Klartext statt Sicherheit
EWE schlampt mit Kundenkennwörtern
Wer beim Strom- und DSL-Anbieter EWE sein Kennwort vergisst, bekommt es per Post im Klartext zugeschickt. Dahinter steckt ein problematisches Sicherheitskonzept aus grauer Vorzeit.
Als Herr W., c’t-Leser und Kunde des Strom- und DSL-Anbieters EWE Mitte September einen Brief von EWE in seinem Briefkasten fand, ahnte er nichts Böses. Schließlich hatte er kurz zuvor wegen eines vergessenen Kennworts für die Online-Dienste des Unternehmens mit der Hotline telefoniert. Das Kennwort sollte zurückgesetzt und ihm Ersatz per Post zugeschickt werden. Soweit nicht ungewöhnlich.
Doch was er im Brief las, verschlug ihm als IT-Sicherheitsinteressierten die Sprache: Da stand sein eigenes Kennwort, das ihm zuvor entfallen war. EWE hatte es also nicht zurückgesetzt und ein Zufallskennwort für den Übergang ausgewürfelt, sondern sein Kennwort aus der Datenbank ausgelesen, auf Papier ausgedruckt und per Post verschickt. Voller Unverständnis wandte er sich an unsere Redaktion.