• Jobs
  • Immo
  • Auto
  • Kleinanzeigen
  • Trauer
  • Hochzeit
  • Guide
  • Shop
  • Tickets
  • nordbuzz
  • Fußball
  • Werben
  • Kontakt
 
NWZonline.de Region Stadt Oldenburg Wirtschaft

Ärger: Passwort geknackt: Hacker verschickt 2684 SMS

20.04.2011

OLDENBURG 2684 SMS innerhalb von 21 Minuten. Wer kann so schnell tippen? Menschen nicht, aber Hacker mit einem speziellen Programm. Und so sollte NWZ -Leser Thomas Perrottet plötzlich für 2684 SMS zahlen, die von seinem Computer verschickt worden waren.

Zugang zum Kundenportal

Der Hacker muss sich die Zugangsdaten für das Ewetel-Kundenportal beschafft haben. Zwei Szenarien kann sich der Leiter des Technischen Kundenservices von Ewetel, Johannes Wiggermann, dafür vorstellen: Entweder hat er einen Zettel mit dem notierten Passwort gefunden. Das wäre die einfache Variante, so Wiggermann. Oder der Hacker hat eine Software programmiert, einen Keyfinder (Schlüsselfinder), der nach und nach alle gängigen Passwörter ausprobiert – bis er das richtige findet. Die wahrscheinlichere Variante.

Mit diesem Passwort konnte sich der Hacker von jedem beliebigen Computer übers Internet in das Portal einloggen. Dort können Ewetel-Kunden ihre Rechnungen einsehen, Zugangsdaten ändern – und Web-SMS verschicken.

Inhalt unbekannt

Der Hacker schickte die erste Kurzmitteilung um 23.01 Uhr los, die letzte um 23.22 Uhr. Die deutschen Handynummern, an die die SMS gingen, fangen alle mit der Nummer 0173/66 53... an.

Den Inhalt der SMS kennt keiner: Thomas Perrottet hat damals nicht bei den Empfängern nachgefragt, die Staatsanwaltschaft hat das Verfahren ohne Ergebnisse eingestellt, der Ewetel-Kundenservice darf nach Auskunft Wiggermanns aus Datenschutzgründen nicht nachfragen.

Ihm bleiben nur Vermutungen: Wahrscheinlich hätten die SMS alle den gleichen Wortlaut, höchstwahrscheinlich einen Werbetext. Auf diese Weise kann sie der Hacker, für sich kostenlos, verschicken. Geld verdienen würde er an den Kurznachrichten, mutmaßt Wiggermann, wenn der SMS-Text dann noch eine Rückruffunktion auf eine kostenpflichtige Telefonnummer enthalten würde.

Neue Daten für Kunden

Wie viele Opfer dadurch geprellt wurden, weiß niemand. Fest steht nur die Rechnung von Thomas Perrottet: Eine SMS kostet 10,1 Cent, die 2684 SMS kosten 270,08 Euro. Wie auch Sabine Schröder von der Verbraucherzentrale Oldenburg in so einem Fall empfiehlt, hat er den abgebuchten Betrag zwar sofort wieder zurückgebucht. Doch die Ewetel schickte ihm erneut diese Rechnung, und später eine Mahnung.

Immerhin: Nachdem die NWZnachfragte, erließ das Unternehmen seinem abgezockten Kunden die Hälfte des Betrags – aus Kulanz, wie Birgit Lüdemann, Mitarbeiterin der Unternehmenskommunikation betont. Rechtlich verpflichtet sei Ewetel dazu nicht. „Aus Sicht der Rechtsprechung ist das, einfach ausgedrückt, das Pech des Kunden. Jeder Kunde ist verpflichtet seine Zugangsdaten gut zu sichern“, so Lüdemann. Thomas Perrottet hat mittlerweile neue Zugangsdaten.

Was ihn aber weiterhin ärgert, ist, dass die Ewetel ihn erst am nächsten Tag über den kostenträchtigen Hacker-Angriff informiert hat, anstatt die SMS-Flut gleich zu stoppen. Zwar informiert ein programmierter Filter die Ewetel-Mitarbeiter über ungewohnt hohe Kostenbeträge auf der Rechnung, aber automatisch gesperrt wird der Zugang nicht. „Wir können unseren Kunden grundsätzlich nicht verbieten, sehr viele SMS auf einmal zu verschicken“, erklärt Wiggermann.

Stefanie Dosch Newsdeskmanagerin / Politikredaktion
Rufen Sie mich an:
0441 9988 2098
Meine Themen: Verpassen Sie keine für Sie wichtige Meldung mehr!

So erstellen Sie sich Ihre persönliche Nachrichtenseite:

  1. Registrieren Sie sich auf NWZonline bzw. melden Sie sich an, wenn Sie schon einen Zugang haben.
  2. Unter jedem Artikel finden Sie ausgewählte Themen, denen Sie folgen können.
  3. Per Klick aktivieren Sie ein Thema, die Auswahl färbt sich blau. Sie können es jederzeit auch wieder per Klick deaktivieren.
  4. Nun finden Sie auf Ihrer persönlichen Übersichtsseite alle passenden Artikel zu Ihrer Auswahl.

Ihre Meinung über 

Hinweis: Unsere Kommentarfunktion nutzt das Plug-In „DISQUS“ vom Betreiber DISQUS Inc., 717 Market St., San Francisco, CA 94103, USA, die für die Verarbeitung der Kommentare verantwortlich sind. Wir greifen nur bei Nutzerbeschwerden über Verstöße der Netiquette in den Dialog ein, können aber keine personenbezogenen Informationen des Nutzers einsehen oder verarbeiten.