Hallo Henning,
Leider haben viele Unternehmen das Problem, dass man einfach den Lauf der Zeit verpasst hat und immer noch unsichere Authentifizierungsmechanismen verwendet.
Dazu kommt, dass Konzerne wie die Deutsche Telekom die Herausforderung haben, möglichst viele Vertriebswege zur Verfügung zu stellen und mit den
eingerichteter Sicherheitsstufen Mitarbeiter nicht zu "überfordern" und
damit die Produktivität zu "gefährden".
Das mag zwar blöd klingen, ist aber ein eindeutiges Problem.
Die Deutsche Telekom beschäftigt alleine in den T-Punkten ca. 5.500 Mitarbeiter.
Wer schon einmal im T-Punkt war, und auch nur ein bisschen was von IT weiß, kennt deren technisches KnowHow und kann sich vorstellen, wie schwierig es ist eine einheitliche Sicherheitsrichtlinie durchzusetzen.
Dazu kommt das das Verständnis von Sicherheit bei vielen schlicht nicht da ist, da bietet es sich natürlich an eine einfache Benutzername/Kennwort Kombination einzusetzen - mit verherenden Folgen wie man sieht - .
Methoden zur starken Authentifizierung gibt es seit Jahren, und man sollte erwarten dass diese Methoden in Bereichen auch genutzt werden wo
massenhaft Daten gesammelt werden.
Sollte man meinen, ist aber leider nicht die Praxis.
Scheibar hat die Deutsche Telekom jetzt verstanden, dass der Faktor "Mensch" hier eine eindeutige Rolle spielt in diesem Szenario.
Die Überlegung mit den TAN ist daher sicher nicht die schlechteste, wenn auch nicht eindeutig ausgereift. Ich bin auch gespannt was für Lösungen mach sich überlegt, wenn SIM Karten nicht verfügbar sind oder der Handy Empfang nicht mehr gewährleistet ist.
Aber eins ist klar, mit der TAN Lösung ist man schon ein ganzes Stück weiter gekommen als sich mancher vielleicht erhofft hat.
Und wer weiß, wie sonst die Masse reagiert hätte, wenn OHNE diesen Skandal das TAN Verfahren aktiviert worden wäre.
Viel zu kompliziert, wie umständlich - das ist dann (leider) zu oft die Reaktion.
So schnell, wie man nun darauf umgestellt hat, oder umstellen will, muss zumindestens eine Idee der Lösung schonmal in irgendeiner Schublade geschlummert haben.
Eigentlich gibt es dutzende solcher Fälle jeden Tag, das hier ist nur mal wieder etwas spektakuläres weil es 30 Mio. Datensätze betrifft.
Wenn aber jemand gezielt Datensätze abgreifen möchte, kommt er mit einfachen
Methoden oft auch sehr weit, solange der Faktor "Mensch" da eine wesentliche Rolle spielt. Ob solche erfolgreichen Social Engineering oder Brute Force Angriffe aber dann wirklich an die Öffentlichkeit geraten, steht auf einem anderen Blatt.
Passwörter sind, egal von wem eingesetzt, ob als Kundenkennwort, Kundennummer oder Geburtsdatum, extrem unsicher, weil man in der Regel diese Kennwörter mit den zur Verfügung stehenden öffentlichen Quellen extrem leicht
deuten kann. Zumindestens wenn man es drauf anlegt.
Ich bin gespannt wie die Story weitergeht 
Nils
