Panne beim Telekom Cloud Manager: Adressverzeichnisse für jedermann einsehbar

Panne beim Telekom Cloud Manager: Adressverzeichnisse für jedermann einsehbar

Aufgrund eines kritischen Fehlers beim Einspielen von Software-Updates erhielten Kunden gehosteter Microsoft-Exchange-Umgebungen vorübergehend Einblick in die Adressbücher anderer Telekom-Kunden. Betroffen waren nach ersten Erkenntnissen rund 1.200 Kunden. Der Vorfall zeigt: Hundertprozentige Sicherheit bei Cloud-Diensten gab es nie - und wird es vermutlich auch nie geben.


Unbefugte erhalten zum wiederholten Male Zugriff auf sensible Daten

Die Telekom hat gegenüber der Wirtschaftswoche eingeräumt, dass Unbefugte in mehreren Fällen Zugriff auf Kontaktdaten von Firmen erhielten, deren Microsoft-Exchange-Umgebung von der Telekom unterhalten wird. Microsoft Exchange Server ist eine Software, die die zentrale Ablage und Verwaltung von E-Mails, Terminen, Kontakten, Aufgaben und weiteren Daten realisiert. Im Rahmen von Microsoft Office 365 kann die Software unter der Bezeichnung „Exchange Online“ auch über unternehmensfern betriebene Microsoft-Server betrieben werden. Dadurch können MitarbeiterInnen von Unternehmen im Team arbeiten, ohne sich am gleichen Ort aufhalten zu müssen. Die Wahl der Microsoft-Server ist vor allem für kleinere Unternehmen interessant, die keine ausgeprägte IT-Infrastruktur besitzen und deshalb nicht mit unternehmenseigenen Servern („on premise“) operieren können.

Sensible Daten in der Cloud – nicht ganz ungefährlich


Die Telekom wurde sich der Problematik offenbar erst nach der Anfrage durch die Wirtschaftswoche bewusst, die ihrerseits einen Hinweis eines Münchner Unternehmens erhielt. Gegenüber der Wirtschaftswoche erklärte die Telekom, dass schon im November 2016 Zugriffe stattgefunden hätten. Es könne nicht ausgeschlossen werden, dass bis zu 36 Kunden Einblick in fremde Kundendaten erhalten haben. Betroffen waren wohl NutzerInnen des Dienstes Telekom Cloud Manager. Ein „paralleler temporärer technischer Fehler“, der nicht genauer definiert wird, gilt als Ursache der Cloud-Sicherheitslücke. In der Praxis äußerte sich der Fehler dahingehend, dass nach dem Update plötzlich Tausende Kontaktdaten – teils inklusive E-Mail-Adressen und Telefonnummern – auf den Computern und Smartphones einiger Kunden synchronisiert worden waren. Auch dieser Fall zeigt: Grundsätzlich kann Cloud-basierte Software nützlich sein, denn sie vernetzt MitarbeiterInnen weltweit und kann Arbeitsprozesse vereinfachen und beschleunigen. Das geht aber nicht selten zu Lasten der Datensicherheit, weshalb sich Unternehmen Gedanken machen sollten, in welchen Bereichen Cloud-Dienste Sinn ergeben – dort wo sensible Daten durch die Leitungen rauschen wohl eher nicht.