Diskussionsforum
  • 04.12.2019 10:29
    memyselfandI schreibt

    Frage an den Autor Alexander Kuch

    Wenn der Beitrag nicht als Werbung im Kleide eines Fachbeitrages daherkommen soll, könnten sie dann ein wenig beleuchten inwieweit das unkritisch beworbene Verhalten ein Sicherheitsrisiko für DTAG und Kunden darstellen können? Wer haftet wenn jemand am gleichen Kupferkabel eine anderes Modem anmeldet un in meinem Namen Dienste in Anspruch nimmt? (ja, auch die komplette Telefonie wurde auf die Fritzbox provisioniert)?
  • 04.12.2019 10:39
    Kuch antwortet auf memyselfandI
    Hallo,

    der Dienst "Easy Login" der Telekom kann freiwillig genutzt werden, das muss er aber nicht zwingend. Wer Sicherheitsbedenken hat oder bei wem tatsächlich die Gefahr besteht, dass Fremde am Anschluss so etwas machen, der kann sich ins Telekom-Kundencenter einloggen und "Easy Login" deaktivieren.

    Dann müssen beim Neuanschluss eines Routers wie bisher korrekte Zugangsdaten händisch eingegeben werden.

    Hier ist es erklärt:

    https://www.telekom.de/hilfe/auftrag-erste-schritte/einrichtung-festnetz-internet-und-tv/was-ist-easy-login
    https://telekomhilft.telekom.de/t5/Kundencenter-Telekom-Login/Easy-Login-im-Kundencenter-aktivieren-oder-deaktivieren/ta-p/3779809

    Alexander Kuch
  • 04.12.2019 13:06
    memyselfandI antwortet auf Kuch
    Benutzer Kuch schrieb:
    > Hallo,
    >
    > der Dienst "Easy Login" der Telekom kann freiwillig genutzt
    >
    werden, das muss er aber nicht zwingend. Wer
    >
    Sicherheitsbedenken hat oder bei wem tatsächlich die Gefahr
    >
    besteht, dass Fremde am Anschluss so etwas machen, der kann
    >
    sich ins Telekom-Kundencenter einloggen und "Easy Login"
    >
    deaktivieren.
    >
    > Dann müssen beim Neuanschluss eines Routers wie bisher korrekte
    >
    Zugangsdaten händisch eingegeben werden.
    >
    > Hier ist es erklärt:
    >
    > https://www.telekom.de/hilfe/auftrag-erste-schritte/einrichtung-festnetz-internet-und-tv/was-ist-easy-login
    >
    https://telekomhilft.telekom.de/t5/Kundencenter-Telekom-Login/Easy-Login-im-Kundencenter-aktivieren-oder-deaktivieren/ta-p/3779809
    >
    > Alexander Kuch

    2x grob gegen grundlegende Standards verstoßen:

    1.) DTAG setzt ohne wirksame Kundeninformation auf eine faktisch deaktivierte Authentication.
    2.) DTAG setzt dies als Standardeinstellung. Das ist natürlich totaler Blödsinn, da faktisch jeder bis zur Ankunft des Briefes mit den Zugangsdaten den Anschluss ohne Einschränkungen nutzen kann. Erst mit den Nutzerdaten hat der richtige Kunde Zugang zum Telekom-Kundencenter und kann dies abstellen.

    Weiterhin sehe ich hier im teletarif.de, insbesondere bei Herr Kuch keinerlei brauchbare redaktionelle/jounalistische Aufarbeitung dieser Meldung mit Verlinkung zu ordentlichen Beiträgen im teletarif Archiv welche sich z.B. mit den Sicherheitsaspekten befassen.

