Das vergangene Wochenende gestaltete sich für T-Mobile Austria turbulent. Denn es stellte sich heraus, dass der Mobilfunker offenbar einen unsicheren Umgang mit Passwörtern pflegt. Diese sind offenbar, zumindest teilweise, im Klartext hinterlegt. Denn um Kunden zu verifizieren, haben Mitarbeiter Einsicht in die ersten vier Zeichen, wie man auf eine per Twitter gestellte Anfrage mitteilte. Der folgenden Entrüstung konnte man zuerst nicht folgen. Hingewiesen auf die Gefahr des Passwortklaus im Falle eines Datenlecks hieß es lediglich: "Was, wenn das gar nicht erst passiert, weil unsere Sicherheit erstaunlich gut ist?"

Das Unternehmen will nun Konsequenzen aus diesem Security- und PR-Debakel ziehen, zumal zahlreiche Sicherheitsexperten die Praxis in den folgenden Stunden zerpflückten. Nun hat man sich mit einer Stellungnahme an die Öffentlichkeit gewandt.

Sicherheit soll "so rasch wie möglich" verbessert werden

Man hält fest, dass Passwörter auch bis jetzt verschlüsselt gewesen seien. Die Datenbanken seien geschützt und die Infrastruktur würde regelmäßig auf Lecks geprüft. Die bisherige Praxis sei aus Gründen der Benutzerfreundlichkeit gepflegt worden, und bisher habe es auch keine Datenlecks gegeben.

Jedoch nehme man die Diskussion "sehr ernst". Künftig wolle man die Kundenpasswörter "salten" und "hashen", was dem "State of the Art" entspreche. Zudem will man ein zweites Sicherheitsmerkmal schaffen, über das sich Kunden in Shops oder per Telefon identifizieren könnten. Wann man diese Schritte umgesetzt haben wird, wollte man noch nicht terminisieren. Es sei aber angestrebt, dies "so rasch wie möglich" zu tun.

UPC und WK Wien verschickte Passwörter im Klartext

Derweil rückt auch die Sicherheitspraxis eines anderen heimischen Providers in den Fokus. Wie ein Kunde auf Twitter offenlegt, verschickte etwa UPC – das im Laufe der zweiten Jahreshälfte von T-Mobile Austria übernommen werden soll – Passwörter an seine Businesskunden im Klartext.

Dabei geht es allerdings nicht um automatisch generierte Passwörter für den ersten Login oder nach einer Zurücksetzung des Passwortes, sondern um die von den Nutzern selbst festgelegten Kennwörter – mit entsprechenden Sicherheitsgefahren.

UPC gibt gegenüber dem STANDARD allerdings Entwarnung: Diese Praxis sei nicht mehr aktuell, der Prozess sei "in den vergangenen Wochen geändert worden". Kunden erhalten nun nur noch für den erstmaligen Login ein vorgeneriertes Passwort per Post oder Mail.

Offenbar auch Klartextversand bei WK Wien

Auch die Wirtschaftskammer Wien soll Passwörter für ihre Kooperationsplattform "Pool" im Klartext verschicken. Laut dem Nutzer, der dies in einem Tweet belegt, sei ihm jedoch versichert worden, dass man derzeit an einer neuen Plattform arbeite, die aktuellen Sicherheitsstandards genügen soll.

Gegenüber dem STANDARD erklärte die WK Wien, dass man derzeit an einer neuen Datenbank für Pool arbeite. Diese solle "bis zum Sommer" fertig sein. Dann würden auch die Passwörter verschlüsselt hinterlegt. (gpi, 09.04.2018)

Update, 18.34 Uhr: Stellungnahme von UPC ergänzt, laut der keine Passwörter mehr im Klartext verschickt werden.

Update, 10.04., 14:15 Uhr: Stellungnahme der WK Wien ergänzt.