Deutsch (Active: English)

Calendar

Sicherheitsdesaster im Webangebot der Telekom

2004-07-26 00:00:00, erdgeist

Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher als kompromittiert betrachtet werden. Dies berichtet das wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos Computer Clubs in seiner aktuellen Ausgabe.

Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es einem Benutzer erlauben, mit einfachsten Mitteln (wie z. B. dem einfachen Austauschen einer Kundennummer in einer Webadresse) auf fremde Kundendaten zuzugreifen. Dadurch wurde es möglich, daß ein beliebiger Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten erhalten kann, ohne dafür legitimiert zu sein.

Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des Autors Dirk Heringhaus Hintergrundmaterial und begleitende Berichterstattung sind hier nachzulesen.

Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft (die in enger Partnerschaft mit der Telekom dieses System aufgesetzt haben) vergleichbar. Es regelt Benutzer- und Benutzerrechteverwaltung konzernweit. Auf ihm bauen die Deutsche Telekom AG und ihre Töchter zur Zeit diverse Netzdienstleistungen auf.

Wenn auch von Seiten des Autors und der Redaktion Datenschleuder keine Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss davon ausgegangen werden, dass Angreifer mit genügend krimineller Energie sich in den Datenbeständen umgetrieben haben. Dirk Engling von der Redaktion "Die Datenschleuder" folgert dies allein aufgrund der Tragweite des Sicherheitslecks. "Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", so Engling und weiter: "ein Angreifer wäre somit im Besitz sämtlicher Zugangspasswörter aller Kunden dieser auf OBSOC basierenden Dienstleistung".

Der Autor hat die Deutsche Telekom seit nunmehr einem Jahr wiederholt vertraulich auf die Sicherheitslücken hingewiesen. Anstatt deren Ursachen zu beheben, wurden aber lediglich einige Symptome bekämpft. Der CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem auf, umgehend ihre Kunden über dieses Problem zu informieren.

Vor zwei Monaten wurde dann der für die Deutsche Telekom AG zuständige Beauftragte für Datenschutz auf das Sicherheitsleck hingewiesen. Das Bonner Büro des Datenschutzbeauftragten wies jedoch den Hinweis ab und verweigerte eine Überprüfung. Die in T-Mart Web-Service gespeicherten Kundendaten und E-Mails müssten eigentlich durch wirksame technisch-organisatorische Maßnahmen vor dem Zugriff durch Unberechtige geschützt sein.

Durch die Schwächen im OBSOC Framework sind weitere Sicherheitslöcher im gesamten Telekomnetzwerk entstanden, die zum Teil schon unter http://www.ccc.de/t-hack/ dokumentiert sind, oder - aufgrund der Komplexität der Sache - z.Zt. noch dokumentiert werden. Eine endgültige Aufklärung der möglichen Gesamtfolgen für Behörden, Städte, Unternehmen und Privatleute kann jedoch nur durch eine Bundesbehörde abschließend geklärt werden.

Bis zu dieser abschließenden Klärung kann der Chaos Computer Club die vielen Betroffenen wie z.B. Bundesnachrichtendienst, Deutsche Bundesbank, Bundesgrenzschutzdirektion und Bundesamt für den Zivildienst nur in dem Punkt beruhigen, dass deren Daten zumindest beim CCC sicher sind.

Für Rückfragen ist die Redaktion "Die Datenschleuder" unter der +49 171 24 17 886 erreichbar.

Tags