    Ich gewinne eher den Eindruck dass Herr Kuch ein geradezu vernachlässigbares bis kein Risiko in faktisch abgeschalteter Authentication sieht.
  • 04.12.2019 14:02
    Kuch antwortet auf memyselfandI
    Hallo,

    das Sicherheitsrisiko ist uns sehr wohl bewusst, es besteht aber tatsächlich nur dann, wenn jemand sich gewaltsam Zutritt zur Wohnung verschafft, in der der Anschluss geschaltet ist.

    Sie gehören zu den Anwendern, die den Sicherheitsaspekt an die erste Stelle setzen. Das ist Ihr gutes Recht und darum dürfen Sie "Easy Login" auch gerne in Ihrem Kundencenter deaktivieren.

    Es gibt aber sicher mehrere tausend Kunden, die hoffnungslos damit überfordert sind, eine Routeroberfläche aufzurufen, sich zunächst mit Passwort in einen Router einzuloggen, dort den richtigen Menüpunkt zu finden und dort die Zugangsdaten korrekt einzugeben.
    Insbesondere bei FRITZ!Boxen war dies früher sehr schwierig, da technisch unbedarfte Nutzer kaum wussten, dass der Benutzername bei der Telekom in der Form [Anschlusskennung][T-Online Nummer/Zugangsnumm­er][#][Mit­benutzernummer]@t-online.de zu bilden ist. Im Speedort-Router gabs natürlich für jede Nummer schon immer ein eigenes Feld, bei den FRITZ!Boxen gab es das aber früher nicht. Nur ein Tippfehler oder eine fehlende Null bei der Mitbenutzernummer - und das Ding ging nicht online.

    Daran sind sicher einige auch technisch bewanderte Nutzer gescheitert, die dann die Hotline anrufen mussten - und den Aufwand wollte die Telekom verringern.

    Also hier findet wie so oft eine Abwägung zwischen Bequemlichkeit/weniger Kundenbeschwerden auf der einen Seite und höhere Sicherheit/mehr Komplexität auf der anderen Seite statt

    > da faktisch jeder bis zur Ankunft des Briefes mit den Zugangsdaten den Anschluss ohne Einschränkungen nutzen kann.

    ... und genau das wollen Kunden heutzutage: Nicht warten, sondern sofort lossurfen! Angst vor einem Einbrecher, der sich am Internet-Anschluss zu schaffen macht, dürften deutlich weniger Kunden haben.

    Alexander Kuch
  • 04.12.2019 16:03
    KaiserFranz antwortet auf Kuch
    Benutzer Kuch schrieb:
    > das Sicherheitsrisiko ist uns sehr wohl bewusst, es besteht
    >
    aber tatsächlich nur dann, wenn jemand sich gewaltsam Zutritt
    >
    zur Wohnung verschafft, in der der Anschluss geschaltet ist.

    Na, das ist nun nicht richtig. Man muss sich 'nur' irgendwo auf die Doppelader klemmen, das kann ja irgendwo im Treppenhaus / Keller oder sogar von draußen sein.

    Aber wie schon geschrieben wurde, zu Zeiten der Analogtelefonie war das auch schon so.

