Artikelformat

Deutschland, deine Datensicherheit…

Zur Vorgeschichte:

Ich habe mich vor einiger Zeit für die kommenden zwei Wochen für ein Seminar bei einer externen Firma angemeldet. Und nein: Ich werde die Firma hier nicht erwähnen und auch nicht sagen worum es bei diesem Seminar geht.

20090803-dyuefnw2qp7ug1uaxgsguwkpdx.jpg

Zum Problem:

Ich kam heute morgen gut gelaunt dort an. Die Mitarbeiter begrüßten mich freundlich und zeigten mir den Weg zum Seminarraum.

Dort erwartete mich dann ein betagter 15 Zoll TFT inkl. eines Pentium 4 mit 2,8 GHz und 1 GB RAM. Als Betriebssystem eröffnete sich Windows XP mit SP2. Gut dachte ich mir… ist halt ne solide Office Schleuder mit Internetzugang und reicht für die gestellten Aufgaben sicher aus.

Nach einer kurzen Belehrung Zwecks Hausordnung, Internetnutzung etc. gings dann auch direkt los: Rechner an… während die Maschine bootete wurden wir nebenbei über ein immer wieder auftretendes Virenproblem informiert und ich machte mir erste Sorgen. Diese wurden nicht weniger, als der Anmeldebildschirm von XP angezeigt wurde. Meine zaghafte Frage nach den Login-Daten schlug nämlich dem Fass den Boden aus – „Benutzer: Administrator / Passwort: ENTER-Taste“.

Ich habe ja schon viel erlebt aber da konnte ich mich nur verhört haben – oder doch nicht?! Ich drückte also die ENTER-Taste und schwups war ich im Windows Dschungel drin – und zwar als angemeldeter Administrator an einem Schulungsrechner und konnte willenlos an allen Einstellungen rumschrauben, Software installieren etc.pp. Langsam wurde mir auch das „ab und an“ auftretende Virenproblem klar.

Als Webbrowser setzte man übrigens auf den Internet Explorer 7. Dieser war auch noch durch eine undurchsichtige Filtersoftware beschränkt und konnte nicht alle von mir probierten (Test-)Seiten aufrufen. Dieses Problem hatte ich dann aber – dank Admin Modus – mit dem frisch installierten Firefox 3.5.1 umgangen ;)

USB-Sticks waren übrigens verboten – VIRENGEFAHR!!! Dafür waren aber selbstgebrannte CDs erlaubt… Zum Glück verbreiten sich Viren auch nur über USB-Sticks und nicht über CDs und schon gar nicht übers Internet. Ich war gelinde gesagt äußerst schockiert aber damit nicht genug. Hatte ich übrigens schon erwähnt, dass ich einen Virenscanner vergeblich suchte?! Egal…

Ich wurde neugierig und wühlte mich durch den Windows-Dateiexplorer und es dauerte nicht lange, bis ich (anscheinend alte) Daten eines anderen Users inkl. Telefonnummer und Adresse in säuberlich sortierten Word-Dokumenten fand. Sehr sensibel alles aber anscheinend normal – denn niemand machte sich Sorgen („ich solle es bitte löschen“)… Auf die Frage ob ich denn mal den Systemadministrator sprechen könnte, bekam ich die Antwort, dass er im Urlaub sein und erst in zwei Wochen wieder da ist.

Und jetzt wird es richtig geil: Da ich der ganzen Sache nicht mehr so recht traute, holte ich mein MacBook raus und wollte es mit dem Internet verbinden. Die nächste Enttäuschung folgte direkt: Kein WLAN!!! Waaaaaaaas?! Richtig, kein WLAN… Also fragte ich nach einem Ethernet-Kabel und Enttäuschung Nummer 89 folgte sogleich: Gibts nicht, da VIRENGEFAHR…

Ich habe daraufhin die Virenschleuder MacBook wieder eingepackt und – dank Admin Modus – einen Virenscanner auf der Windows Kiste installiert…

Fazit:

Ich kann nur hoffen, dass es sich hier um einen Einzelfall handelt. Ich werde die Probleme morgen früh direkt beim Chef der Firma, die nebenbei gesagt u.a. auch noch Microsoft Certified und Novell Partner ist, vortragen. So kann und will ich nicht arbeiten…

Habt Ihr ähnliche oder gar schlimmere Erfahrungen?! Ich brauch jetzt erstmal n Kaffee – bin völlig fertig von dieser kompletten Inkompetenz in Sachen Datensicherheit.

