Bei einer eigens einberufenen Pressekonferenz konnten am Donnerstag die interessierten Journalisten in Bonn interessante Details zum großen Da-T-endiebstahl von 17 Millionen Kundendaten der T-Mobile erfahren. Doch einigen Zeitgenossen scheint nur wichtig, die Telekom "bashen" (=hauen) zu können. Dabei ist die ganze Branche betroffen.

[Mehr:]

Ein Kunde eines Service-Providers ging in einen Handyladen. Weil er den Besitzer gut kennt, durfte er einmal ins Händlerportal des Providers rein schauen. Nach Bekanntgabe der Handynummer des Kunden hätte der Händler ohne weitere Legitimation alle Daten des Kunden abfragen und beliebig den Vertrag verändern können. Wohlgemerkt, ein Service-Provider - haben Sie davon in der Zeitung gelesen oder im Radio gehört? Wohl nicht.

Der SPIEGEL schockt in diesen Tagen wieder die TK-Welt, indem er berichtet, daß "Jedermann" an alle 30 Mio Kundendaten von T-Mobile hätte drankommen und diese sogar nach Lust und Laune hätte ändern können. Solche Schockmeldungen sind grob fahrlässig, weil sie so nämlich nicht stimmen!

Des Rätsels Lösung: Über das T-Mobile-Händlerportal wäre man über einen beliebigen Internet-PC bis gestern an beliebige Kundendaten dran gekommen - die Passworte für den Händlerzugang seien recht "einfach" herauszufinden gewesen:

Zitat:
Nur wenige Stunden später klinkte er sich zusammen mit seinem Kollegen Thomas Schulz von einem ganz normalen Büro-PC via Internet in die Handelsplattform von T-Mobile ein.

Fünf Ziffern für die Kennung der Vertriebsorganisation waren nötig, acht für die Benutzerkennung. Anschließend brauchte man lediglich noch ein kurzes Passwort. Alles Daten, die jeder Mitarbeiter eines T-Punkt-Ladens zugeteilt bekommt

Sind fünfstellige Vertriebs- und 8stellige Benutzerkennungen und kurze Passworte wie "start01" wirklich "einfach"? Hätten Sie es gewußt? Ich nicht.

Damit ist jetzt ohnehin Schluß, weil die Telekom bzw. T-Mobile jetzt die Paßworte für Händler und T-Punkte "gewechselt" und "verschärft" haben. Statt "GEHEIM" muß es jetzt was richtig kryptisches wie [TuY5%}/&4xA sein (Kann sich das jemand merken oder klebt er es dann doch wieder mit "Post-It" an den Monitor?

Damit nicht genug: Für alle Vorgänge im Laden oder an der Hotline wird zusätzlich eine TAN gebraucht. Diese TAN ist eigentlich nichts Neues: Bei Vertragsverlängerungen von T-Mobil über freie Händler ist das schon länger Standard und geht so:

1) Der Kunde geht zum Händler oder ruft die Hotline an.
2) Der Kunde nennt seine Handynummer.
3) Der Kunde bekommt eine SMS auf sein Handy mit einem "Einmalpasswort" der TAN geschickt.

Nur wenn der Kunde dieses Paßwort dem Händler oder Hotliner nennt, können die Vertragsdaten aufgerufen und verändert werden. Dadurch dauern solche Vorgänge länger, die Kunden müssen länger warten, bis sie drankommen. Ein 100% Schutz ist das nur dann, wenn dabei zusätzlich noch Dinge gefragt werden, die ein etwaiger Dieb, der das Handy im eingeschalteten Zustand "mitgenommmen" hat, möglichst nicht wissen kann.

Macht man solche Sicherheitsabfragen aber zu kompliziert, werden viele (z.B. ältere) Kunden, die mit Geheimzahlen, Paßworten oder Sicherheitsfragen überfordert sind, wieder das Nachsehen haben und lautstark eine Vereinfachung fordern. Wetten?

Was zu tun ist, wenn das Handy nicht geht (Akku leer?), die SIM-Karte defekt oder das Netz fehlt, wurde noch nicht gesagt.

Rene Obermann, der Chef der Telekom hat es ganz klar gesagt: Die Datenschutzproblematik ist kein Phänomen der Deutschen Telekom, sondern ein Problem der ganzen Branche. Siehe oben.

Ach ja: Der Dieb der 17 Millionen T-Mobile-Kundendaten ist hochwahrscheinlich gefunden worden. Dr. Gerhard Schäfer, der ehemalige Verfassungsrichter und Beauftragte zur Aufklärung des Datenschutzes bei der Telekom hat bei der o.g. Pressekonferenz berichtet, wie die 17 Millionen Datensätze bei T-Mobile "gestohlen" wurden: Der "Dieb" war ein damaliger Telekom-Mitarbeiter und Insider, mit sehr guten Kenntnissen von Sicherheitsrichtlinien und den Systemen der Telekom. Er schrieb sich ein kleines Skript, das jeweils 50 Datensätze auf einmal abgerufen hat. Dieser Wert löst im Hauptrechner noch keinen Alarm aus. Dieses Skript hat nun über einen längeren Zeitraum rund 340.000 Mal vollautomatisch die Datenbank abgerufen und so den Datenbestand sukzessive an den Dieb "übertragen".

Warum die Staatsanwaltschaft rund 2 Jahre nicht auf die Idee kam, die Kopie der Daten bei einem Mainzer Unternehmer "sicher zu stellen", bleibt ein großes Rätsel. Bei der Telekom hat man sich drauf verlassen, daß die "Profis von der Staatsanwaltschaft" das richtig machen. Die Telekom Chefs sprechen trotzdem von einer konstruktiven Zusammenarbeit, der ehemalige Bundesverfassungsrichter ist da deutlicher: Er wartet seit 5-7 Wochen auf wichtige Unterlagen der Staatsanwaltschaft, um seine Untersuchung durchführen und Sicherheitslöcher stopfen zu können.

Der diebische Mitarbeiter ist übrigens nicht mehr bei der Telekom, darf sich aber jetzt wohl auf ein Ermittlungsverfahren freuen. Gegen soviel kriminelle Energie ist niemand 100% geschützt.

Neben den 17 Millionen T-Mobile-Daten gibts noch 6 weitere Fälle. In Kürze wird die Telekom eine spezielle Homepage einrichten, wo über das Thema Datenschutz informiert und aktuelle Problemfälle benannt werden sollen. Möglicherweise bekommen Sie auch bald "Post", falls Sie von den 17 Millionen Daten betroffen sein sollten.

Die Kunden der Telekom sehen das ganze Brimborium übrigens ziemlich gelassen. "Nur" 5000 Anrufer zählte die Sonderhotline zum Thema Datenschutz bislang, wovon sich 750 Leute eine neue Rufnummer geben ließen, nur 100 Kunden gaben das Thema "Datenschutz" als Kündigungsgrund an.