    KF
  • 04.12.2019 16:39
    memyselfandI antwortet auf Kuch
    Benutzer Kuch schrieb:
    > Hallo,
    >
    > das Sicherheitsrisiko ist uns sehr wohl bewusst, es besteht
    >
    aber tatsächlich nur dann, wenn jemand sich gewaltsam Zutritt
    >
    zur Wohnung verschafft, in der der Anschluss geschaltet ist.
    >
    > Sie gehören zu den Anwendern, die den Sicherheitsaspekt an die
    >
    erste Stelle setzen. Das ist Ihr gutes Recht und darum dürfen
    >
    Sie "Easy Login" auch gerne in Ihrem Kundencenter deaktivieren.
    >
    > Es gibt aber sicher mehrere tausend Kunden, die hoffnungslos
    >
    damit überfordert sind, eine Routeroberfläche aufzurufen, sich
    >
    zunächst mit Passwort in einen Router einzuloggen, dort den
    >
    richtigen Menüpunkt zu finden und dort die Zugangsdaten korrekt
    >
    einzugeben.
    > Insbesondere bei FRITZ!Boxen war dies früher sehr schwierig, da
    >
    technisch unbedarfte Nutzer kaum wussten, dass der Benutzername
    >
    bei der Telekom in der Form [Anschlusskennung][T-Online
    >
    Nummer/Zugangsnumm­er][#][Mit­benutzernummer]@t-online.de zu
    >
    bilden ist. Im Speedort-Router gabs natürlich für jede Nummer
    >
    schon immer ein eigenes Feld, bei den FRITZ!Boxen gab es das
    >
    aber früher nicht. Nur ein Tippfehler oder eine fehlende Null
    >
    bei der Mitbenutzernummer - und das Ding ging nicht online.
    >
    > Daran sind sicher einige auch technisch bewanderte Nutzer
    >
    gescheitert, die dann die Hotline anrufen mussten - und den
    >
    Aufwand wollte die Telekom verringern.
    >
    > Also hier findet wie so oft eine Abwägung zwischen
    >
    Bequemlichkeit/weniger Kundenbeschwerden auf der einen Seite
    >
    und höhere Sicherheit/mehr Komplexität auf der anderen Seite
    >
    statt
    >
    > > da faktisch jeder bis zur Ankunft des Briefes mit den
    > >
    Zugangsdaten den Anschluss ohne Einschränkungen nutzen kann.
    >
    > ... und genau das wollen Kunden heutzutage: Nicht warten,
    >
    sondern sofort lossurfen! Angst vor einem Einbrecher, der sich
    >
    am Internet-Anschluss zu schaffen macht, dürften deutlich
    >
    weniger Kunden haben.
    >
    > Alexander Kuch


    Herr Kuch, ich mache mir Sorgen um sie.

    1.) Sie vermitteln den Eindruck dass leichter Zugang zu Telekommunikation­sdienstleistungen zwangsläufig nur unter Preisgabe von Sicherheit zu haben ist.

    2.) Sie tun so als ob Sicherheit generell für die Mehrheit nachrangig ist und dann zwangsläufig kein brauchbares Angebot mehr für die vermeintliche Minderheit anbieten muss. Und das als Marktführer DTAG.

    Es existieren seit jahrzehnten brauchbare Methoden um mit dieser Problematik kostengünstig UND kundenfreundlich umzugehen, nur sucht die Industrie immer noch einen für sie kostengünstigeren Weg und finden offenbar mit ihnen und teletarif ein williges, unkritisches Sprachrohr.

    Niemand zwingt die DTAG statt ihren Legacy-Verhau von verschiedenen IDs einfach username/PW zu nutzen.

    Niemand zwingt die DTAG und andere Anbieter auf etablierte und einfach zu handhabende HW-Token zu verzichten.

    Niemand zwingt irgendeinen Betreiber dazu NICHT einfach vorkonfigurierte Modems zu verschicken, welche dann einfach per Telefon (das sollte dann jeder schaffen) netzwerkseitig freigeschalten werden.

    Wo ist der Beitrag von Teletarif um dem gemeinen User all die Möglichkeiten aufzuzeigen?
  • 04.12.2019 16:24
    memyselfandI antwortet auf foxtrot.kilo
    Benutzer foxtrot.kilo schrieb:
    > Schon mal dran gedacht, wie sich das die letzten 100 Jahre bei
    >
    jedem Telefonanschluss verhalten hat? Bei ISDN genau das
    >
    gleiche. Hatte auch niemand ein Problem mit.

    Ist das jetzt Argument oder Feststellung?

