Hotel-WLANs
Die setzen aber alle die freiwillige Mitwirkung des Benutzers und - hier liegt der eigentliche Haken - auch Eigeninitiative bei der Informationsbeschaffung voraus. Die Maßnahmen sind keineswegs unübersehbar (der Autor erfuhr nur beiläufig durch einen aufmerksamen Leserbriefschreiber davon) und gi...
Die setzen aber alle die freiwillige Mitwirkung des Benutzers und - hier liegt der eigentliche Haken - auch Eigeninitiative bei der Informationsbeschaffung voraus. Die Maßnahmen sind keineswegs unübersehbar (der Autor erfuhr nur beiläufig durch einen aufmerksamen Leserbriefschreiber davon) und gingen an den Kunden wie zum Beispiel den Betreibern des Hotel-WLANs spurlos vorbei. Üblich wäre es gewesen, die Bestandskunden auf die Sicherheitslücke hinzuweisen, die nötigen Änderungen zu forcieren und die Lücke dann final zu schließen. Während Banken kürzlich ihre Kunden nach einer kurzen Übergangsfrist zwangen, beim Telebanking im Interesse der eigenen Sicherheit von TAN auf iTAN umzusteigen, bricht die Telekom eine Lanze für den freien Willen der Kunden, soll heißen: Er muss sich selbst um die Sicherheitslücke kümmern.
Damit liegt der schwarze Peter letztlich bei den Usern, die dadurch je nach Interesse am Thema in eine Zweiklassen-Gesellschaft gespalten werden. Auf das Bankbeispiel reduziert hätten auch dort die Banken auf den Selbstschutz der Anwender spekulieren können. Trotzdem legten sie nach.
Anders der halbherzige Ansatz von T-Online, wo die Sicherheitsschwelle auch ohne kriminelle Energie ganz aus Versehen zu überwinden war: Nur wer sich um Informationen kümmert und sich des Risikos der T-Online-Basis-Technik bewusst ist, darf seine Mails nach reichlich Eigeneinsatz im Postfach des Premium-Anbieters sicher wähnen.
Formal kann sich T-Online darauf berufen, seine Hausaufgaben nach der Enthüllung vor vier Jahren gemacht zu haben. Trotzdem sollte man von einem Premium-Anbieter eigentlich erwarten, dass er keinen Kunden im Regen stehen lässt, auch wenn der vielleicht nicht so gut aufgepasst hat.
Am Ende bleiben Fragen: Warum passieren diese Dinge immer dem gleichen Kerl? Nur der Zufall verhindert offenbar, dass mehr Menschen betroffen sind. Jemand, der keinen eigenen POP 3 Account von T-Online auf seinem Rechner konfiguriert hat, kann selbst in einem risikobehafteten T-Online-Netzwerk keine fremden Mails abrufen. Üblicherweise ist nur der POP-3-Server des eigenen Anbieters eingetragen und nur dieser Eintrag stellt sich standardmäßig als Barriere zum freien Empfang von T-Online-Mails im Netzwerk heraus (speziell bei Altkunden, die ihre Account-Einstellungen schon Jahre nicht mehr angerührt haben). Wer in seinem Mail-Client pop.t-online.de eingetragen hat, bekommt dagegen ohne weitere Identitätsprüfung alle E-Mails von demjenigen, der sich bei T-Online mit seinen Zugangsdaten in Internet eingewählt hat, auf seinen Rechner übertragen. "Automatische Nutzerkennung" nennt das T-Online, während böse Zungen einfach von fehlender default-gemäßer Zugangskontrolle im Mail-Account sprechen könnten.
Ob via DSL oder Modem, ob via LAN- oder WLAN-Router spielt dabei keine Rolle. Seinerzeit machte der ob der mangelnden Sicherheit seines eigenen T-Online-WLANs überraschte Autor einen Versuch: Statt der T-Online-Benutzerkennung und des Passwortes, das er in Unkenntnis der wahren Umstände in die entsprechenden Felder seines Mail-Programms eingetragen hatte, schrieb er "Blablabla" in beide Felder. Doch er konnte zu seinem Entsetzen seine T-Online-Mails weiterhin problemlos empfangen. Der "Trick" funktioniert leider auch heute noch.
Eine Abhilfe, wie Pressesprecher Sauerzapf im Interview einräumte, gibt es seit den Enthüllungen vor vier Jahren. Nur scheinbar blüht sie eher im Verborgenen: Im T-Online-Kundencenter können sich T-Online-Mail-Benutzer via Webbrowser freiwillig ein Passwort für ihren POP-3-Mailaccount einrichten.
Am Hotelbetreiber gingen diese Verbesserungen offenbar spurlos vorbei: "Das überrascht mich jetzt nicht, dass Sie unsere Mails empfangen konnten, dieser T-Online-Bug ist seit Jahren bekannt. Der eigentliche Skandal ist, dass wir nicht zuletzt deshalb schon seit einem halben Jahr erfolglos versuchen, einen zweiten DSL-Zugang für unser Hotel zu bekommen. Wir möchten das öffentliche Netzwerk von unserem eigenen trennen.
Aber die Telekom hat schon zweimal Techniker geschickt, die angeblich die Leitung nicht finden konnten. Der letzte wollte eigentlich schon lange mit einem anderen Messgerät wiederkommen...", wundert sich Ralf Steinmann, Vizemanager des Verwöhn-Hotels Drei Raben, über das Service-Verständnis der Dienstleister-Kollegen aus der Telekom-Branche, denn auf die letzte Meile für den Arcor-Zugang wartet er auch noch. Zudem verrät er, dass sein Hotel nur wegen noch im Umlauf befindlicher alter Prospekte mit der T-Online-Mail-Adresse den Account überhaupt noch aufrecht erhält: "Wir verwenden inzwischen eine neue Mailadresse auf unser eigenen Domain, aber hin und wieder kommt auch via T-Online außer Spam noch etwas an."
Nicht angekommen sind ganz offensichtlich die vor vier Jahren eingeführten Neuerungen, die zwar einen digitalen Postraub-Skandal weniger wahrscheinlich machen, aber wie der Vorfall in Nürnberg beweist, nicht ausschließen - was man ohne vorsätzliche, professionelle Hackerattacken einzubeziehen von einem Marktführer eigentlich erwarten sollte. Das Sequel des Skandals kommt zwar wie bei Fortsetzungen von der Dramatik nicht mehr an das Original heran und T-Online kann den Kunden jetzt mit in die Verantwortung nehmen. Ein saurer Nachgeschmack bleibt. Die beiden Besucher aus Singapur bekommen ihr Zimmer trotzdem - der Dank dafür gebührt aber sicher nicht der Telekom.
Auf Seite 3: Telekom-Sprecher Sauerzapf im Interview
