Alles fing damit an, dass ich in der Mittagszeit über eine Meldung bei Gulli stolperte: „Datenleck bei T-Com – bis zu 14 Millionen Kunden betroffen„. Mittlerweile schreiben alle darüber. Ahja, noch ein Datenskandal, dachte ich. Erschreckend, wie beiläufig so etwas nach T-Mobile, Lidl und Deutsche Bahn heute wahrgenommen wird. Die Originalquelle war schnell gefunden, hier der wichtigste Absatz der Erklärung:
Durch eine sehr simple Sicherheitslücke ist davon auszugehen, dass die gesamte Liste der Haupt-E-Mail-Adressen der T-Online-Kunden in die Hände von unbefugten Dritten (Spam-Versender und Datenhändler) gelangt ist. Das Sicherheitsteam von RESISTO hat das Auslesen dieser Daten unter Aufsicht von neutralen Sicherheitsexperten unter Beweis stellen können und möglicherweise sind viele Millionen Kunden von diesem neuen Datenleck betroffen.
„Ist davon auszugehen…“, „möglicherweise“ – klingt solide. Bevor wir uns aber an den Inhalt der Meldung machen, schauen wir erst einmal nach ihrem Urheber. Die Resisto IT GmbH? Hinter dem Laden steckt der Erotikmillionär Tobias Huch (wir erinnern uns: „Ich habe beim Bayerischen Verwaltungsgerichtshof Beschwerde gegen die Beschlagnahmung meines Porsche Turbo eingelegt.“), der vor einigen Monaten T-Mobile auf den Verlust von 17 Millionen Kundendaten hinwies. Jetzt ist er also Geschäftsführer der Resisto IT GmbH, die offenbar nichts anderes macht, als erwerbsmäßig vermeintliche Skandale aufzudecken. Auf resisto.com kann ich jedenfalls nichts anderes über die Firma finden, ihr etwa?
Da der Erklärung kein Datum vorangestellt war, rätselten wir hier erst gemeinsam darüber, ob es sich noch um einen Aprilscherz handeln könnte. Das ließ sich leicht überprüfen: „Die RESISTO informierte Ende der Woche pflichtgemäß den Landesbeauftragten für den Datenschutz in Rheinland-Pfalz.“ Also hin zum Apparat und artig die Behörde angerufen. Am Hörer ist der leitende Ministerialrat Dr. Klaus Globig. Ich frage ihn, ob er denn auch Wind von dem skandalösen Vorfall bekommen hätte. „Joah“, sagt er im gemütlichen Werthers Echte-Ton. „Und?“ Er erweckt den Eindruck, als ob die Resisto-Notiz ganz unten in der Ablage liegen würde – noch unter den Quittungen der Einkaufsabteilung und der Butterbrottüte vom Morgen. „Herr Huch hat ein kleines Programm geschrieben, das die Gültigkeit von E-Mail-Adressen überprüfen kann.“ – „Also kein Skandal?“ – Am anderen Ende der Leitung wird hörbar ausgeatmet. Ich bedanke mich für das Gespräch und lege auf.
Ich wähle unsere Kontaktnummer bei T-Home, schildere den Fall und werde zügig mit dem Leiter der Presseabteilung verbunden, was entweder daran liegt, dass die Sache wirklich ernst ist – oder alle anderen einfach im Urlaub sind. Nach den ersten Wortwechseln wird klar, dass die zweite Vermutung die richtige ist: „Das Programm nutzt dieselbe Systematik, die Spammer bereits seit Jahren nutzen. Es wird getestet, ob E-Mail-Adressen funktionieren, oder nicht“, sagt der Sprecher. Von einer „Sicherheitslücke“ zu sprechen, sei daher mehr als falsch. „Wir nutzen alle Sicherheitsmaßnahmen, um die Kunden zu schützen.“ 250 Millionen E-Mails würden tagtäglich über die Telekom-Server abgewickelt. 90 Prozent würden dabei als Spam identifiziert und herausgefiltert.
Auch bei GMX, dessen Freemailer-Dienst nach Meinung von Resisto ebenfalls betroffen sei, stoße ich auf lächelndes Kopfschütteln. Die hier angewandte Methode sei nicht nur umständlich, sondern auch uneffektiv:
So weist die Qualität einer Liste, die sich über den Registrierungsprozess generieren lässt, große Mängel auf. Die Adressen sind nicht allesamt valide, da auch gesperrte, inaktive und nach einer Postfach-Löschung noch nicht wieder freigegebene Account-Adressen als vermeintlich existierendes Mail-Postfächer qualifiziert werden.
Zudem ist der quasi „händische“ Quercheck wie im vorliegenden Szenario sicher deutlich aufwändiger als die ggfs. automatisiert mögliche Erstellung und Austestung umfangreicher Postfach-Adresslisten durch alphabetische Kombination aller möglichen Vor- und Nachnamen von A-Z.
…heißt es in dem angeforderten Statement der GMX-Presseprecherin Nadja Elias. Kurz gesagt: Man kann Spammer nicht daran hindern, nach dem Trial and Error-Verfahren ihre Adresslisten immer weiter aufzustocken. Die einzig effektive Methode wäre es, den Dienst komplett einzustampfen. GMX beispielsweise versucht dem Spam-Problem Herr zu werden, indem selbst „eingängige Adressen“ registriert werden, die praktisch als Falle fungieren. Außerdem würden Spammer, die versuchen Müll-Accounts per Script anzulegen, schon lange vom System erkannt und „verfolgt“.
Was vom gigantischen Datenleck bleibt, ist wenig. Vergleichbar mit der Meldung: „Achtung! Morgen stürzen 100.000 Lux aus dem Weltall auf die Erde“, wenn ich auch sagen könnte: „Morgen gibt es schönes Wetter.“
Wer dennoch Interesse daran hat, zu überprüfen, ob auch die eigene E-Mail-Adresse von der „Sicherheitslücke“ betroffen ist, kann sich das Tool von der Resisto-Site (die ich nicht noch einmal verlinke) kostenlos herunterladen. Ach ja: Um dies tun zu können müssen zunächst Benutzername und Passwort vergeben und die E-Mail-Adresse preisgeben werden. Wie ein Blick in die knappe Datenschutzerklärung verrät, werden diese Daten dann auch auf unbestimmte Zeit von Resisto IT gespeichert. Um „Missbrauch“ zu verhindern, wie es heißt.
(André Vatter)
