Telekom und ZIP-Anhänge

Eine gefährliche Geschichte

Seit vielen Jahren bin ich Telekom-Mobilfunk-Kunde und habe meine Rechnung sehr lange nur postalisch erhalten.

Da das nicht zeitgemäß ist, bin ich im Juli 2022 auf RechnungOnline umgestiegen, das Online-Rechnungsportal der Deutschen Telekom. So weit, so gut. Seither erhalte ich einmal im Monat eine Plaintext-E-Mail mit folgendem Inhalt:

Absender: kundenservice-rechnungonline@telekom.de

Sehr geehrte Kundin,
sehr geehrter Kunde,

für die Adresse Hauptstraße 1, Kundenkonto 1234567890 erhalten Sie mit dieser E-Mail Ihre aktuelle Mobilfunk-Rechnung.

Rechnung 20125913492176 vom 08.08.2022 für Juli 2022, Betrag: 44,33 Euro.

Durch die Angabe eines Teils Ihrer Anschrift und Ihres Kundenkontos können Sie unsere E-Mail besser von eventuell gefälschten E-Mails unterscheiden. Weitere Sicherheitshinweise zu RechnungOnline finden Sie unter
www.telekom.de/rechnung-business/sicherheitshinweise.

Ihre Mobilfunk-Rechnung, den aktuellen Einzelverbindungsnachweis - sofern von Ihnen beauftragt - und das Rechnungsarchiv finden Sie unter
www.telekom.de/gk/rechnungonline-mobilfunk.

Freundliche Grüße

Ihre Telekom

TELEKOM DEUTSCHLAND GMBH
Internet: www.telekom.de
Konto: IBAN DE68 7002 0270 0667 3022 69, Hypovereinsbank | Handelsregister: Amtsgericht Bonn HRB 59 19, Sitz der Gesellschaft: Bonn
USt-IdNr.: DE122265872, Gläubiger-ID: DE93ZZZ00000078611, WEEE-Reg.-Nr.: DE60800328, Ges.-Nr.: 1030 | Pflichtangaben: www.telekom.de/pflichtangaben

Als Anhang an der E-Mail befindet sich die Rechnung in Form einer normalen PDF-Datei.

Nun ist seitens Telekom wohl seit Oktober 2022 der Wurm drin, denn seither erhielt ich E-Mails nur noch nach folgendem Schema:

Monat E-Mail
November 2022 keine
Dezember 2022 keine
Januar 2023 zwei E-Mails mit exakt gleichem Inhalt, davon eine mit PDF-Anhang, eine ohne (zeitlich leicht verzögert)
Februar 2023 keine
März 2023 zwei E-Mails mit exakt gleichem Inhalt, davon eine mit PDF-Anhang, eine ohne (zeitlich leicht verzögert)
April 2023 keine
Mai 2023 zwei E-Mails mit exakt gleichem Inhalt, davon eine mit PDF-Anhang, eine ohne (zeitlich leicht verzögert)

Weil mir in meiner Buchhaltung dadurch alle zwei Monate eine Rechnung gefehlt hat, habe ich am 30. Mai 2023 den Kundensupport kontaktiert:

Sehr geehrte Damen und Herren,

leider erhalte ich nur ziemlich genau jede zweite Rechnung per E-Mail. Können Sie bitte intern klären, wieso das der Fall ist?
Außerdem erhalte ich – in den Monaten in denen ich eine Mail erhalte – zwei Stück, wovon aber nur in einer der Anhang enthalten ist. Irgendwas passt da nicht. Habe die Mail ohne Anhang mal angehängt (Dateiendung bitte von xlsx auf eml ändern)

Ich freue mich auf Rückmeldung und Klärung.

Danke und Gruß
Christian Süßenguth

Ich erhielt auch prompt 8 Std. später eine Antwort:

 Guten Tag Herr Süßenguth,

wir haben Ihr Anliegen erhalten und ich habe mich darum gekümmert.

Sie schreiben uns, dass nicht alle Rechnungen per E-Mail ankommen.

Alle Einstellungen zum Versand der Rechnungen wurden überprüft und neu eingestellt. Sollten in Zukunft die Rechnungen weiterhin nicht ankommen, melden Sie sich bitte noch einmal bei uns.

Sie haben noch Fragen? Keine Sorge!
Wir stehen Ihnen jederzeit unter 0800 33 02828 oder schriftlich unter www.telekom.de/gk/kontakt zur Verfügung.