Autor: Björn

Ich bin Björn und quasi der COO von aptgetupdateDE. Ich kümmere mich um die PR und allerlei Kontaktaufnahmen zu Firmen und Softwareentwicklern. Erreichbar bin ich bei Twitter, App.net und natürlich per E-Mail.

25 Kommentare

  1. Ich war schon auf vielen Schulungen und das Bild ist immer das selbe. User und PW sind immer Admin/Admin oder ähnliches und die Rechner sind oft „verdreckt“. Das ganze liegt aber daran das hier immer die Rechner immer mal wieder mit sauberen Images übergebügelt werden. Deshalb kümmert das alles keinen.

  2. Ich bin schon auf vielen Schulungen als eben einer dieser Trainer unterwegs gewesen. Sowohl bei vielen Schulungsunternehmen, als auch in vielen Unternehmen. Glaubt mir, wenn ich lese Botnet mit Xtausenden Slaves, dann weiß ich wo die stehen. Es ist unfassbar, wie wenig sensibilisiert die verantwortlichen Personen sind. Ich habe es mittlerweile aufgegeben, irgendwelche Gefahren oder kränkelnde Beamer zu melden. Es kümmert sich eh keiner drum. Bis es eines Tages knallt. Dann sind natürlich die dummen Nutzer schuld.

  3. Dabei gibt es (sogar von Microsoft) recht nützliche Applikationen wie z.B. Microsoft Shared Computer Toolkit (bzw. jetzt Microsoft Windows Steady State), bei der man den Rechner super einfach, auch ohne tiefgründige Administrationskenntnisse, einschränken kann. Der Clou ist die Disk Protection, die jede Änderung im System nach einem Neustart verwirft und den PC in seinem Urzustand wiederherstellt.

    Und das ganze wie gesagt auch ohne große IT-Kenntnisse.

    Aber ich kann die geschilderte Problematik bestätigen. Überall das gleiche Bild. Und von Schul- und Uni-Netzwerken wollen wir erst gar nicht reden. ;-)

  4. Ist überall immer so. Ausserdem: Schulungsrechner und du sagts nicht, ob er im firmeninteren LAN war. Von daher Lachs ;)

  5. Willkommen im Leben. Ich habe im gesamten Enterprise-Umfeld so gut wie nie etwas anderes erlebt, und da ging es nicht immer nur um Schulungsrechner.

  6. Ich bin selbst Trainer/Dozent und schule für verschiedene Unternehmen. Eines dieser Unternehmen hat sog. Reborn Cards verbaut, die den Inhalt der Systempartition nach jedem Neustart zurücksetzt. Soweit so schön, die Datenpartition bleibt aber unberührt, und da habe ich auch schon ziemlich private Daten gefunden. Unlustig irgendwie…

    Ein weiteres Unternehmen macht es fast richtig und lässt von den Administratoren alle Rechner nach Abschluss eines Modulmonats vollständig plätten, also mit Images neu bespielen. Virenscanner laufen ebenfalls. USB-Sticks sind zugelassen, aber auch erst seit kurzem.

    Trotzdem erschreckend und du solltest definitiv mit der Chefetage reden. Leider ist das aber kein Einzelfall…

  7. Eben, gut möglich das die Schulungsrechner in einem LAN sind das vom restlichen Firmennetz abgeschirmt ist, die Rechner werden dann vermutlich alle paar Wochen mit einem neuen Image gebügelt und fertig. Wenn Nutzer da Daten hinterlassen sind sie auch selbst Schuld.

