Wir werden das goneo-Kundencenter nun mit einem neuen Sicherheitsfeature ausstatten. Eine der wichtigsten Herausforderungen in der Informationstechnologie ist die Sicherheit. Ganz besonders gilt das auch für die Onlineservices, die goneo anbietet.
Erweiterter Modus nach zusätzlichem Code
Im goneo-Kundencenter führen wir einen zusätzlichen Modus ein. So gibt es jetzt den eingeschränkten Modus und den erweiterten Modus.
Für besonders sensible Änderungen an Einstellungen muss man den erweiterten Modus aktivieren.
Damit man sieht, in welchem Modus man sich befindet, erweiterten wir die obere Menüzeile im goneo-Kundencenter:
Nach dem Anmelden mit Kundennummer und Passwort befindet sich das Kundencenter im eingeschränkten Modus.
Klickt man oben im Menü auf die Worte „eingeschränkter Modus„, erscheint eine neue Seite. Auf dieser Seite befindet sich ein Button: „Code für erweiterten Modus anfordern„.
Nach dem Klick auf diesen Button sendet das System eine E-Mail an die E-Mail-Adresse, die im goneo-Kundencenter angegeben ist.
Erst wenn man als Kunde bzw. Kundin den Code aus der E-Mail eingegeben hat, wechselt das Kundencenter in den erweiterten Modus.
Daher ist es nun ganz wichtig, dass die im goneo-Kundencenter angegebene E-Mail-Adresse gültig ist und funktioniert. Sollte diese Angabe geändert werden müssen, so ist dies nur über den goneo-Kundendienst möglich. Ein Formular („Kundendatenaktualisierung, Formular zur Aktualisierung Ihrer Kundendaten“), befindet sich hier: https://wiki.goneo.de/goneo_formulare_pdf .
Nur im erweiterten Modus kann man eine neue E-Mail-Adresse hinzufügen. Auch Änderungen der allgemeinen Daten unserer Kunden und Kundinnen sind dann möglich.
Auch an den Stellen im Kundencenter, an denen sensible Änderungen möglich sind, gibt es Links zur Aktivierung des erweiterten Modus.
Abwehr von Angriffen
Im Frühjahr 2022 sahen wir viele Versuche, Zugangsdaten für Administrationsbereiche wie das goneo-Kundencenter abzugreifen.
Der Trick: Mit einer alarmistischen E-Mail wird ein User/eine Userin aufgefordert, sich einloggen. Ein Link in der E-Mail führte augenscheinlich zu einer Login-Seite. Doch diesen war einfach nur nachgebaut. Sie lag auf irgendeinem Server.
Optisch war sie von unserer Originalseite kaum unterscheidbar. Nur wer sich die URL genau angesehen hat, hat gemerkt, dass die Seite auf einem fremden Server liegt.
„Phishing“ bezeichnet man den Versuch, echte Login-Daten zu erschleichen. Oft genug vielen Empfänger solcher Spammails auf die Betrugsmasche herein. Auch Nutzer und Nutzerinnen von Banking-Apps etc. kennen das Problem. Sie haben ihre Zugangsdaten auf der Fake-Seite eingegeben, um das vermeintliche Problem zu lösen.
Oft werden gekaperte Mailpostfächer verwendet, um Spam zu versenden. Der kriminelle Missbrauch durch Phishing geht aber hin bis zum Identitätsdiebstahl.
Durch diese kriminellen, aber schwer nachverfolgbaren Aktionen entstand Schaden.
„Die volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, werden in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt.“
BSI
Nicht unerheblich ist der Aufwand, Antispamlistenanbieter zu kontaktieren und dafür zu sorgen, dass missbrauchte Mailserver keine Gefahr mehr darstellen.
Zwei-Faktor-Authentifizierung für das goneo-Kundencenter
Die optionale Zwei-Faktor-Authentifizierung gibt es weiterhin. Diese baut auf Smartphone-Apps auf, die einen knapp befristet gültigen Code liefert. Beim Login gibt man diesen Code zusätzlich ein.
Selbst wenn jemand unberechtigt Kenntnis der geheimen Zugangsdaten hat, ist so noch eine zweite Überprüfung vorgeschaltet, an der der Angreifer scheitert.
Wer sich mit 2FA am goneo-Kundencenter anmeldet, befindet sich bereist im erweiterten Modus und kann alle Änderungen wie bisher ohne weitere Codeeingabe ausführen.
Beim heutigen Login (27.06.22) wird mir der neue Reiter mit MODUS nicht angzeigt. Ist diese Funktion noch nicht freigeschaltet?
Doch, das ist für alle Kunden so. Es handelt sich allerdings nicht um einen Tab/Reiter. Erst wenn man angemeldet ist, sieht man rechts oben “erweiteter Modus“ bzw. „abgeischerter Modus“ (dort wo auch die Paketbezeichnung steht.
Seit ein paar Jahren wird hier im Blog beschrieben wie wichtig doch 2FA ist – und das Kundenzenter hat das ja bereits auch gelernt. Aber wann folgt 2FA für webmail?
Eine Zweifaktorauthentifizierung für IMAP ist schwierig, da IMAP von sich aus nicht alle Zweifaktorauthentifizierungsmechanismen unterstützt. IMAP-Clients können nur sehr einfache Authentifizierungsmechanismen wie Benutzername und Passwort verwenden, weshalb es schwierig ist, die zusätzliche Authentifizierungsstufe zu implementieren. Bei IMAP wird die Verbindung zwischen Client und Server ständig auf- und abgebaut, im Prinzip nach jeder Interaktion im Client. So müsste der zusätzliche Faktor ständig neu angefordert werden. Das gilt auch für Webmail als Mailclient. Im Hintergrund greift die Webmail-Instanz auch per IMAP auf den Mailserver zu. Man könnte sinnvollerweise nur den IMAP-Zugriff sperren und Webmail veranlassen, die Mails anders abzuholen.