Bei CableLink, dem Internet-Dienstleistungsangebot der Salzburg AG, können Supportmitarbeiter auf Loginnamen und Passwort von Kunden für das Service Center zugreifen. Das geht aus einer E-Mail hervor, die einem Kunden zugesandt wurde.
Dieser hat die Nachricht auf Facebook veröffentlicht. "Die Zugangsdaten zum Service Center sind uns natürlich, als Ihren Provider, immer ersichtlich", heißt es darin. Auf Nachfrage bestätigt Herbert Stranzinger, Leiter des Bereichs "Netzvertrieb Telekommunikation", diesen Umstand gegenüber dem WebStandard.
Entschlüsselbar
Die Logindaten, so erklärt er, werden allerdings nicht im Klartext gespeichert, sondern verschlüsselt hinterlegt. Mitarbeiter, die darauf zugreifen möchten, müssen dafür ein eigenes Entschlüsselungstool verwenden. Der Helpdesk wird nicht von der Salzburg AG selbst betrieben, sondern vom Unternehmen Conova.
Missbrauchsmöglichkeiten
Im Service Center selbst sind unter anderem Tarif, genutzte Dienste und Stammdaten des Kunden (Name, Adresse, E-Mail-Adresse) ersichtlich. Außerdem können Dienste konfiguriert und unter anderem auch neue Webspaces oder Mail-Adressenangelegt werden, was Potenzial für Identitätsklau bietet. Auf die Mailbox des Kunden sowie dessen Nachrichten kann allerdings nicht zugegriffen werden, hierfür gibt es einen separaten Login.
Ein böswilliger Mitarbeiter könnte allerdings die im Konto angegebene E-Mail-Adresse sowie das Kundencenter-Passwort zum Einbruch in andere Konten nutzen. Denkbar wäre dies etwa beim Onlinehändler Amazon oder Facebook, wo für den Login die E-Mail-Adresse anstelle eines Pseudonyms genutzt wird. Verwendet der User dort die bei der Salzburg AG hinterlegte E-Mail-Adresse und auch das gleiche Passwort, wäre dies erfolgreich möglich.
Kontrollen
Allerdings, so Stranzinger, gibt es Kontrollmechanismen, die den Missbrauch der Logins verhindern sollen. So wird automatisch protokolliert, welcher Mitarbeiter wann auf die Daten welches Kunden zugreifen und ob dabei das Passwort entschlüsselt wurde, oder nicht. Die Errechnung des Klartexts ist auch nur dann erlaubt, wenn der Kunde einen entsprechenden Wunsch äußert, wozu wiederum ein entsprechendes Support-Ticket vorliegen muss.
Veralteter Passwort-Standard
Die Passwörter für das Service Center sind auf eine fixe Länge von acht Zeichen eingestellt und Sonderzeichen werden nicht akzeptiert. In Verbindung mit den fest vergebenen Usernamen, die aus einem stets gleichen Präfix aus vier Zeichen sowie einer offenbar fortlaufenden Nummer bestehen, erleichtert dies potenziell Angriffe von außen.
Für die Mailbox der Kunden hingegen gelten seit Mitte 2013 aktuelle Bestimmungen (acht bis 16 Zeichen, zumindest ein Kleinbuchstabe, Großbuchstabe, eine Ziffer und ein Sonderzeichen).
Neues System in Arbeit
"Ja, wir wissen, dass es neuere Sicherheitsstandards gibt", erklärt Stranzinger. Seit Ende letzten Jahres sei ein neues System in Arbeit, in welches auch das Online-Kundenzentrum integriert werden soll. Nach der Implementierung, die für das dritte Quartal vorgesehen ist, sollen Helpdesk-Mitarbeiter die Logindaten nicht mehr einsehen können. Ab dann gelten auch höhere Standards für die Service Center-Passwörter.
Zudem ist die Einführung zweistufiger Authentifizierung geplant, wobei das genaue Verfahren noch nicht fest steht. Derzeit können CableLink-Nutzer ihre Service Center-Logins beim Vergessen des Passworts nicht selber zurücksetzen, sondern müssen dies telefonisch oder per E-Mail erfragen.
CERT-Kritik
Der WebStandard hat die Sicherheitsexperten von CERT.at zum Status Quo um Einschätzung gebeten. Zur rechtlichen Relevanz möchte man dort kein Urteil abgeben, die Möglichkeit der Entschlüsselung der Kundenlogins durch Supportmitarbeiter erachtet man allerdings als bedenklich. (Georg Pichler, derStandard.at, 09.01.2014)