  8. Sehr amüsant zu lesen, dass ich auch andere „Betroffene“ gibt. Ich war zwar selbst kein Schuler, sondern ein Schüler, aber auch ich hatta auf meinem Rechner vollen Systemzugriff.
    Das geilste daran war ja, dass es sich um eine vom Staat bezahlte „Firma“ / „Einrichtung“ handelte.
    Name nenn ich hierbei aber auch nicht. ;)

  9. Und das ist ja nur die Spitze des Eisbergs, wie man so schön sagt. Fortbildung auf dem neusten Stand der Technik, oder zumindest auf einem annehmbaren Stand, sowas ist in DE nicht zu haben.

    In den Schulen sieht es mit unter genau so aus, oder noch schlimmer. Bildung ADE!

  10. was hat das mit Bildung zutun ? Ein P4 2.8 mit XP wird für 95% aller Anwendungen in Schulen/Fortbildungen ausreichen, das sieht in anderen Ländern ganz anders aus.
    Die Sicherheitsbedenken würde ich ebenfalls erst mal zurückstellen bevor man nicht das gesamte Bild kennt.

  11. Berufsschule:

    Die Rechner waren zwar etwas sicherer (sollte man auch meinen wenn die Lehrer, die IT Unterrichten die Kisten betreuen) aber leider konnte man hier auch schön vom USB-Stick booten und 2 Wochen lang hat keiner gemerkt das ich ein Ubuntu 8.10 (letzten Dezember) gebootet habe, das ich mal schnell auf XP umgestylt habe.

    Ja so macht das arbeiten auch wieder Spaß ;-)

  12. Also ich kenne das eigentlich von allen meinen Schulungen bisher so, dass wir an frisch geimagedten Rechnern gesessen haben.
    Bei einer Schulung durften wir sogar nur in einer VM arbeiten. Und ehrlich gesagt, wenn es sich um ein richtiges Schulungsnetz handelt, ist es doch egal, was die User auf den Rechnern machen…
    werden ja Ende der Woche sowieso wieder plattgemacht…

  13. In meiner alten Schule hatten wir die weissen 17″ iMacs (damals nagelneu ;)) und dort waren die Dinger so eingerichtet, dass man als Gast dort arbeiten konnte und solange die Sitzung dauerte auch alles da war. Nach abmelden und anmelden war aber alles wieder auf Stufe 0.

    In der Uni haben wir diese Lampen iMacs stehen. Die sind auch zugemüllt, aber eher mit irgendwelchen Doks, als Programmen. Schon lustig wenn man da irgendwelche halbfertigen Semster/Examensarbeiten lesen kann. Oder einen selbstgeschnitten Film/Audio-Beitrag bestaunen kann.
    Wenn man dann mal nach den Freigaben im Netzwerk sucht, dann staunt man noch viel mehr.
    Der eine hat seine Fotos im Öffentlichem Ordner, dagegen is studi oder facebook garnichts, der andere hat einfach seine komplette Festplatte freigegeben, und wieder ein anderer sortiert wohl in itunes seine xxx-filmchen und dies auch noch über freigaben…

    Ich für meinen Teil arbeite aber auch am liebstem mit meinem MacBook, und dank eines UMTS Sticks brauch ich auch nicht in irgendwelche dubiosen Netzwerke gehen.

  14. Also ich habe an der Schule,— kurz gesagt es lag ein herrenloser USB-Stick mit den Zeugnissen der gesamten Oberstufe rum.

    Da kann man nur hoffen, dass die richtigen Leute ihn finden und dann abgeben.

  15. Mir fällt dazu gar nichts mehr ein…
    außer dass ich solche unsachgemäß vorbereiteten (oder nicht vorbereiteten) Rechner immer dem Administrator des Rechnerpools melde.
    Falls dieser nicht regiert, spreche ich den jeweiligen Leiter des Schulungszentrums an und wenn auch der nicht kooperieren mag gehe ich einfach (falls ich meine Daten nicht selber schützen kann).
    Bisher war ich noch auf keine Lehrgang angewiesen den ich freiweillig verlassen habe, bzw. konnte ihn woanders wiederholen.
    Aber jeder wie er es verdient, manche Kunden sind genauso unbelehrbar… wenn es mal knallt: darüber mache ich mir keine Gedanken mehr.

