T-Online-Update hält nicht

Die neue Version der T-Online-Zugangssoftware ist kaum sicherer als ihre Vorgängerin. T-Online hatte das Online-Update am heutigen Dienstag um 11 Uhr bereitgestellt und erklärt, damit würden "die aktuellen Angriffspunkte beseitigt", die zwei 16jährige Schüler unlängst gefunden und gegenüber c't und dem ARD-Magazin Plusminus aufgedeckt hatten.

Nur wenige Stunden später erwies sich jedoch, daß auch die neue Version nicht gegen das Ausspionieren der Zugangsdaten schützt: Aron Spohr, einer der beiden T-Online-Hacker, konnte sowohl das Paßwort als auch die Zugangskennung einer testweise von c't übertragenen passwort.ini-Datei in wenigen Minuten dekodieren. Dazu mußte er lediglich die darin enthaltenen Daten etwas umsortieren, um das verschlüsselte Paßwort direkt vom T-Online-Dekoder angezeigt zu bekommen.

Eine erste Analyse ergab: Die neue T-Online-Software baut zwar nicht länger auf eine verräterische Windows-Routine, die Verschlüsselung der verschiedenen Datensätze bleibt aber weiterhin "austauschbar". Dadurch kann man den Dekoder dazu bringen, statt der T-Online-Nummer das Paßwort im Klartext anzuzeigen. Sobald einem Angreifer dieses zur Verfügung steht, kann er ausspionierte passwort.ini-Dateien verwenden und auf fremde Kosten T-Online-Dienste nutzen.

An der grundsätzlichen Gefahr, daß ein "Trojanisches Pferd" (ein Programm mit einer versteckten Schad- oder Spionage-Funktion) vertrauliche Daten an Unbefugte übermitteln könnte, vermag T-Online ohnehin nichts zu ändern. Es bleibt daher bei der dringenden Empfehlung, keine Paßwörter, PINs oder TANs zu speichern. Doch selbst dann besteht weiterhin ein großes Risiko, da das Trojanische Pferd die Daten auch während der Eingabe abfangen könnte. (nl)