Durch eine Sicherheitslücke soll es möglich sein, alle Haupt-E-Mailadressen von T-Online-Kunden auszuspäen. Laut Resisto IT sind vermutlich bereits bis zu 14 Millionen Datensätze in die Hände von Cyber-Kriminellen gelangt.

Test unter Aufsicht

Resisto ist es in Anwesenheit von Sicherheitsexperten des Rheinland-pfälzischen Datenschutzbeauftragten gelungen, Hauptadressen der T-Online-Kunden auszulesen. Laut Resisto-Chef Tobias Huch war dies für sein Team kein großes Problem, da es durch den alphanumerischen Aufbau bei T-Online ausreicht, die Mailnamen hochzuzählen. Rein rechnerisch reichten 100 Milliarden kurze Server-Anfragen, um die Datenbank zu plündern, sagt er. "Wenn wir uns anstrengen, haben wir innerhalb einer Woche alle Haupt-E-Mailadressen."

Die Haupt-E-Mail-Adresse ist keine Adresse, die der T-Online-Kunde nutzt, sondern ein Nummerncode, der etwa so aussehen könnte: 1231234567890001. Im Prinzip läuft das Ausspäen der Daten so ähnlich wie im Fall eines vergessenen Passworts. Sobald der Angriffsrechner eine richtige Nummer ausgeknobelt hat, bekommt er vom T-Online-Server eine Bestätigung.

Auch andere betroffen

"Wir haben auch bei Web.de und GMX ähnliche Sicherheitslücken entdeckt", sagt Huch. Diese seien aber wesentlich kleiner als bei T-Online. "Bei ihnen bräuchten wir aber mit Sicherheit ein paar Wochen länger, um einen großen Datenbestand zusammen zu haben", schätzt er. Um es bildlich darzustellen könnte man sagen, die Löcher bei Web.de und GMX sind so groß wie ein Stecknadelkopf, bei T-Online so groß wie ein See."

Resisto hat das Problem dem Datenschutzbeauftragten von Rheinland-Pfalz mitgeteilt. Zu Huchs Überraschung leugnet die Telekom die Existenz einer Sicherheitslücke. Es gebe keine Datenlücken und auch keinen Datendiebstahl, sagt ein Telekom-Sprecher. Bei dem Bericht von Resisto gehe um ein Austesten von E-Mails, um an Mail-Adressen zu kommen. Dabei würden massenhaft Mails mit erdachten Empfängern abgeschickt. Falls dabei keine Negativ-Rückmeldung vom Server erfolge, werde die Mail-Adresse als gültig festgehalten. Dies habe aber mit Datenlücken nichts zu tun, betont der Sprecher.

GMX und Web.de reagieren

Die Argumentation der Telekom sei unsinnig, widerspricht Huch, denn sein Team habe keine Standard-E-Mail-Adressen wie monika.mustermann@t-online.de ausprobiert, sondern habe die Haupt-E-Mail-Adressen abgefragt, was eben nicht so einfach gehen dürfe. "Web.de und GMX, die viel kleinere Lücken hatten, haben sofort reagiert", sagt er und wundert sich über die Telekom. Er sei schließlich kein Dummschwätzer. Damit hat er recht, denn Huch deckte bereits den Datenskandal bei T-Mobile im vergangenen Oktober auf. "Ich glaube, seitdem mögen die mich bei der Telekom nicht besonders", sagt er. "Vielleicht sollten wir den kompletten Datensatz rausziehen, um sie zum Handeln zu bewegen."

Aufwendig wäre das Schließen der Lücke für T-Online nicht. "Die nötigsten Maßnahmen hätte ein fähiger Systemadministrator in einem halben Tag erledigt", sagt Huch. Vielleicht arbeitet die Telekom ja schon an dem Problem und will es nur nicht an die große Glocke hängen. Die Spam-bedrohten Kunden wären sicher dankbar.