Drucken Versenden

Datenschutz

Von großen und kleinen Datenskandalen

Stuttgart - Lidl hat einen, die Bahn, die Telekom sowieso. Nun droht Deutschlands größter Telekommunikationskonzern erneut Opfer einer Datenaffäre zu werden, das behauptet zumindest jener Unternehmer, der schon das jüngste Sicherheitsleck vergangenen Oktober aufgedeckt hat. Eine ernstzunehmende Bedrohung oder nur ein PR-Gag?

Darüber sind die Betroffenen geteilter Meinung. Die Erkenntnisse des Mainzer Unternehmers Tobias Huch als Werbebotschaft abzutun, nur weil die entsprechende Pressemitteilung zugegeben etwas reißerisch daherkommt, wäre jedoch voreilig. Und falsch: Der Bundesdatenschutzbeauftragte Peter Schaar hat die Telekom mittlerweile aufgefordert, der Sache nachzugehen und "höhere Sicherheitsschranken einzubauen".

Vereinfacht gesagt wirft Huch der Telekom vor, die E-Mail-Adressen ihrer Internetkunden unzureichend vor neugierigen Blicken zu schützen. "Ich sehe kein Problem darin, die ganze Kundendatenbank über E-Mail rauszuziehen", sagt Huch gegenüber unserer Zeitung - das betrifft immerhin 14 Millionen T-Online-Internetadressen. Neben der Telekom sieht Huch vergleichbare Lücken bei den Internetprovidern GMX und der Karlsruher Web.de, allerdings sei der Online-Einbruch dort erheblich schwerer. "Bei GMX und web.de ist die Lücke so groß wie ein Fingernagel, bei der Telekom ist es ein See", sagt der IT-Unternehmer.

Vor allem für die Versender von Fluten an Werbepost sind Internetadressen bares Geld wert, sie profitieren in erster Linie von der Sicherheitslücke. Schuld ist letztlich Bequemlichkeit: Denn die Telekom vergibt an ihre Kunden nicht nur namenbasierte E-Mail-Adressen, sondern führt zudem Kennnummern, die auf simplen Zahlen-Ziffern-Folgen basieren. Durch Probieren verschiedener Kombinationen lassen sich somit die echten E-Mail-Nutzer herausfinden.

Mit nur einem Rechner habe seine Firma Resisto IT rund 40000 Adressen innerhalb von 24 Stunden erraten, sagt Huch. "Spiegel Online" hat das entsprechende Mini-Programm nach eigenen Angaben getestet - nach fünf Minuten hatte die Redaktion mehrere Hundert potenzielle Adressen überprüft und darunter drei bis vier Prozent Volltreffer.

Der Telekom ist das Problem bekannt, von Datenlücken und -diebstahl könne aber keine Rede sein, hieß es. Dafür, dass die Kunden nicht mit unerwünschten Werbemails überschwemmt werden, sorgen nach Firmenangaben Spamfilter. Huch zufolge ist der Witz an seinem Verfahren aber gerade, dass es diese Filter umgeht. Web.de-Sprecher Michael d'Aguiar sieht in der Versuch-und-Irrtum-Methode keine Gefahr für die Datensicherheit der Internetkunden, "Spam-Versendern ist das zu mühsam."

Vorgekommen sei ein solcher Datendiebstahl bei Web.de noch nie, keinesfalls könnten auf diesem Weg Kundendaten ausgelesen werden. Zwar verspricht Web.de, seinen Spam-Schutz weiter zu verbessern. Die Entdeckung der Mainzer Resisto beurteilt er jedoch zu einem gut Teil als "Marketing in Sachen Huch".

Tatsächlich sind E-Mail-Adressen heutzutage kinderleicht zu bekommen, vor allem die Mitarbeiter-Adressen einer Firma funktionieren oft nach dem gleichen Muster. Mit der Brisanz einer ausgespähten Konto-Pin etwa ist die Warnung Huchs also sicher nicht zu vergleichen. Oder, wie es ein Sprecher des Bundesbeauftragten für den Datenschutz ausdrückt: "Das ist kein gravierender Skandal, aber datenschutzrechtlich relevant."

Womöglich spielt bei dieser Einschätzung auch der Entdecker eine Rolle. Mit 19 legte der heute 27-jährige Huch Sicherheitslücken auf den Servern des Bundesinnenministeriums offen, im Oktober 2008 trug er maßgeblich zur Aufdeckung des Telekom-Datenskandals mit über 17 Millionen entwendeten Kundendatensätzen bei. Den damaligen T-Mobile-Chef kostete das sein Amt. Für manche ist Huch seither eine Art guter Samariter der Internetszene, andere sehen in ihm einen effekthascherischen Unternehmer.

Denn Huch sucht nicht nur nach Schwachstellen in der IT von Unternehmen und berät über Verbesserungen, sondern verkauft Jugendschutz-Sicherheitssysteme für Pornoseiten. Zudem streitet er vor dem Bundesverfassungsgericht um eine teilweise Aufhebung des Pornografieverbots in den Medien.

Und was sagt Huch selbst über die eher verhaltenen Reaktionen auf seine Entdeckung? "Wenn die Telekom jetzt auf Druck des Bundesdatenschutzbeauftragten ihre Systeme ändert, ist das wunderbar. Dann hat die Meldung doch etwas gebracht."

Weitere Informationen unter:
www.antispam.de
 

Petra Otte

07.04.2009 - aktualisiert: 14.04.2009 14:48 Uhr