1&1 verschickt unaufgefordert Passwörter im Klartext

Der Provider 1&1 schickte am Wochenende einigen seiner Webhosting-Kunden unaufgefordert E-Mails, in denen im Klartext Nutzer-ID und Passwort zu ihrem Einwahlzugang enthalten sind.

In Pocket speichern vorlesen Druckansicht 117 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Holger Bleich

Der Provider 1&1 schickte am Wochenende einigen seiner Webhosting-Kunden unaufgefordert E-Mails, in denen im Klartext Nutzer-ID und Passwort zu ihrem Einwahlzugang enthalten sind. Weil 1&1 die Preise gesenkt habe, könne man doch mal wieder darüber nachdenken, neben dem Webhosting auch den Internetzugang von 1&1 zu nutzen, lautet der Werbetext sinngemäß.

Bei den Passwörtern handelt es sich um aktuelle, von den Kunden eingerichtete und freigeschaltete Zugangsdaten. Wird eine solche E-Mail auf ihrem Weg durchs Internet belauscht oder abgefangen, so kann der Spion zumindest bis zur nächsten 1&1-Abrechnung unbemerkt auf Kosten des eigentlichen Empfängers surfen.

Laut 1&1 war die E-Mail-Aktion ein Probelauf für ein größeres Mailing. Es sei nicht die Absicht gewesen, Zugangsdaten im Klartext zu versenden. Einem Mitarbeiter sei ein Fehler unterlaufen, erklärte Firmensprecher Michael Frenzel auf Anfrage von heise online. "Einige tausend Kunden haben diese E-Mail erhalten", so Frenzel. Deren Passwörter werde man umgehend ändern, um einen möglichen Missbrauch zu verhindern.

Die Kunden werden laut Frenzel demnächst per E-Mail darüber informiert, dass sie, um ihren Zugang zu nutzen, ein neues Passwort im Konfigurationsmenü der Web-Oberfläche eingeben müssen. Als kleine Entschädigung bekomme jeder betroffene Kunde zwei Freistunden auf sein Zugangskonto gutgeschrieben.

Nach Ansicht des Online-Rechtsexperten Stefan Jaeger hat sich 1&1 hier "beinahe ein schönes Ei ins Nest gelegt". Der unaufgeforderte Passwortversand hätte dazu führen können, dass 1&1 im Falle des Missbrauchs durch Kunden künftig nachweisen müsste, wann der Zugang nicht vom Kunden, sondern von Dritten genutzt wurde, sagte Jaeger im Gespräch mit heise online.

"Durch diese mögliche Beweislastumkehr hätten Kunden jetzt beispielsweise darauf kommen können, andere Leute auf ihrem Zugang mitsurfen zu lassen und hinterher die Schuld auf 1&1 zu schieben, weil die Firma ja offensichtlich nicht sorgfältig die Zugangsdaten schützt." Es sei deshalb aus juristischer Sicht für den Provider dringend geboten gewesen, die Passwörter sofort zu ändern, nachdem er Kenntnis von der Panne hatte. (hob)