Euch allen erst einmal vielen Dank für die Antworten!

CyberSW

In den SMS hatten wir aber bisher immer angebote.telekom.de und dann eine E-Mail Aktion.

Da hatte ich mich wohl falsch ausgedrückt. In der SMS war in der tat ein Link zu "angebote.telekom.de". Nachdem ich dort aber die Bestätigungsmail angefordert hatte kam eine Mail mit einem Link zu https://email.telekom.velti-mobile.de, genau so wie in der Mail mit der Aufforderung zur Verifizierung in der vergangenen Woche.

Nur konnte ich das in der letzten Woche auch über einen Link im Kundencenter anstoßen, ohne auf den Link in der Mail klicken zum müssen. Warum ich die Aufforderung schon wieder bekommen habe ist mir nicht klar.

CyberSW

Warum das sein muss - DSGVO. 

Das sollte die Telekom dann aber schon etwas ausführlicher darlegen. Geht es darum, dass ich weiterhin die Rechnung per Mail bekomme oder geht es um Werbung?

mboettcher

Egal ob die von der Telekom beauftragt wurden oder nicht, würde ich das ohne zu zögern als "Dreck" einstufen, den ich sofort entsorgen würde. Im Fall, dass die Telekom hier als Auftraggeber fungiert, halte ich es auch für unbedingt erforderlich, dass die T. für solche Aktionen URLs nutzt, die auf die eigene Domain verweisen. Alles andere ähnelt zu sehr Phishing , als dass ich solche Links betätigen würde.

Genau so sehe ich das auch. Wir reden hier von einem der größten Technologieunternehmen Deutschlands, das unter anderem mit IT-Sicherheit sein Geld verdient. Solche Aktionen machen mich da fassungslos, ich hoffe nur, dass an anderer Stelle das Thema Sicherhheit sorgfältiger behandelt wird.

Carsten_MK2

Damit bedient man sich klassischer Methoden der Phishing -Mafia - und DAS ist das Unfassbare daran!

Exakt das. Ich vermute, das ist wirklich von der Telekomangestoßen, aber alleine die Tatsache das ich immer noch rätsele spricht ja Bände.

Vorerst werde ich jedenfalls nicht auf solche Links klicken, bin nur mal gespannt, ob das dann irgendwann Probleme macht.

Wäre echt schön, wenn es zu dem Thema mal eine offizielle Aussage gäbe.

Viele Grüße,

Alex

Carsten_MK2

Ja, das ist ein total besch***es Vorgehen!

Never attribute to malice ...

BTW:

Dass die Bestätigung der Emailadresse über irgendeinen Server irgendwo in den USA geleitet wird, ist m.E. ein Fall für den Landesdatenschutzbeauftragten und fürs Gericht, sollte tatsächlich die Tekekom dahinterstecken.

Auf meine E-Mail an die Datenschutzabteilung (Auszug)...

ich bin Privatkunde der Telekom Deutschland GmbH. In meinem Kundendatensatz (Kd-Nr. [redacted]) ist die E-Mail-Adresse [redacted] hinterlegt. Diese E-Mail-Adresse habe ich ausschließlich der Telekom Deutschland GmbH / dem Telekom-Konzern mitgeteilt - ich verwende sie in keinem anderen Kontext. Der Zusendung von werblicher Kommunikation habe ich widersprochen.

Heute erhielt ich die anhängende E-Mail unter Angabe meines Vor- und Zunamens. Bitte teilen Sie mir mit, was die Rechtsgrundlage und der Zweck der Zusendung der anhängenden E-Mail ist.

Sollte der Versand dieser E-Mail nicht auf eine DSGVO-inkonforme Versandaktion aus Ihrem Hause zurückgehen, würde es sich offenbar um Ihnen entwendete Daten handeln, die hier missbräuchlich durch Dritte adressiert wurden. In jedem Fall kann ich derzeit keine Theorie entwickeln, wie es auf rechtskonformem Weg zum Versand dieser E-Mail gekommen sein könnte.

...habe ich in der Zwischenzeit folgende Antwort (Auszug) erhalten:

vielen Dank für Ihre Nachricht.

Wir können Sie beruhigen und Ihnen mitteilen, dass es sich tatsächlich um eine E-Mail von uns handelt.

Wir lassen Zug um Zug alle hinterlegten E-Mail-Adressen unserer Kunden von diesen verifizieren und authentifizieren, dies gibt uns Sicherheit, dass nur verifiziert und authentifizierte zum Versand sensibler Daten genutzt werden.

Hierbei geht es ausschließlich um E-Mails, die Ihr Vertragsverhältnis betreffen.

Eine recht spärliche Auskunft, möchte ich sagen, aber in der Tat wurde auf meine beiden Fragen eingegangen, und die Befürchtungen eines Datenlecks ausgeräumt. Und um eine Aussendung mit werblichem Hintergrund scheint es sich dann auch nicht zu handeln.

Bleibt noch der Punkt, dass diese Mails leider schlecht gemacht sind, zumindest wenn wir ein Interesse voraussetzen dürfen, einen Phishing -Anschein zu vermeiden.

Ich antwortete deshalb wie folgt (Auszug):

ich danke für Ihre Erläuterungen.

Ich würde empfehlen, diese auch den anderen Kunden zu vermitteln, die 
durch diese Zusendungen, die von  Phishing -Mails nicht zu unterscheiden 
sind, verunsichert wurden.

Einige davon haben sich in Ihrem Kundenforum ausgetauscht, und warten 
bislang vergebens auf eine verlässliche Aussage dazu, was es mit diesen 
E-Mails auf sich hat:

https://telekomhilft.telekom.de/t5/Vertrag-Rechnung/Mail-bestaetigen-Links-zu-https-email-telekom-velti-mobile-de/m-p/5726872

Dass  Phishing  und die dadurch entstehende Unsicherheit Ihrer Kunden 
durchaus ein reales Problem darstellen, wird Ihnen sicherlich bekannt 
sein. Hier ein paar Beispiele, die dies verdeutlichen:

https://telekomhilft.telekom.de/t5/Sonstige-Sicherheitsfragen/Mail-von-Telekom/m-p/5627508
https://telekomhilft.telekom.de/t5/E-Mail-Center/Spammail-mit-internen-Kundendaten/m-p/5701426
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Absender-Adresse-telekom-email-telekom-de/m-p/1828151
https://telekomhilft.telekom.de/t5/Vertrag-Rechnung/Vertrag-mit-der-Kundennummer-15-gekuendigt/m-p/5665271
https://telekomhilft.telekom.de/t5/Vertrag-Rechnung/Leider-kopiert-die-Telekom-nun-auch-die-dubiose-Masche-von-1N/td-p/5564875/

Andere Konzerne bieten Ihren Kunden daher mittlerweile die Möglichkeit, 
eine erhaltene E-Mail auf Ihrer Website hochzuladen, um deren Echtheit 
zu bestätigen.

Beispiel:
https://phishing-contact.ionos.de/de/

Die Telekom bietet hierzu derzeit nur generische Hinweise, die zudem auf 
das hier empfangene Schreiben nicht anwendbar sind:
https://www.telekom.de/hilfe/rechnung/verstehen/echtheit-e-mails
https://www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/phishing

Auf diese E-Mail vom 24.06. erhielt ich bisher keine Antwort - hatte aber auch nicht explizit eine erbeten. Ich habe noch die (geringe) Hoffnung, dass diese an die betreffende Abteilung weitergeleitet wurde, um anzuregen, den entsprechenden Geschäftsprozess zu verbessern.

Die von mir empfangene E-Mail wurde über die Mailserver der Firma Mailjet SAS mit Sitz in Paris, Frankreich, verschickt.

Die in der E-Mail referenzierten Domains telekom.velti-mobile.de (89.238.79.147) und email.telekom.velti-mobile.de (3.65.212.232) verweisen auf in Deutschland gehostete Systeme der Firmen The Campaign Factory GmbH, Odenthal (89.238.79.147) und A100 ROW GmbH, München. Letztere ist meines Wissens eine 100%ige Tochter von Amazon Technologies Inc, relevant für den Datenschutz ist aber primär DSGVO-/GDPR-konforme Praxis und die Verortung von Systemen in Ländern, die dem EU-Datenschutz unterliegen.

Die Weitergabe von Daten an andere Firmen im Rahmen der Vertragserfüllung, hast du sicherlich mit den AGB zugestimmt. Ob die Vertragserfüllung wirklich die Grundlage des hier gesehenen Handelns ist, ist wohl etwas, dass man anzweifeln kann.

Habe vorgestern auch eine solche Mail erhalten, die Forensik ergab die analogen Ergebnisse wie weiter oben dargestellt. Also die Mail an die für Phishing zuständige Abuse-Abteilung der Telekom weitergeleitet und um Stellungnahme gebeten.

Die Antwort kam schnell und es wurde bestätigt, daß es sich in diesem Fall um eine "legitime" Mail gehandelt hat. Die Begründung, man müsse auf Grund gesetzlicher Regelungen "nur noch authentifizierte / verifizierte E-Mail-Adressen für die Kommunikation mit unseren Kunden verwenden" mag stimmen, aber die gewählte Methode zur Umsetzung dieser Anforderung ist m.E. ungeeignet, und das habe ich in meiner Antwort an die Abuse-Abteilung auch so kommuniziert.

1. Die E-mail-Adresse ist authentifiziert, denn der Kunde hat sie selbst im Kundencenter hinterlegt.

2. Für eine Verifikation der Gültigkeit ist es nicht notwendig, den Kunden zum "Click" auf einen Link zu bewegen, der per Alias-Umleitung auf die Seite eines Vermarkters führt, bei dem a priori nicht erkennbar ist, ob er "legitim" ist. Alias-Umleitungen sind ein typisches Werkzeug von Phishing . Diese Aktion riecht m.E. ein wenig danach, sich "hintenrum" den Versand von Werbemails legitimieren zu lassen. Verifikation geht auch anders, z.B.:

"Sehr geehrte Kundin, sehr geehrter Kunde, Sie waren schon lange nicht mehr in unserem Kundenportal. Sind Ihre Daten noch aktuell? Bitte melden Sie sich innerhalb der nächsten xx Tage dort an, und überprüfen und bestätigen Sie bitte dort die Gültigkeit Ihrer Daten. Vielen Dank." Also keine Links erforderlich.

Die über den oben gezeigten Link abrufbaren Empfehlungen zur Überprüfung der Authentizität einer Telekom E-Mail stufe ich als Realsatire ein. Alle dort genannten Merkmale (Anzeigename/Erscheinungsbild, Absender E-Mail-Adresse, Inhalt des Betreff) sind relativ leicht fälschbar. Auch die Nennung von Vor- und Zuname im Betreff ist nach meiner Erfahrung kein sicheres Kriterium mehr.

Mein Fazit: Nur in absoluten Ausnahmefällen E-Mail mit HTML-Code akzeptieren. Man braucht keinen HTML-Code in einer Mail, auch nicht um dort eine Web-Referenz anzugeben. Niemals vom Mail-Reader externe Inhalte nachladen lassen, niemals auf Links in E-Mails klicken.