Sonstiges

"Datenleck bei T-Com": Auf der Jagd nach einem Skandal

Alles fing damit an, dass ich in der Mittagszeit über eine Meldung bei Gulli stolperte: „Datenleck bei T-Com – bis zu 14 Millionen Kunden betroffen„. Mittlerweile schreiben alle darüber. Ahja, noch ein Datenskandal, dachte ich. Erschreckend, wie beiläufig so etwas nach T-Mobile, Lidl und Deutsche Bahn heute wahrgenommen wird. Die Originalquelle war schnell gefunden, hier der wichtigste Absatz der Erklärung:

Durch eine sehr simple Sicherheitslücke ist davon auszugehen, dass die gesamte Liste der Haupt-E-Mail-Adressen der T-Online-Kunden in die Hände von unbefugten Dritten (Spam-Versender und Datenhändler) gelangt ist. Das Sicherheitsteam von RESISTO hat das Auslesen dieser Daten unter Aufsicht von neutralen Sicherheitsexperten unter Beweis stellen können und möglicherweise sind viele Millionen Kunden von diesem neuen Datenleck betroffen.

„Ist davon auszugehen…“, „möglicherweise“ – klingt solide. Bevor wir uns aber an den Inhalt der Meldung machen, schauen wir erst einmal nach ihrem Urheber. Die Resisto IT GmbH? Hinter dem Laden steckt der Erotikmillionär Tobias Huch (wir erinnern uns: „Ich habe beim Bayerischen Verwaltungsgerichtshof Beschwerde gegen die Beschlagnahmung meines Porsche Turbo eingelegt.“), der vor einigen Monaten T-Mobile auf den Verlust von 17 Millionen Kundendaten hinwies. Jetzt ist er also Geschäftsführer der Resisto IT GmbH, die offenbar nichts anderes macht, als erwerbsmäßig vermeintliche Skandale aufzudecken. Auf resisto.com kann ich jedenfalls nichts anderes über die Firma finden, ihr etwa?

Da der Erklärung kein Datum vorangestellt war, rätselten wir hier erst gemeinsam darüber, ob es sich noch um einen Aprilscherz handeln könnte. Das ließ sich leicht überprüfen: „Die RESISTO informierte Ende der Woche pflichtgemäß den Landesbeauftragten für den Datenschutz in Rheinland-Pfalz.“ Also hin zum Apparat und artig die Behörde angerufen. Am Hörer ist der leitende Ministerialrat Dr. Klaus Globig. Ich frage ihn, ob er denn auch Wind von dem skandalösen Vorfall bekommen hätte. „Joah“, sagt er im gemütlichen Werthers Echte-Ton. „Und?“ Er erweckt den Eindruck, als ob die Resisto-Notiz ganz unten in der Ablage liegen würde – noch unter den Quittungen der Einkaufsabteilung und der Butterbrottüte vom Morgen. „Herr Huch hat ein kleines Programm geschrieben, das die Gültigkeit von E-Mail-Adressen überprüfen kann.“ – „Also kein Skandal?“ – Am anderen Ende der Leitung wird hörbar ausgeatmet. Ich bedanke mich für das Gespräch und lege auf.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Homeoffice
Social Media und PR Specialist (m/w/d)
BeA GmbH in Ahrensburg
Social Media Manager B2B (m/w/d)
WM SE in Osnabrück

Alle Stellenanzeigen


Ich wähle unsere Kontaktnummer bei T-Home, schildere den Fall und werde zügig mit dem Leiter der Presseabteilung verbunden, was entweder daran liegt, dass die Sache wirklich ernst ist – oder alle anderen einfach im Urlaub sind. Nach den ersten Wortwechseln wird klar, dass die zweite Vermutung die richtige ist: „Das Programm nutzt dieselbe Systematik, die Spammer bereits seit Jahren nutzen. Es wird getestet, ob E-Mail-Adressen funktionieren, oder nicht“, sagt der Sprecher. Von einer „Sicherheitslücke“ zu sprechen, sei daher mehr als falsch. „Wir nutzen alle Sicherheitsmaßnahmen, um die Kunden zu schützen.“ 250 Millionen E-Mails würden tagtäglich über die Telekom-Server abgewickelt. 90 Prozent würden dabei als Spam identifiziert und herausgefiltert.

Auch bei GMX, dessen Freemailer-Dienst nach Meinung von Resisto ebenfalls betroffen sei, stoße ich auf lächelndes Kopfschütteln. Die hier angewandte Methode sei nicht nur umständlich, sondern auch uneffektiv:

So weist die Qualität einer Liste, die sich über den Registrierungsprozess generieren lässt, große Mängel auf. Die Adressen sind nicht allesamt valide, da auch gesperrte, inaktive und nach einer Postfach-Löschung noch nicht wieder freigegebene Account-Adressen als vermeintlich existierendes Mail-Postfächer qualifiziert werden.

