Webservices der Telekom sollen löchrig sein

Stimmt es, was der Chaos Computer Club (CCC) im Selbstversuch herausgefunden haben will, dann haben die Online-Dienste von ‘T-Mart Webservices’, eine Abteilung von T-Systems, ein richtig großes Sicherheitsproblem. Die Basistechnologie ‘OBSOC’ soll so löcherig sein wie ein Schweizer Käse.
Zwar stehe ein unberechtigter Benutzer nicht vor einem offenen Scheunentor. Dieses sei aber mit wenigen Handgriffen, beziehungsweise Klicks und Eingaben, schnell aufzusperren, wie der Autor des Artikels, Dirk Heringhaus, in der CCC-Hauszeitung Die Datenschleuder eindrucksvoll beschrieben hat. Fremde Kundendaten offen zu legen und mit ihnen zu jonglieren, sei ein leichtes Spiel gewesen, so der Autor. Und obwohl der CCC die Verantwortlichen mehrmals auf die Lücken aufmerksam gemacht habe, sei nichts passiert. T-Systems habe weder die Lücken geschlossen noch – was fast noch schlimmer ist – die Kunden auf die unsicheren Datentransfers hingewiesen.

Schuld an der Misere sei das ‘Online Business Solution Operation Center’ (OBSOC), ein Vertragsverwaltungs-Tool der Deutschen Telekom und Microsoft. Die Lösung administriert alle vertragsrelevanten Daten, vom Namen bis zu den Benutzerkonten und den Speicherkapazitäten. Das gilt zuvorderst für Webhosting-Kunden, aber auch andere Systeme werden über OBSOC abgewickelt, darunter T-Pay, ein Online-Bezahlsystem und OnlineBackup. Dort können Kunden ihre Daten bei der Telekom zur Sicherheit ablegen.

All die Informationen, die bei den angebotenen Webservices hin und her geschoben und bei T-Mart gelagert werden, stünden einem nicht legitimierten Benutzer mit ein paar wenigen Kniffen offen. Dass das nicht sein darf, dürfte einleuchten. Die Erkenntnisse hat der CCC an den Bundesbeauftragten für Datenschutz (BfD) übergeben, der diese an die Regulierungsbehörde für Telekommunikation und Post (RegTP) weiterleiten wird, so der Autor.

Silicon-Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

2 Stunden ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

6 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago