Sicherheitslücken bei T-Com: Die Telekom reagiert
Die Sicherheitslecks im WebEasy-Angebot von T-Com werden inzwischen bei der Telekom ernst genommen; wann die mittlerweile abgeschalteten Dienste wieder ans Netz gehen, ist bislang aber nicht klar.
Die von Dirk Heringhaus und vom Chaos Computer Club (CCC) gemeldeten Sicherheitsdefizite im WebEasy-Angebot von T-Com werden mittlerweile von der Telekom ernst genommen. Nachdem die Telekom den Bericht auf den Webseiten des CCC zunächst nicht kommentieren wollte, bestätigte Telekom-Sprecher Hans Ehnert bereits am vergangenen Dienstag die Sicheheitslücken.
Seitdem sind auch die betroffenen Dienste abgeschaltet -- nach wie vor gibt es aber keine offizielle Stellungnahme der Telekom, wann sie wieder erreichbar sein werden. Dem CCC gegenüber berichteten "gewöhnlich gut informierte Kreise", dass das Portal in den nächsten Wochen wieder online sein soll. Immerhin gibt es mittlerweile eine kurze Mitteilung der Telekom im Web, darin heißt es: "Interne Spezialisten unterziehen die gesamte Plattform über die Routinemaßnahmen hinaus derzeit einem zusätzlichen intensiven Sicherheitscheck." Auch die laut Telekom rund 120.000 betroffenen Kunden wurden informiert.
Der CCC zeigt sich mit diesen ersten Sicherheitsmaßnahmen zufrieden, CCC-Sprecher Lars Weiler sagte gegenüber heise Security: "Der Sicherheitscheck der Software ist zu begrüßen. Der CCC wünscht sich zukünftig eine Entwicklung von Software primär nach Datensicherheits-Aspekten. Ebenso wäre ein direkteres Eingreifen durch die Datenschutzbeauftragten der Länder wünschenswert. Offen bleibt die Frage, wie es jetzt weitergeht. Denn das Abschalten der Dienste kann natürlich auf Dauer keine Lösung sein.
Nach wie vor unklar ist auch die Frage, ob und inwieweit andere Dienste betroffen sind. Nach Meinung von Heringhaus sei es möglich, dass andere Services von T-Com ebenso einfach infiltrierbar waren -- schließlich beruht nicht nur WebEasy auf dem betroffenen OBSOC-System (Online Business Solution Operation Center). Das OBSOC ist im Grunde eine Vertragsverwaltung für die Telekom-Festnetztochter T-Com; hier finden sich alle relevanten Informationen zu Kundenverträgen. Telekom-Sprecher Ehnert hat am Dienstag jedenfalls weder bestätigen noch dementieren können, dass mehr als nur WebEasy betroffen ist.
Die von Heringhaus in seinem ursprünglichen Bericht über die Sicherheitslücken bei T-Com erwähnte Brainloop AG hat hingegen mittlerweile eine Stellungnahme abgegeben. Darin versichert die Firma, die einen sicheren Dokumentenspeicherplatz im Internet anbietet, dass ihre Dienste nicht betroffen seien. Zwar habe man Anfang 2003 probeweise eine Integration mit dem OBSOC-System durchgeführt, diese wurde damals aber nicht weiter verfolgt; die Daten der Brainloop AG werden nicht im OBSOC-System gespeichert. (pab)
