Skandalöse Zustände bei der Telekom Mail-Sicherheit

Unter der Überschrift "Postraub eingebaut" fragte Spiegel Online im Frühjahr 2004: "Was passiert, wenn aktuelle WLAN-Technik auf die eher betagte E-Mail-Technologie von T-Online trifft?" Zuvor hatte Stefan Schickedanz, der Autor des Aufsehen erregenden Mängel-Berichts, ohne jegliche Hackertools - geschweige denn Hackerkenntnisse - auf einer Reise elf E-Mails aus dem ungesicherten WLAN-Netzwerk eines fremden T-Online-Users auf seinem Laptop empfangen. Alles, was er tun musste, war, das fremde WLAN anzuwählen und den Receive-Button von Microsoft Outlook anzuklicken, in der Absicht, auf diesem Wege seine eigenen T-Online-Mails unterwegs ohne lästige Modem-Einwahl abzurufen. Die beiden Klicks machten ihn zum Enthüllungsjournalisten.

Das Risiko offener WLANs war seinerzeit schon hinreichend bekannt, aber dass ausgerechnet beim Premium-Anbieter T-Online das T-Online-Postfach des Benutzers nicht nur jedem legitimen Mitbenutzer, sondern auch jeglichen Eindringlingen offen steht wie ein Scheunentor, wussten damals nur wenige Experten. Dazu zählten vornehmlich die bereits betroffenen Kunden, deren Frust sich von außen weitgehend unbemerkt in den Service-Hotlines entlud. Entsprechend groß war die Überraschung in der Öffentlichkeit. Schon Minuten nach der Veröffentlichung des Online-Berichts erreichten den Autor Hunderte Leserbriefe von frustrierten T-Online-Heimnetzwerkbetreibern und amüsierten Journalistenkollegen.

Tenor: Endlich schreibt es mal einer. Sogar Spiegel TV besuchte den Hacker wider Willen, der mit seinem harmlosen orange-farbenen iBook den rosa Riesen in der Öffentlichkeit vorführte.

Nun sollte man meinen, dass ein Marktführer mit Premium-Anspruch spätestens nach diesem Skandälchen die längst überfällige Lösung herbeiführt - sprich die Postfächer der User beim so genannten POP3-Abruf über Mailclients wie Microsoft Mail, Outlook oder auch Apple Mail standardmäßig durch Abfrage von Benutzerkennung und Passwort schützt und somit die Inhalte vor allen anderen im Netzwerk eingeloggten Teilnehmer sichert. Experten amüsierten sich damals schon darüber, dass selbst die Gratisanbieter wie Freenet, GMX oder Web.de ihren Kunden diese Mindestsicherheit boten, während T-Online sich damit zufrieden gab, wie im Modemzeitalter, wo sich jeder Rechner separat einwählte, lediglich die Zugangsdaten des Benutzers beim Verbindungsaufbau zum Internet zu prüfen.

Doch jetzt kam jener Samstag rund vier Jahre später: Der falsche Kerl zur falschen Zeit am falschen Ort. Tatort: Das Mythenzimmer eines Motto-Hotels. Das Hotel Drei Raben in der Nürnberger Innenstadt bietet seinen Kunden kostenloses WLAN an. Der Autor, der gerade von einer Messe kommt, loggt sich mit seinem Laptop ein (inzwischen ist das orange durch ein weißes iBook ersetzt) und fragt über den Safari-Browser seine Mails ab. Das Fenster des Apple Mail-Clients bleibt unbeachtet - sprich ausgeblendet - im Dock, weil der Empfang der T-Online-Mails unterwegs damit bisher sowieso nie möglich war. Die E-Mails des .mac-Accounts funktionieren zwar auch unterwegs einwandfrei, aber der Account dient nur als Ausfall-Reserve, sollte T-Online einmal den Dienst versagen.

So bemerkt der reisende Reporter erst viel später zuhause, dass 108 neue E-Mails in seinem T-Online-Postfach von Apple Mail warten. Schnell bemerkt er dann die andere T-Online-Empfänger-Adresse vom Hotel Drei Raben. Darunter private Mails, Reservierungs-Bestätigungen und wie heutzutage üblich natürlich auch jede Menge Spam. Das Prickelnde daran: Mit dem Abruf über das iBook wurden die Mails auf dem Server nach dem Abrufen gelöscht. Unangenehm, wenn die beiden Wissenschaftler auf Singapur an der Rezeption feststellen sollten, dass ihre Reservierungs-Bestätigung nie angekommen sein sollte.

Unglaublich, bedenkt man, dass es damals so schien, als wäre neben allem Abwiegeln der Verantwortlichen so etwas wie ein Weckruf durch die Hallen des Darmstädter Telekommunikationsanbieters gegangen. "Dass es natürlich möglich ist, fremde WLANs anzuzapfen, ist klar. Aber dass Sie fremde E-Mails abrufen können, schockt mich jetzt schon", wunderte sich seinerzeit Ralf Sauerzapf, Pressesprecher für Technik und Kundenservice bei T-Online. "Da muss ich mich auch erst mal bei unseren Technikern schlau machen."

Damals bot Sauerzapf ("Der Vorteil der Freiheit bringt auch Gefahren mit sich") nach Rücksprache mit den Technikern des Hauses lediglich eine konkrete Lösung für den weithin bekannten, aber letztlich harmloseren Teil des Problems an. Er verwies auf eine T-Online-Serviceseite mit einer Anleitung zur sicheren Konfiguration des WLAN-Routers, über den sich mehrere PCs einen Internetzugang teilen können. Das schützt aber nur vor unerwünschten Eindringlingen und verhindert nicht, dass etwa wie im damaligen Fall die Frau des seiner Mails beraubten Krimiautors Gerhard Dommermuth-Gudrich ("Das Gold von Megalochorio") sich am Ende mit Modem ins Internet einwählte, um nicht dauernd mit der Abfrage ihrer eigenen T-Online-Mails die Mailbox ihres Mannes zu leeren.

Wie die Telekom auf den neuen Skandal reagiert, lesen Sie auf Seite 2...