Absicherung des Systems. Mit wirklich den geringsten Mitteln gelang es ihm, die Scheunentore des System ausfindig zu machen und zu nutzen. Zum anderen die absolute Ignoranz, die ihm bei seinen Meldungen an die DTAG entgegenschlug:

"Ich teilte der Telekom den grundsätzlichen Fehler in der Benutzerverwaltung mit und machte darauf aufmerksam, dass ich dadurch schon eine Menge Benutzer/Passwort-Kombinationen geknackt hatte.

Außer, dass dass eine Benutzerkonto gesperrt wurde, das ich dem (...) Telekommitarbeiter genannt hatte, geschah nichts. Die Telekom schien durch dieses Sicherheitsloch nicht die geringste Bedrohung zu empfinden."

Heringhaus ließ auch in der darauffolgenden Zeit nicht locker und entdeckte noch weitere, zahlreiche Sicherheits-Defizite. Aber auch hierauf reagierte die DTAG so gut wie kaum, sondern hüllte sich vielmehr in Schweigen.

Nun erschien vor wenigen Tagen der Bericht in der Datenschleuder. Insgesamt liegen die Ereignisse nach Darstellung des Autors mehr als 1 Jahr zurück, ohne dass seitdem erkennbare Veränderungen vorgenommen worden seien.

Erst jetzt hat die DTAG reagiert und das Portal auf weiteres vom Netz genommen.

Der Autor hat zu diesen gesamten Vorgängen eine eigene Webseite ins Netz gestellt: http://www.ccc.de/t-hack/. Siehe dazu auch die Pressemitteilung des CCC.

Zu recht stellt Heringhaus die rechtlich außerordentlich interessante Frage, ob die DTAG nicht schon längst verpflichtet gewesen wäre, ihre Kunden über die Vorfälle zu informieren:

"Welcher Emailbenutzer wurde gewarnt, dass seine Zugangsdaten durch mehrere Programmierfehler mehrfach völlig ungeschützt waren? Welches Unternehmen oder welche Behörde wurde darüber unterrichtet, dass sensible Unternehmensdaten und Personendaten nicht ausreichend geschützt wurden?"