    Und ihre Behauptung "Hatte auch niemand ein Problem mit." ist völliger Unsinn. Sie verwechseln "ich habe persönlich kein Problem damit" mit "niemand hat ein Problem damit".
  • 04.12.2019 17:02
    einmal geändert am 04.12.2019 17:03
    marius1977 antwortet auf memyselfandI
    Benutzer memyselfandI schrieb:
    > Benutzer foxtrot.kilo schrieb:
    > > Schon mal dran gedacht, wie sich das die letzten 100 Jahre bei
    > >
    jedem Telefonanschluss verhalten hat? Bei ISDN genau das
    > >
    gleiche. Hatte auch niemand ein Problem mit.
    >
    > Ist das jetzt Argument oder Feststellung?
    >
    > Und ihre Behauptung "Hatte auch niemand ein Problem mit." ist
    >
    völliger Unsinn. Sie verwechseln "ich habe persönlich kein
    >
    Problem damit" mit "niemand hat ein Problem damit".

    Was für eine Panikmache hier im Forum mal wieder! Wenn sich jemand illegal auf meine TAL schaltet ist das ein ganz anderes Problem. Da hätte der Bösewicht schon zu Analogzeiten 0900-Nummern anrufen können oder unter meiner Nummer andere zu belästigen.
    Ist alles an den Haaren hier herbeigezogen, BNG hat eben insbesondere im Support viele Vorteile. Heutzutage noch Zugangsdaten per Hand einzugeben bzw. manuell per Briefpost zu versenden ist absolut daneben.
  • 04.12.2019 17:19
    memyselfandI antwortet auf marius1977
    Benutzer marius1977 schrieb:
    > Benutzer memyselfandI schrieb:
    > > Benutzer foxtrot.kilo schrieb:
    > > > Schon mal dran gedacht, wie sich das die letzten 100 Jahre bei
    > > >
    jedem Telefonanschluss verhalten hat? Bei ISDN genau das
    > > >
    gleiche. Hatte auch niemand ein Problem mit.
    > >
    > > Ist das jetzt Argument oder Feststellung?
    > >
    > > Und ihre Behauptung "Hatte auch niemand ein Problem mit." ist
    > >
    völliger Unsinn. Sie verwechseln "ich habe persönlich kein
    > >
    Problem damit" mit "niemand hat ein Problem damit".
    >
    > Was für eine Panikmache hier im Forum mal wieder! Wenn sich
    >
    jemand illegal auf meine TAL schaltet ist das ein ganz anderes
    >
    Problem. Da hätte der Bösewicht schon zu Analogzeiten
    >
    0900-Nummern anrufen können oder unter meiner Nummer andere zu
    >
    belästigen.
    > Ist alles an den Haaren hier herbeigezogen, BNG hat eben
    >
    insbesondere im Support viele Vorteile. Heutzutage noch
    >
    Zugangsdaten per Hand einzugeben bzw. manuell per Briefpost zu
    >
    versenden ist absolut daneben.

    Sie können nicht strukturiert argumentieren. Nicht genehme Argumente werden also zur Panikmache. Oder sind an den Haaren herbeigezogen weil nach ihrem Bauchgefühl das nie niemals niemand macht und deswegen für den Rest der Menschheit kein Risiko ist.
    Ich habe auch niemals in Abrede gestellt dass diese Art der Provisionierung ein Vorteil für den Support ist. Daher verstehe ich ihre Bemerkung nicht.
    Auch haben "Bösewichte" schon immer ungeschützte Leitungen übernommen. Wenn sie das persönlich für sich als hinnehmbares Risiko erachten fein.
    Aber hören sie bitte auf zu suggerieren dass alle anderen das ebenso sehen müssen.

    Lösen lässt sich das Dilemma recht einfach:

    Easy-Login default=off

    Und dediziert bei Vertragsabschluss erfragen und wenn Kundenwunsch dann Easy-Login=on. Vertrauen sie mir, so etwas in einer Provisionierungsumgebung abzubilden ist seit Jahrzehnten möglich, es wird nur einfach nicht getan, teils aus Inkompetenz, teils aus Desinteresse, teils aus schnöden kommerziellen Erwägungen.