Nachfrage im Zusammenhang mit einer IP Address Spoofing Attacke

Anlass und erste Anfrage beim telefonischen Kundenservice

Am 26. Dezember 2019 zwischen 20.35 Uhr und 20.44 Uhr versuchte jemand mittels IP Address Spoofing und Nutzung eines Bot in mein Netzwerk einzudringen. Binnen 9 Minuten konnten über 4Tausend Versuche registriert werden. Das Logfile zeigte dieselbe Adresse, die im selben Zeitraum via WhatIsMyIP.com als eigene Adresse ausgegeben wurde. Der Angriff war zwar nicht erfolgreich, dennoch sah ich Handlungsbedarf. Immherhin könnten mit dieser gekaperten IP Adresse andere cyberkriminelle Taten verübt werden, bzw. worden sein. Ich wandte mich am 3. Januar an den Kundendienst von Hutchinson Drei Austria unter 0800 2400 20.

Die Kundendienstmitarbeiterin im Callcenter von Hutchinson Drei Austria gab, nach einigen Missverständnissen zu, dass sie nicht wisse, was IP Address Spoofing sei und dass ihr bislang kein vergleichbarer Fall bekannt sei. Sie überprüfte die mir immer noch zugewiesene IP Adresse. Das führte zur Auskunft, dass diese IP Adresse einem Wiener Haushalt zugewiesen sei, dessen Adresse sie mir aus datenschutzrechtlichen Gründen nicht nennen könne. Obwohl ich ihr mitteilte, dass es nicht möglich sei, dass der Provider gleichzeitig eine IP Adresse zwei unterschiedlichen Anschlüssen zuweise und ich Bedenken bezüglich ihrer Auskunft zur IP Location äußerte, beharrte sie darauf.

Sie forderte mich auf, den Router neu zu starten und so eine neue IP Adresse zu generieren. Ich bat die Mitarbeiterin von Drei darum, das, was sie mir sagte, insbesondere die Wiener Adresse in der Kundenhistorie zu notieren, für den Fall einer polizeilichen Ermittlung. Das sagte mir die Dame zu. Entsprechend wurde durch Neustart des Routers eine neue IP Adresse generiert.

Da die Kundendienstmitarbeiterin nach eigenen Angaben zur Klärung der Frage, ob Hutchinson Drei technische Vorkehrung treffe, um IP Address Spoofing zu verhindern, keine Auskunft geben konnte, bat ich sie, mich an den technischen Support weiterzuverbinden. Sie entgegnete, dass ihr das per interner Dienstanweisung untersagt sei. Sie werde aber ein Ticket anlegen. Auf meine Bitte hin, mit die Ticket ID mitzuteilen, entgegnete sie, dass das nicht möglich sei, da es aufgrund technischer Probleme im System derzeit nicht möglich sei, Tickets anzulegen. Sie werde das aber erledigen, sobald die Probleme behoben sind. Ich könnte die Ticket ID bei einem weiteren Anruf erfragen. Als ich nach dem Namen fragte, gab mir die Kundendienstmitarbeiterin keine Auskunft, erst beim Nachfrage nannt sie mir einen Namen. Dieser erwies sich später allerdings als Fake.

Erneute Nachfrage beim telefonischen Kundenservice

Tags darauf meldete ich mich beim Kundenservice von Hutchinson Drei Austria, um mich nach der ID zu erkundigen. Die Mitarbeiterin erklärte mir, dass es zu meinem Anruf vom Vortag keinen Eintrag in der Kundenhistorie gäbe und auch kein Ticket erstellt wurde. Es gab nur ein technisches Protokoll, dass zu dieser Zeit das Modem neu gestartet wurde.

Daher erklärte ich der Kundendienstmitarbeiterin den Vorfall erneut, mit allen erforderlich technischen Details, wie Zeitpunkt, IP Adresse etc.pp. Sie notierte das, versicherte, dass sie das in der Kundenhistorie alles vermerkt habe und ein Ticket angelegen wolle. Sie übermittelte mir die Ticket ID und sagte einen Anruf, bzw. eine Nachricht seitens der Technik für die kommenden Tage zu.

Ich teile mit, dass ich mich zwischenzeitlich auch an die Cybercrime Abteilung im Bundeskriminalamt gewandt habe. Hier empfahl man mir, eine Anzeige zu erstatten, um im Zuge eines Ermittlungsverfahrens den Vorgang aufklären zu können. Vor einer Anzeige wollte ich die Auskunft von Hutchinson Drei abwarten.

Beschwerde

Ich schickte eine Beschwerde per E-Mail an Hutchinson Drei Austria, in welchem ich sowohl den Vorgang als auch den Vorfall mit der Kundendienstmitarbeiterin schilderte.

Weitere Nachfrage beim telefonischen Kundenservice

Nachdem ich eineinhalb Wochen keine Nachricht erhielt, rief ich erneut beim Kundenservice an. Dieser gab zur Auskunft, dass es weder vom 3.1. noch vom 4.1. einen entsprechenden Eintrag in der Kundenhistorie gäbe und dass die mir bekannt gegebene ID nicht klar zugewiesen werden könne, bzw. als technische Ticket ID einem Vorgang vom Oktober 2019 zugewiesen sei, der allerdings zu einem anderen Account gehöre.

