Bei einer Migration der von der Telekom verwendeten Management-Software kam es zu einem Datenleck: Ein Geschäftskunde des Unternehmens fand in seinem Serveradressbuch plötzlich tausende fremder Einträge, teilweise mit Postanschrift und Durchwahlen. Darunter auch Kontakte von Sicherheitsbehörden und Polizeien. Dies geht aus Informationen von der Wirtschafts Woche und heise Security hervor.

Die Cloud Manager genannte Software wird laut Telekom seit November auf eine neue Version migriert. Insgesamt rund 2300 Kunden nutzen nach Angaben des Unternehmens dessen Cloud-Dienste und damit den Cloud Manager, um die von ihnen genutzten Cloud-Angebote, darunter Microsoft Exchange, zu verwalten. In mindestens einem Fall kam es am vergangenen Wochenende dazu, dass ein Exchange-Kunde der Telekom in seiner Globalen Adressliste (GAL) tausende Kontaktdaten anderer Exchange-Nutzer vorfand – teilweise inklusive Durchwahlen, Jobtitel ("Management", "Geschäftsführer") und Postanschriften.

Heikel ist das in jedem Fall, da sich solche Angaben hervorragend als Ausgangsbasis für gezielte Social Engineering-Angriffe missbrauchen lassen. Im Datensatz finden sich Vertreter von großen Organisationen wie einem Car-Sharing-Anbieter oder einem Tankstellenbetreiber sowie tausende kleinere Organisationen. Im Fall der Bediensteten von Behörden wie Landesämtern für Verfassungsschutz, der Bundeswehr oder Länderpolizeien, die unter Umständen besonders auf den Schutz ihrer Daten angewiesen sind, ergibt sich zudem ein Sicherheitsrisiko.

Telekom informiert betroffene Kunden

Die Telekom bestätigte das Problem, nachdem sie von heise Security auf das Problem aufmerksam gemacht wurde. Sie schrieb zudem alle von dem Datenleck betroffenen Kunden an, um den Vorfall zu erklären. In mindestens einem Fall erfuhr ein Kunde erst durch diese E-Mail von der Migration – nachdem sie schon passiert ist. Zudem wurden die "Aufsichtsbehörde über den Datenschutzvorfall informiert", so die Telekom.

Ein großflächiges Problem sieht die Telekom nicht: Laut dem Unternehmen soll lediglich ein Kunde Zugriff auf die erweiterte GAL – und somit auf die Adressbücher anderer Kunden – gehabt haben. Ein von heise Security befragter Exchange-Fachmann hält das nicht unbedingt für wahrscheinlich. Seiner Auskunft nach müssten die übrigen auf dem betroffenen Exchange-Cluster gehosteten Kunden ebenfalls Zugriff auf die vergrößerte GAL gehabt haben. Ob der Betroffene auch fremde Postfächer hätte öffnen können, ist derzeit noch unklar.

Technische Vorkehrungen gegen das Datenleck

Ein Vertreter eines Dienstleisters, der selbst Hosted-Exchange-Angebote betreibt, erklärte gegenüber heise Security, dass es in der Vergangenheit aufgrund eines Bugs in Exchange 2013 durchaus möglich war, durch eine Fehlkonfiguration nicht nur die GAL, sondern auch Postfächer für alle auf dem geteilten Server gehosteten Kunden zugänglich zu machen. Nachdem die Zugriffsrechte für GAL und Postfächer aber unterschiedlich gehandhabt werden, ist eine Isolation des Problems auf die Adressliste durchaus wahrscheinlich. Inzwischen hat die Telekom "technische Vorkehrungen getroffen, damit ein solcher Zugriff in Zukunft nicht mehr möglich ist". Künftig müssen Mitarbeiter bei einem Update sicherstellen, dass die Aktualisierung durchlief und alle Nutzungsrechte wieder passen. Erst dann bekommt der Kunden wieder Zugriff auf die Cloud-Dienste.

Update vom 8. Dezember, 15:45: Angaben zu den durch die Telekom getroffenen technischen Maßnahmen ergänzt. Neben dem oben schriebenen Fehler vom Wochenende gab es bereits Anfang November ein fehlerhaftes Migrationsskript, das in bis zu 36 Fällen ebenfalls unerwünschte Einblicke in fremde Kundendaten möglich machte. (rei)