Wozu Passwörter, wenn's auch ohne geht?
Lückenhafte Absicherung der Kundendaten bei T-Online
Wer glaubt, T-Online hätte etwas gelernt aus den Attacken pubertierender Jungs im Jahre 1998 (vgl. Jugendliche Hacker knacken T-Online) und seither alles daran gesetzt, die Daten seiner Kunden lückenlos zu schützen, der könnte sich einmal ein bisschen umsehen bei Deutschlands Internet-Provider Nummer eins.
Ohne auch nur ein einziges Passwort einzugeben, kann man beispielsweise die Adresse oder den Tarif von T-Online-Usern ändern und den Betreffenden damit einigen Verdruss bereiten. Einzige Bedingung: Man setzt sich mal eben an den Computer eines T-Online-Kunden und geht auf die Homepage von T-Online. Die Seite erkennt, welcher Rechner sich da einwählt, und öffnet automatisch Tür und Tor zum Kundencenter, wo Anschrift, Tarife, Limitsperre und dergleichen mehr verwaltet werden.
Zum Beispiel lässt sich mit wenigen Klicks die Adresse ändern - zugegebenermaßen einer der harmloseren Eingriffe, in Verbindung mit weiteren Manipulationen aber durchaus effektvoll:
- man gehe zu www.t-online.de
- dann klicke man auf der grauen Navigationsleiste links unter der Überschrift 'Dienste' auf Kundencenter
- dann gehe man im Unterbereich 'Tarif & Rechnung' auf Ihre Kundendaten
- auf der Zwischenseite auf 'weiter' klicken
- Adresse ändern
- bestätigen
- und Tschüss
Die Änderung lässt sich übrigens nicht rückgängig machen. Stattdessen erscheint auf der entsprechenden Seite neben dem Adressfeld die Mitteilung "Änderung beantragt". Und zwar wochenlang.
Ebenso einfach kann man die Flatrate kündigen bzw. gegen den eco-Tarif eintauschen - oder umgekehrt.. Kleiner Trost: Beim Tarifwechsel hat der Kunde ein 14-tägiges Widerrufsrecht. Das kann er freilich nur ausüben, wenn er rechtzeitig mitbekommt, dass sich was geändert hat. Nun heißt es an der entsprechenden Stelle, der Kunde erhalte Zugangsdaten - in welcher Form dies geschieht, wird zwar nicht verraten, doch darf man bei T-Online getrost davon ausgehen, dass es sich um eine Zustellung per Post - und nicht per Mail - handelt. Tja, und jetzt kommts: Hat man zuvor die Adresse geändert, dürfte der Betreffende erst nach Ablauf der 14-tägigen Frist von seinem Tarifwechsel erfahren. Die Folgen kann man sich leicht ausmalen: Unzählige Telefonate mit Leuten, die nicht wirklich zuständig sind oder leider nichts tun können.
Auf Anfrage streitet die Dame von der T-Online-Service-Hotline ab, dass die beschriebenen Eingriffe möglich sind - ohne Hackertechnik. Warum sonst - konterte die Dame - bekäme sie ständig Anrufe von Leuten, die nicht an ihre Kundendaten rankämen? Und überhaupt solle man seine Kennwörter - also auch die zur Einwahl ins Netz - nicht speichern.
Fakt ist: Rechner werden manchmal von mehr als einer Person benutzt. Und wenn jemand eine Flatrate hat, kann es durchaus vorkommen, dass der Rechner läuft, während die Person nicht im Raum ist. Deshalb ist das Argument der T-Online-Hotline-Dame, man müsse seinen Rechner immer im Auge behalten, lachhaft. Jede andere Website ist schließlich auch in der Lage, relevante Daten per Passwort zu schützen.
Außerdem geht es hier nicht nur um Sicherheit, sondern auch um Mobilität: Wenn man seine eigenen Kundendaten von einem fremden Rechner aus ändern will - etwa weil man gerade umzieht und durch die Schusseligkeit der Telekom nicht zum beauftragten Termin wieder ins Netz kann -, dann geht das nicht, weil man automatisch, also zwangsweise bei den Daten des Einwählenden landet.
Immerhin gibt es bei der Hotline auch solche Mitarbeiter, die nicht von vornherein alles abstreiten und nach einer kleinen Denkpause zugeben, dass es sich hier offensichtlich um eine Sicherheitslücke handelt - wobei es dazu wie fast immer in solchen Fällen aus falsch verstandener Nutzerfreundlichkeit kam: um den Usern lästige Eingaben zu ersparen.