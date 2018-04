Österreichischer Mobilfunker am Wochenende von Security-Community zerrissen – UPC verschickte Kundenkennwörter per E-Mail

Das vergangene Wochenende gestaltete sich für T-Mobile Austria turbulent. Denn es stellte sich heraus, dass der Mobilfunker offenbar einen unsicheren Umgang mit Passwörtern pflegt. Diese sind offenbar, zumindest teilweise, im Klartext hinterlegt. Denn um Kunden zu verifizieren, haben Mitarbeiter Einsicht in die ersten vier Zeichen, wie man auf eine per Twitter gestellte Anfrage mitteilte. Der folgenden Entrüstung konnte man zuerst nicht folgen. Hingewiesen auf die Gefahr des Passwortklaus im Falle eines Datenlecks hieß es lediglich: "Was, wenn das gar nicht erst passiert, weil unsere Sicherheit erstaunlich gut ist?"

Das Unternehmen will nun Konsequenzen aus diesem Security- und PR-Debakel ziehen, zumal zahlreiche Sicherheitsexperten die Praxis in den folgenden Stunden zerpflückten. Nun hat man sich mit einer Stellungnahme an die Öffentlichkeit gewandt.

Sicherheit soll "so rasch wie möglich" verbessert werden

Man hält fest, dass Passwörter auch bis jetzt verschlüsselt gewesen seien. Die Datenbanken seien geschützt und die Infrastruktur würde regelmäßig auf Lecks geprüft. Die bisherige Praxis sei aus Gründen der Benutzerfreundlichkeit gepflegt worden, und bisher habe es auch keine Datenlecks gegeben.

Jedoch nehme man die Diskussion "sehr ernst". Künftig wolle man die Kundenpasswörter "salten" und "hashen", was dem "State of the Art" entspreche. Zudem will man ein zweites Sicherheitsmerkmal schaffen, über das sich Kunden in Shops oder per Telefon identifizieren könnten. Wann man diese Schritte umgesetzt haben wird, wollte man noch nicht terminisieren. Es sei aber angestrebt, dies "so rasch wie möglich" zu tun.

UPC und WK Wien verschickte Passwörter im Klartext

Derweil rückt auch die Sicherheitspraxis eines anderen heimischen Providers in den Fokus. Wie ein Kunde auf Twitter offenlegt, verschickte etwa UPC – das im Laufe der zweiten Jahreshälfte von T-Mobile Austria übernommen werden soll – Passwörter an seine Businesskunden im Klartext.

T-Mobile Austria speichert Passwörter also im Klartext?UPC Business Austria so „Hold my Beer! Wir speichern sie nicht nur im Klartext, wir verschicken sie auch noch unverschlüsselt per E-Mail!“ #amazingsecurity @c3wien @futurezoneat @andreasdotorg pic.twitter.com/MqTT3ScnQY — Stefan Daschek (@noniq) April 7, 2018

Dabei geht es allerdings nicht um automatisch generierte Passwörter für den ersten Login oder nach einer Zurücksetzung des Passwortes, sondern um die von den Nutzern selbst festgelegten Kennwörter – mit entsprechenden Sicherheitsgefahren.

UPC gibt gegenüber dem STANDARD allerdings Entwarnung: Diese Praxis sei nicht mehr aktuell, der Prozess sei "in den vergangenen Wochen geändert worden". Kunden erhalten nun nur noch für den erstmaligen Login ein vorgeneriertes Passwort per Post oder Mail.

Offenbar auch Klartextversand bei WK Wien

Auch die Wirtschaftskammer Wien soll Passwörter für ihre Kooperationsplattform "Pool" im Klartext verschicken. Laut dem Nutzer, der dies in einem Tweet belegt, sei ihm jedoch versichert worden, dass man derzeit an einer neuen Plattform arbeite, die aktuellen Sicherheitsstandards genügen soll. Bei der WK Wien war aktuell kein Ansprechpartner erreichbar, eine Stellungnahme wurde für Dienstag (10. April) zugesagt. (gpi, 09.04.2018)

Das kann auch unsere @WKOwien schon lange. Auf meine Anfrage bei der WKO kam dann "Derzeit arbeiten wir an einer neuen Kooperationsplattform. Diese soll mit 2018 österreichweit online gehen und eine Single-Sign-On-Lösung ohne Klartext-Speicherung enthalten.". derzeit noch nicht. pic.twitter.com/wNKnScF0zz — Gottfried (@GottfriedSzing) April 7, 2018

Update, 18.34 Uhr: Stellungnahme von UPC ergänzt, laut der keine Passwörter mehr im Klartext verschickt werden.