Zudem ist der quasi „händische“ Quercheck wie im vorliegenden Szenario sicher deutlich aufwändiger als die ggfs. automatisiert mögliche Erstellung und Austestung umfangreicher Postfach-Adresslisten durch alphabetische Kombination aller möglichen Vor- und Nachnamen von A-Z.

…heißt es in dem angeforderten Statement der GMX-Presseprecherin Nadja Elias. Kurz gesagt: Man kann Spammer nicht daran hindern, nach dem Trial and Error-Verfahren ihre Adresslisten immer weiter aufzustocken. Die einzig effektive Methode wäre es, den Dienst komplett einzustampfen. GMX beispielsweise versucht dem Spam-Problem Herr zu werden, indem selbst „eingängige Adressen“ registriert werden, die praktisch als Falle fungieren. Außerdem würden Spammer, die versuchen Müll-Accounts per Script anzulegen, schon lange vom System erkannt und „verfolgt“.

Was vom gigantischen Datenleck bleibt, ist wenig. Vergleichbar mit der Meldung: „Achtung! Morgen stürzen 100.000 Lux aus dem Weltall auf die Erde“, wenn ich auch sagen könnte: „Morgen gibt es schönes Wetter.“

Wer dennoch Interesse daran hat, zu überprüfen, ob auch die eigene E-Mail-Adresse von der „Sicherheitslücke“ betroffen ist, kann sich das Tool von der Resisto-Site (die ich nicht noch einmal verlinke) kostenlos herunterladen. Ach ja: Um dies tun zu können müssen zunächst Benutzername und Passwort vergeben und die E-Mail-Adresse preisgeben werden. Wie ein Blick in die knappe Datenschutzerklärung verrät, werden diese Daten dann auch auf unbestimmte Zeit von Resisto IT gespeichert. Um „Missbrauch“ zu verhindern, wie es heißt.

(André Vatter)

Über den Autor

André Vatter

André Vatter ist Journalist, Blogger und Social Median aus Hamburg. Er hat von 2009 bis 2010 über 1.000 Artikel für BASIC thinking geschrieben.

17 Kommentare

  • naja, dass so etwas früher oder später passieren würde, war uns doch allen klar. ich denke es gibt da noch vieles, wo uns die haare zu berge stehen würden, wenn wir das wüssten.

  • Ich sach da mal gar nicht mehr zu! Skandale… da ist die Zeitung schon voll mit… und die Telekom, das hatte uns ja die VErgangenheit bereits gezeigt.. ist da auch nicht aussen vor!

  • hmm… warum werde ich den eindruck nicht los, dass viele die hier kommentieren gerade mal die überschrift gelesen haben ;D

  • omg, wissen die(resisto) auch was die da schreiben?
    Zitat: [..]reichen bei T-Online rein rechnerisch 100 Milliarden kurze Server-Anfragen, um alle Hauptadressen aus der Datenbank zu „stehlen“

    Aha, brechen wir das mal auf eine 24h-Tag runter, kommen wir auf 1.157.407zusätzliche Anfragen pro Sekunde.
    Das würde entweder jeden Server/Loadbalancer in die Knie zwingen oder zumindest jeden Admin alarmieren(mal ab von Tools wie Fail2ban).

    Dolle Lücke ;-), auch wenn ich Magenta sonst nicht mag.

    Edit by SteBu: fett ist eingefügt

  • auch ne möglichkeit den aktienkurs zu manipulieren, kann ja nich jede firma nen steve jobs haben ^^

    vllt war das ja das ziel 🙂

  • Das schreibt also Onlinekosten.de, die schon mal auf das Aufdecken einer Sicherheitslücke (aufgedeckt durch Tobias Huch) dankbar aufgesprungen sind und damit bundesweit PR gemacht haben.

  • Ich frage mich nur ob der Aufwand diesen Artikel zu schreiben, es wirklich Wert war? Vielleicht sollten auch manche Leser hier vielleicht mal den ganzen Artikel lesen!

  • Sagen wir es mal so: eine (kleine) Sicherheitslücke mag Herr Huch gefunden haben – offene Webschnittstellen sollten keine Infos an Dritte leaken. Das Ergebnis ist jedoch banal und rechtfertigt keine Panikmeldungen.

  • Schon wieder der Mann aus Mainz. Profilneurose? Dummheit? Gier? Wohl letzteres! Der Pornokönig aus Mainz versucht es mit dem Motto „Angriff ist die beste Verteidigung“. Mailadressen einsammeln und verwerten ist deren täglich Brot. Man prüfe http://www.antispam.de/forum nach „Huch“ und seinen Firmen und weitere einschlägige Verbraucherschutzforen. Trägt man alles zusammen heisst es rasch: Pfui deibel!

  • *applaudier* Habt ihr jetzt aber ganz ganz toll recherchiert!

    *Eueren Blog auch weiterhin meid*

    Ihr macht hier nix anderes als Schlagzeilen mit einer Schlagzeile… ist das etwa besser?