T-Mobile Austria – Wir speichern Ihre Passwörter im Klartext, aber machen Sie sich keine Sorgen, unsere Sicherheit ist außerordentlich gut!
Der letzte Freitag war für T-Mobile Austria tatsächlich außerordentlich.
Falls Sie die Twitter Kommunikation der Social-Media Spezialisten der T-Mobile Austria mit ihren Kunden noch nicht gesehen haben finden sie das Thema unter diesem Link: http://archive.is/6566W
Es ist nicht meine Absicht T-Mobile Austria oder die involvierten Social-Media Manager in irgendeiner Weise bloßzustellen, allerdings gibt es ein paar wichtige Lektionen in diesem Desaster.
Ihren Anfang hat diese Geschichte in einer Frage der Twitter Userin Claudia Pellegrino @c_pellegrino an T-Mobile Austria. Im Wortlaut: „Does T-Mobile Austria in fact store customers‘ passwords in clear text”. Worauf sich ein, für T-Mobile Austria, relativ unerfreulicher Austausch zwischen einigen Nutzern und den Social-Media Verantwortlichen des Unternehmens entwickelt hat. Zwei Kernaussagen von T-Mobile, welche sich eigentlich gegenseitig ausschließend, seien hier hervorgehoben:
T-Mobile: „We store the whole password, because you need it for the login for mein.t-mobile.at“
(Wir speichern das gesamte Passwort, weil Sie (anm: der Kunde) es für das einloggen auf mein.t-mobile.at brauchen.)
Anmerkung: Aus dem Kontext der vorangegangenen Nachrichten ist es ersichtlich das diese Passwörter im Klartext gespeichert werden
T-Mobile: „What if this doesn’t happen because our security is amazingly good?“
(Was, wenn das nicht passiert, weil unsere Sicherheit unheimlich gut ist?)
Anmerkung: Dies war die Antwort auf das Posting eines anderen Nutzers der die Problematik einer nicht verschlüsselten Passwortdatenbank im Falle eines Einbruchs hervorgehoben hatte
Heutzutage gibt es absolut keinen sinnvollen Anwendungsfall der die Verwendung und/oder Speicherung von Klartextpasswörtern legitimieren würde. Kryptographische Methoden zur Passwortsicherung gelten seit Jahrzehnten als Industriestandard und Customer Service Mitarbeiter, oder andere Benutzer, sollten niemals die Möglichkeit haben Ihr Passwort im Klartext zu lesen.
Es ist anzunehmen das T-Mobile Austria moderne technische Sicherheitslösungen in ihren Netzwerken haben, aber die Tatsache das sie Passwörter im Klartext speichern und internen Mitarbeitern zugänglich machen, beweist einen Mangel an formellen Sicherheitsbestimmungen und, unternehmensweit etablierten Sicherheitsstandards. Offenbar war Sicherheit auch bei der Implementierung der Kundendatenbanken nicht oberstes Gebot. Ohne durchdachte, unternehmensweit durchgesetzte Sicherheitsrichtlinien und die dazugehörigen Prozesse und Abläufe nütz einem auch die beste technische Sicherheitslösung nichts.
In diesem Zusammenhang ist es auch wichtig festzuhalten das richtig implementierte und gelebte IT Sicherheit nicht nur die Daten vor den internen und externen Nutzern beschützt, sondern auch die Nutzer vor den Daten. In einer Situation in der die Support Mitarbeiter Zugang zu unverschlüsselten Nutzer Anmeldedaten haben, ist die Möglichkeiten für eine missbräuchliche Nutzung beinahe unbegrenzt. Wenn dann in einer solchen Situation ein Einbruch auf diesen Systemen oder Diebstahl dieser Daten passiert, kommen automatisch auch solche Mitarbeiter in den Fokus der Untersuchung. Man kann sich hinsichtlich der offensichtlich mangelnden Sicherheitsrichtlinien nun auch vorstellen das sich manche dieser Support Mitarbeiter ihre Zugangsdaten auf ein Post-It schreiben und an den Monitor kleben, oder sie in einer stressigen Situation mit einem Kollegen, dessen eigene Daten aus irgendeinem Grund nicht funktionieren, teilen. Wie kann diese Person dann beweisen das es nicht sie war, die mit ihren Zugangsdaten die Informationen gestohlen hat?
Ein weiteres Problem das hier ans Licht kommt ist die Abwesenheit eines formellen, unternehmensweiten Risikomanagements. Es gibt hier drei Möglichkeiten, es wurde nie eine formelle und strukturierte Risikoanalyse durchgeführt, es wurde eine Solche durchgeführt aber die daraus resultierenden Daten nicht angewandt oder das Risiko-Akzeptanz Kriterium wurde viel zu hoch angesetzt. Eine Firma in der Größe von T-Mobile Austria die eine Unmenge an persönlichen Daten ihrer Kunden speichert, sollte sich einen Monat vor dem Inkrafttreten der DSGVO (die DSVGO gilt natürlich bereits, nur die beachtlichen neuen Strafen treten erst mit 25ten Mai in Kraft) nicht in einer solchen Situation befinden.
Was die ganze Affäre, aus einer Social-Media PR Perspektive, noch desaströser macht ist die Tatsache das einer der involvierten Unternehmenssprecher auf die Kommentare der Twitter Nutzer leicht irritiert reagiert hat. So wurde auf die Nachricht eines Nutzers der diese Praktiken in Frage gestellt hatte wie folgend geantwortet:
T-Mobile: „Excuse me? Do you have any idea how telecommunication companies work? Do you know anything about our systems? But I’m glad you have the time to share your view with us.“
(Entschuldigung? Haben Sie irgendeine Ahnung wie Telekommunikationsfirmen funktionieren? Wissen Sie irgendetwas über unsere Systeme? Ich danke Ihnen das Sie sich Zeit genommen haben ihren Standpunkt mit uns zu teilen.)
Der letzte Satz ist ganz offensichtlich sarkastisch gemeint und legt eine gewisse Arroganz gegenüber einem legitimen Problem an den Tag. Ganz abgesehen davon das diese Person selbst keine Ahnung von IT-Sicherheit hat, weder in der Telekommunikations- oder einer anderen Branche.
Wie schon am Anfang dieses Artikels erwähnt, ist es nicht meine Intention T-Mobile Austria anzugreifen. Diese Art von Problemen in der IT-Sicherheit und Privacy sind auch im Jahr 2018 extrem prävalent, sowohl in großen als auch in kleinen und mittelständigen Unternehmen. Es ist davon auszugehen das einige Unternehmen ein unsanftes Erwachen bevorsteht, wenn die ersten Bußgelder nach Einbrüchen oder Verletzungen der Datensicherheit ausgeteilt werden. Wir wissen alle das die IT-Sicherheit in den wenigsten Firmen direkt zum Umsatz beiträgt, aber sie als einen reinen Kostenfaktor anzusehen und damit nicht ernst zu nehmen ist im besten Fall ignorant und im schlechtesten Fall extrem schädigend für das betroffene Unternehmen und deren Kunden.
