Webservices der Telekom sollen löchrig sein

Stimmt es, was der Chaos Computer Club (CCC) im Selbstversuch herausgefunden haben will, dann haben die Online-Dienste von ‘T-Mart Webservices’, eine Abteilung von T-Systems, ein richtig großes Sicherheitsproblem. Die Basistechnologie ‘OBSOC’ soll so löcherig sein wie ein Schweizer Käse.
Zwar stehe ein unberechtigter Benutzer nicht vor einem offenen Scheunentor. Dieses sei aber mit wenigen Handgriffen, beziehungsweise Klicks und Eingaben, schnell aufzusperren, wie der Autor des Artikels, Dirk Heringhaus, in der CCC-Hauszeitung Die Datenschleuder eindrucksvoll beschrieben hat. Fremde Kundendaten offen zu legen und mit ihnen zu jonglieren, sei ein leichtes Spiel gewesen, so der Autor. Und obwohl der CCC die Verantwortlichen mehrmals auf die Lücken aufmerksam gemacht habe, sei nichts passiert. T-Systems habe weder die Lücken geschlossen noch – was fast noch schlimmer ist – die Kunden auf die unsicheren Datentransfers hingewiesen.

Schuld an der Misere sei das ‘Online Business Solution Operation Center’ (OBSOC), ein Vertragsverwaltungs-Tool der Deutschen Telekom und Microsoft. Die Lösung administriert alle vertragsrelevanten Daten, vom Namen bis zu den Benutzerkonten und den Speicherkapazitäten. Das gilt zuvorderst für Webhosting-Kunden, aber auch andere Systeme werden über OBSOC abgewickelt, darunter T-Pay, ein Online-Bezahlsystem und OnlineBackup. Dort können Kunden ihre Daten bei der Telekom zur Sicherheit ablegen.

All die Informationen, die bei den angebotenen Webservices hin und her geschoben und bei T-Mart gelagert werden, stünden einem nicht legitimierten Benutzer mit ein paar wenigen Kniffen offen. Dass das nicht sein darf, dürfte einleuchten. Die Erkenntnisse hat der CCC an den Bundesbeauftragten für Datenschutz (BfD) übergeben, der diese an die Regulierungsbehörde für Telekommunikation und Post (RegTP) weiterleiten wird, so der Autor.