Ich freue mich, wenn ich Ihnen mit dieser Information weiterhelfen konnte und wünsche Ihnen noch einen angenehmen Tag.

Viele Grüße

i. A. XXX
Geschäftskundenservice 

Nun hieß es abwarten und Tee trinken. Als ich dann am 07. Juni 2023 wieder eine Rechnung per E-Mail erhalten habe, war ich schockiert.

Nicht deshalb, weil sich am Sendeverhalten mit zwei Mails, wovon eine ohne Anhang ist, nichts geändert hat, sondern weil an der Mail mit Anhang jetzt eine ZIP-Datei hing.

Der Versand von PDF-Dateien per E-Mail ist ja schon ein gefährliches Unterfangen, da auch Phishing-Mails oft einen PDF-Anhang besitzen. Ein PDF-Reader auf dem aktuellsten Stand ist also absolute Pflicht, um das Sicherheitsrisiko durch derartige Anhänge zu reduzieren.

Aber eine ZIP-Datei ist der Supergau. Nicht nur, dass dadurch das Angriffspotential für Phishing-Mails auf eine weitere Softwarekategorie ausgeweitet wird (Pack-Programme). Auch können sich darin beliebig viele schädliche Dateien befinden, von Bild- über PDF- bis hin zu ausführbaren Dateien. Und jeder Dateityp wird mit einer anderen Software geöffnet, die potentiell eine Sicherheitslücke enthalten kann.

In der mir zugeschickten ZIP-Datei waren folgende Dateien enthalten:

Screenshot des Inhaltes der ZIP-Datei

Was ein Endkunde mit der binären Signaturdatei Signatur_20012591259826.ads anfangen soll, ist mir schleierhaft. Laut einer Onlinerecherche handelt es sich dabei um eine Entwickler-Datei.

An Ada program specifications file is generally classified as a developer file used by applications developed using the Ada programming language.

Scheinbar nimmt es der Großkonzern mit der IT-Sicherheit seiner Kund:innen nicht so genau. Vodafone beispielsweise versendet überhaupt keine Anhänge per E-Mail, sondern verweist stets auf den Download aus dem Onlineportal. Selbiges gilt auch für die Telekom-Tochter Congstar – sollte man sich vielleicht innerhalb der eigenen Reihen ein Beispiel daran nehmen.

Ob mein Problem mit den doppelten Mails eines Tages gelöst wird? Ich weiß es nicht.

Aber eines ist sicher:
Der Versand von ZIP-Dateien als Anhang einer Rechnungs-E-Mail ist grob fahrlässig.

* * *

Update 08.06.2023 20:00

Auf erneute Anfrage bei der Telekom, sie mögen doch bitte das Problem mit den doppelten Mails nochmal unter die Lupe nehmen, erhielt ich prompt folgende Antwort:

Sehr geehrter Herr Süßenguth,

vielen Dank für Ihre E-Mail. Nach erneuter Überprüfung des Rechungversands wurde festgestellt, dass bei der Rechnung zusätzlich die Signatur eingestellt war, welche als Zip-Datei mitgesendet wurde.

Dies wurde nun deaktiviert und die Rechnungsform wieder auf PDF umgestellt.

Sollte es trotzdem erneut Komplikationen geben, zögern Sie bitte nicht, sich umgehend bei uns zu melden.

Der Support "löst" also Probleme durch das Anhaken von weitgehend zweckbefreiten "Signaturfeldern", die dann den Versand als ZIP-Datei verursachen? Übrigens wurde die Signatur nicht als ZIP-Datei mitgesendet, sondern alle Anhänge in genau eine ZIP-Datei verpackt. Autsch...

Ob mein Problem dadurch gelöst wird? Ich bezweifle es...

In einem Monat weiß ich mehr.

* * *
Christian Süßenguth Christian Süßenguth @sweetgood

Hi, ich bin Inhaber der Firma SWEETGOOD. Mit dem andersGOOD Blog möchte ich auch dich für datensichere IT-Lösungen begeistern. So bringst du dein Unternehmen voran, ohne großen Konzernen deine wertvollen Daten zu liefern. Probiers mal anders!


Kommentarbereich

Die Kommentare sind für dich noch deaktiviert, da du dem Setzen von Cookies bisher nicht zugestimmt hast.
Klicke oben rechts auf "Ja, klar!" und lade die Seite neu, um die Kommentare anzuzeigen.

Seite neu laden

👾 Magst du Kekse?

Ich würde gerne Cookies setzen

Ist das OK für dich?