vielen Dank für Ihr Schreiben mit der Akte und die Zusendung der Anlage 5 aus dem Jour Fixe Telekommunikation vom 3. März 2022.

Sehr geehrter ************, sehr geehrter ***********,

ich darf zurückkommen auf Ihre Anhörung vom 15.02.2023. In der genannten Anlage 5 steht auf Seite 3 bei den Risiken „Was sollte bei der. Validierung verhindert werden?“

• „Ein unberechtigter Dritter kann seine eigene E—Mail-Adresse erfolgreich validieren lassen, eventuell mit Kenntnis einiger Daten des Kunden.“ – genau dieses Problem ist bei der Validierung der Telekom gegeben, denn Geburtstag und Postleitzahl sind nicht geheim.
• „Der Validierungsprozess ist so gestaltet, dass sich Kunden an eine unsichere Eingabe von Daten oder Passwörtern in verlinkte Webseiten gewöhnen und damit Angriffe durch Phishing-Mails begünstigt werden.“ – auch dieses Problem ist bei der Validierung der Telekom gegeben.

Auch entspricht der von der Telekom gewählte Prozess nicht den Empfehlungen auf Seite 4ff, insbesondere nicht dem „Es ist darauf zu achten, dass … bei einem fehlerhaften Versand ein Dritter keine Bestätigung erteilen kann“, denn jeder Dritte kann Postleitzahl oder Geburtstag ermitteln oder möglicherweise sogar automatisiert durchprobieren.

Zuletzt steht auf Seite 6 „Eine Übernahme einer nicht verifizierten, aber in der Vergangenheit genutzten Email-Adresse“ wird nicht empfohlen. Ich kann mich nicht erinnern, ob meine Emailadresse bei Vertragsschluss validiert wurde, aber die nachträgliche Validierung widerspricht damit dieser Empfehlung des BfDI.

Im Ergebnis ist damit auch die Behauptung „Die vom BfDl erstellten Anforderungen werden mit einer 2-Faktor-Verifikafion erfüllt“ der Telekom im Schreiben vom 22.09.2022 absurd – man hat die Anforderungen weitestgehend missachtet.

Ich darf auch noch auf die Begriffe Bestätigung, Validierung, Verifikation/Verifizierung, und Authentifikation/Authentifizierung eingehen, die in den Dokumenten und Schreiben durcheinander und damit maximal verwirrend verwendet werden.

Die Telekom schreibt am

• 05.08.2022 „bestätigen“,
• 06.08.2022 „verifizieren und authentifizieren“,
• 09.08.2022 und 14.09.2022 „2-Faktor-Verifizierung“,
• 22.09.2022 „2-Faktor-Verifikation“,
• 17.10.2022 „Verifizierung … mit einem weiteren Authentifizierungsmerkmal. Im Ergebnis eine Zwei-Faktor-Authentifizierung“.

In Anlage 5 „Validierung von E-Mail-Adressen“ steht auf Seite 4 auch „Authentifikation“, ohne dass klar ist, ob die Validierung selbst oder ein anderes Verfahren gemeint ist.

Wenn ich im Netz „2-Faktor-Verifikation“ suche, finde ich ausschließlich Seiten die das im Zusammenhang mit einer 2-Faktor-Authentifizierung verwenden.

Letztendlich ist dieses Begriffsdurcheinander aber nicht wesentlich, denn Postleitzahl oder Geburtstag sind für jeden dieser möglichen Zwecke ungeeignet.

Mit freundlchen Grüßen

*****************

****************
***************
*******************
*********************
Mail: *******************

 

 

 

Sehr geehrte Damen und Herren,

vielen Dank für die Eingangsbestätigung. Um die Bearbeitung zu beschleunigen bestätige ich Ihnen hiermit, dass meine bezogen personenbezogenen Daten soweit erforderlich weitergegeben werden dürfen.

Ich hoffe auf eine baldige Rückmeldung.

*****************
****************
***************
Fon: 0721 - ***********

Mail: *******************

Am 12.09.2022 um 09:44 schrieb SERVICEBUERO@bfdi.bund.de: