Schlechter Umgang mit Passwörtern bei T-Mobile in Österreich

Etwas sehr besorgniserregendes habe ich in einem Gespräch auf twitter mitbekommen. Die T-Mobile Austria GmbH speichert die Passwörter, welche Kunden zum Einloggen im Kundenportal benutzen, im Klartext auf ihren Servern.

Eine Nutzerin von twitter hat mitbekommen, das T-Mobile Austria offenbar die besagten Passwörter im Klartext speichert und daraufhin über twitter bei T-Mobile nachgefragt. Sie hat nicht nur erfahren, dass es stimmt, sondern dazu eine ausgesprochen unprofessionelle Begründung erhalten.

Was bedeutet "Passwörter im Klartext auf Server gespeichert"

Um sich auf einer Webseite einloggen zu können, muss neben dem Anmeldenamen, das persönliche Passwort eingeben werden. Das eingegebene Passwort wird, einfach formuliert, mit dem zuvor auf dem Server hinterlegten Passwort verglichen. Stimmen beide überein, geht das Portal davon aus, dass es sich um den Kontoinhaber handelt, und gewährt den Zugang.

Stellen Sie sich vor, Sie verlassen Ihr Haus oder Ihre Wohnung. Sie schließen die Tür ab und Sie hängen den Schlüssen dann draußen neben die Tür. Etwa so geht es Ihnen, wenn Sie Kunde von T-Mobile Austria sind. Ihr Passwort, welches vom Server zum oben genannten Vergleich genutzt wird, liegt dort unverschlüsselt in einer Datenbank.

Erhält nun jemand Zugriff auf die Datenbank, beispielsweise ein Hacker mit böser Absicht, hat er somit auch Zugriff auf die Passwörter aller Kunden. Diese lassen sich in solchen Kreisen gut verwerten, entweder um den Kunden zu schaden, oder um die Passwörter gewinnbringend weiterzuverkaufen. Am Ende hat der Kunde große Schwierigkeiten. Auch ein schlecht gelaunter Mitarbeiter, der seinem Arbeitgeber eins auswischen will, kann damit denselben Mist anstellen. Das hat es in der Vergangenheit bereits an anderer Stelle gegeben.

Begründung noch schlechter als die Tatsache selbst

Eine Mitarbeiterin von T-Mobile Austria antwortete mit der Begründung, dass die Passwörter zum Login des Kunden gebraucht werden. Das mag sein, jedoch müssen die Passwörter dafür nicht unverschlüsselt in der Datenbank liegen. Außerdem sagt die Mitarbeiterin dazu, dass Kollegen der Hotline "nur" die ersten 4 Zeichen des Passworts sehen, weil sie diese vom Kunden zu beginn eines Telefongesprächs genannt werden müssen.

Passwörter sind im Durchschnitt zwischen 5 und 12 Zeichen lang, enthalten selten ein Sonderzeichen (und wenn dann nur eines am Anfang oder am Ende) und bestehen selten aus einer völlig willkürlichen Zeichenfolge. Das lässt sich aus den "Meist genutzte Passwörter"-Listen erfahren, die jedes Jahr von Sicherheitsunternehmen veröffentlicht werden. Mit 4 von 12 Zeichen hätte ich also schon ein Drittel eines Passworts in der Hand, erst recht wenn ich die Position der 4 Zeichen bereits kenne.

Ich will damit auf keinen Fall behaupten, dass dies von Mitarbeitern der T-Mobile Austria missbraucht wird. Die Möglichkeit jedoch besteht und könnte so einfach unterbunden werden.

Beschämende Argumentation seitens T-Mobile Austria

Ein anderer Nutzer hatte sich ebenfalls in die twitter-Diskussion eingebracht, nachdem die T-Mobile Mitarbeiterin mit "Ich sehe das Problem nicht. Ihr habt doch so viele Passwörter für so viele Apps, Mailaccounts usw." versucht hat, zu beschwichtigen. Der Nutzer wies auf die Möglichkeit hin, das die Sicherheitssysteme der T-Mobile auch mal versagen könnten. Als Reaktion darauf entgegnete sie ihm mit einem "Was ist, wenn dass einfach nicht passiert weil unser Sicherheitssystem einfach umwerfend ist?".

Im weiteren Verlauf drehte sich die Diskussion nur noch im Kreis. Er wies zuletzt darauf hin, dass Mitarbeiter die Daten ebenfalls missbrauchen könnten. Da hilft kein noch so gutes Sicherheitssystem. Aber gegen die völlige Ignoranz seitens der Mitarbeiterin war nicht anzukommen. Es wirft kein gutes Licht auf die T-Mobile Austria sich in der Öffentlichkeit auf diese Art über ein so brisantes Thema zu unterhalten.

Wie könnte T-Mobile Austria es besser machen?

Es muss ein separates Kundenkennwort für das Portal und eines für die Hotline geben. So machen es viele andere Dienstleister auch. Beide sollten gut verschlüsselt auf den Servern liegen, sodass es einem Dritten, dem die Daten in die Hände fallen, deutlich erschwert wird, die Passwörter zu verwenden.

Bei einem Anruf auf der Hotline sollten zusätzlich zum Hotlinekennwort noch weitere Authentifizierungsmerkmale vom Anrufer abgefragt werden. Letztlich sollte sich die Funktion der Hotline maximal auf Auskünfte oder technische Hilfe beschränken und Bestellungen oder Kündigungen nur durchführen lassen, wenn diese im Nachgang von Kunden noch mal über einen anderen Weg bestätigt werden. Letzteres wird von der T-Mobile Austria auch genau so gehandhabt, was meiner Ansicht nach absolut in Ordnung ist.

Was können betroffene Kunden unternehmen?

Sind Sie Kunde bei T-Mobile Austria, haben Sie schlechte Karten. Eine Passwortänderung wird nicht viel bewirken, da dieses ja ebenfalls unverschlüsselt dort gespeichert wird. Eine sachliche Beschwerde ist in jeder Hinsicht ein guter Anfang. Mehr Einfluss auf den Umgang mit Ihrem Passwort können Kunden aber kaum nehmen.

Ich wünsche mir für alle Kunden des Unternehmens, dass die Speicherung der Passwörter sehr zeitnah überarbeitet wird, und hoffe das bis dahin nichts Schlimmeres passiert. Sollte T-Mobile Austria hier nicht schleunigst nachbessern, wäre eine Kündigung des Vertrages nicht nur eine gute Idee, sondern auch ein klares Zeichen.

07.04.2018