Der Kundendienstmitarbeiter teilte mit, dass kürzlich meine Beschwerde zur Bearbeitung an die Technik weitergereicht wurde. Dorthin leitete er auch meinen Anfruf weiter. In der Technik konnte man mir zum Umgang mit IP Address Spoofing keine Auskunft geben, teilte mir aber mit, dass der Vorgang bearbeitet würde und ich innerhalb von zwei, längstens drei Wochen eine Antwort erhalten würde.

Beschwerde - Reaktion vom „Compliants Team” ^[sic]

Am 3.2. erreichte mich eine E-Mail vom Compliance Team Hutchinson Drei Austria, mit folgender Aufforderung: Um Ihnen genaue Auskünfte zu Ihrem Vertrag zu erteilen bitte ich Sie uns vorab Ihren persönlichen PIN mitzuteilen.

In meiner Antwort vom selben Tag bat ich um Verständnis, dass ich keinesfalls über ein unverschlüsseltes E-Mail, in welchem bereits meine Kundennummer bekannt gegeben wurde, die Kunden PIN verschicken würde. Ich bat darum, mir einen öffentlichen Schlüssel zu übermitteln, um via PGP die PIN verschlüsselt mitteilen zu können. Weiters wies ich darauf hin, dass die Bewerde und vor allem der Anlass der Beschwerde nichts mit meinem Vertrag zu tun hätte, sondern möglicherweise mit einer Sicherheitslücke bei Hutchinson Drei Austria namens IP Address Spoofing.

Am 5.2. meldete sich das Compliance Team per E-Mail und bat mit Hinweis darauf, dass ich meine Kunden-PIN nicht in einem unverschlüsselten E-Mail verschicken wollte, die Bescherde nochmals per Post und unterschrieben an Hutchinson Drei Austria zu schicken.

Am selben Tag habe ich per Fax die PIN an Hutchinson Drei Austria übermittelt.

Tweet zum problematischen Kundenservice bei Hutchinson Drei Austria

In einem Tweet habe ich auf dieses Blogpost hingewiesen. Noch am selben Tag hat darauf @dreioesterreich geantwortet, um eine Direktnachricht (DM) gebeten und um die Kundennummer. Man wolle der Angelegenheit nachgehen. Nachdem das geschehen war, hat sich tags darauf @dreioesterreich wieder gemeldet und bestätigt, dass es dabei ist, die Angelegenheit zu bearbeiten und versichert, dass man sich verlässlich via Twitter wieder melden wird. Das war das letzte, was ich via Twitter von drei Austria hörte.

Kundendienst und Identifizierung

Bei all meinen Anfragen, wie schon zuvor, als mein Vertrag noch unter tele2 lief, wurden zur Identifizierung per Mobiltelefon die Kundennummer und die Adresse verlangt. Zumal im Kundenaccount die Mobilfunknummer abgespeichert ist und am Display der Kundenservice unschwer erkennen konnte, dass der Anruf von einem bekannt gegeben Anschluss erfolgte, war es bislang nie zu Problemen bei der Identifizierung gekommen.

Bei einem Anruf verlangte der Kundendienstmitarbeiter eine PIN. Als ich erklärte, dass ich bislang noch nie nach einer PIN gefragt wurde, erklärte er mir, dass diese seit 12.12.2019 aufgrund einer internen Dienstanweisung mit Verweis auf verschärfte Datenschutzvorschriften zwingend erforderlich sei. Obwohl ich darauf hinwies, dass ich sowohl am 3.1. 2020 als auch 4.1.2020 problemlos ohne Nennung einer PIN Auskunft erhielt, meint der Mitarbeiter lakonisch: Ich empfehle Ihnen, das bei der Geschäftsführung zu melden. Es könne nicht sein, dass Kundendienstmitarbeiter*innen sich nicht an interne Dienstanweisungen hielten. Ich meinte dazu, dass es nicht meine Aufgabe sei, unternehmensinterne Probleme bereinigen zu helfen.

Auf Nachfrage, wie ich zu meiner PIN komme könne, bekam ich zur Auskunft, dass diese am Vertrag mit Verweis auf Datenschutz ersichtlich sei. In meinem Online Kundenaccount würde ich die PIN nicht finden (was, wie ich später feststellte, unzutreffend ist.) Nachdem ich erklärte, dass mein Vertrag mit tele2 vor vielen Jahren geschlossen wurde und sich dort keine PIN fände und die DSGVO erst 2018 wirksam wurde, meinte er: Ich müsste mit einem Personalausweis persönlich zu einem Servicepunkt von Hutschinson Drei gehen, um mich dort auszuweisen. Als ich erklärte, dass ich nicht glauben könne, dass ein Unternehmen Kunden ein solches Prozedere allen Ernstes zumuten würde, erklärte er, er könne mir auch per Post den PIN zuschicken, obwohl er überzeugt sei, dass auch das nicht datenschutzkonform sei und ich mich doch bitte persönlich am Servicepunkt identifizieren solle. Schließlich zeigte er sich bereit, die PIN per Post zuzuschicken, nicht ohne anzumerken, dass das sehr lange dauern könne.

Ich habe etwa 15 Minuten später erneut beim Kundenservice angerufen. Dort bekam ich wie bisher unter Bekanntgabe von Name, Adresse und Kundennummer die gewünschte Auskunft - ohne dass nach einer PIN gefragt wurde.

Es gibt offensichtlich viel zu tun beim Kundendienst von Hutchinson Drei Austria.

 

Photo by Austin Distel on Unsplash