  16. Och, was da beim letzten LinuxTag (sic!) so alles im WLAN unterwegs war an Mac-Freigaben, Remote-Desktop-Zugängen und sonstigen Hintertürchen zu anderer Leute Macs, da konnte man auch nur noch «Bonjour» sagen. Glücklicherweise bin ich kein Blackhat (und hatte auch immer schön am Stand und woanders zu tun ;-) …

  17. Es geht auch anders…ich durfte nun schon ein paar mal Schulungen rund um den angebissenen Apfel besuchen:

    WLAN: mit einem Passwort geschützt, dass nicht Test, 123 oder ähnliches war
    aktuellstes 10.5.7 installiert
    und nach jedem abmelden wurde der User-Ordner zurück gesetzt

    Aber oben geschilderte Erfahrungen durfte ich leider auch schon machen (USB-Stick mit der nächsten Klausur, Dateien im WLAN freigegeben, die dort wirklich niemand sehen wollte und und und)

  18. Nicht überall!

    Hier sind alle Rechner mit eingeschränkten Rechten ausgestattet. Virenscanner (ziemlich rechenintensiv) sind installiert und werden täglich aktualisiert. Mittlerweile gibt es für jeden Rechner, neben dem überall verfügbaren Intranet-Fileserver, ein Benutzerverzeichnis auf der gleichen Servermaschine. Das Ganze wird täglich gesichert (7-Tage rotierendes Backup).

    Was wir nicht unterbinden, sind mobile Datenträger (USB-Sticks oder CDs/DVDs). WLan hatten wir kurzzeitig angedacht aber auf Grund von Sicherheitsbedenken wieder fallen gelassen. Das Firmen-Netz ist von außen ausschließlich über VPN zu erreichen.

    Das Problem mit den „leeren“ Passwörtern kennen wir aber auch (das sind dann ausgerechnet die Abteilungsleiter).

  19. Als ich hab schon Hochschul-RZs gesehen die ganze zimmer sperren mussten da die Rechner gekappert wurden …. und das Einrichtungen mit stark technischem Hintergrund. Von Studenten betriebenen Porno-Server sind nur eines von vielen Beispielen die man an IT-Unis sicher auch heute noch findet wenn man etwas tiefer schaut.

    Letzlich krankt es sicherlich an diversen Stellen für das richtige Gefühl bzgl Security …wenngleich oben schon einige die fehlenden & relevanten Zusatzinfos angesprochen haben.

    Wenn die Rechner z.b. alle 24h neu aufgesetzt werden / automatisiert (die alten Files vorheriger user sprechen dagegen) und nebenbei das ganze vom eigentlichen Firmennetz getrennt ist seh ich das auch weniger kritisch.

    Obs Sinn macht externen uneingeschränkte Rechte zu geben steht trotzdem auf nem anderen Blatt …keine Frage wobei man da fast vermuten kann dass man Probleme im Alltag vermeiden will die dann ggf den Schulungsalltag stören könnten. Schwache ausrede …aber naja ;)

    Final noch was zum schmunzeln … ich durfte im Studium auch ne praktische Prüfung am System mit je 3 anderen mitstudenten je PC machen …da die Admins nicht in der Lage waren den Rechnerpool auch nur für 24h ohne Probleme am laufen zu halten und somit der großteil der Rechner im raum nicht zu verwenden waren ;)

  20. Krasses Erlebnis.

    Hatte ich bisher noch nicht so.
    Die Tage erst noch auf Schulung gewesen. Vorbildlich frisch betankte Rechner, aktuelles Patchlevel und Virenscanner. Trainingsdomäne abgeschottet vom Produktivnetz.

    Mein Schulungsraum hat aktuelles Patchlevel und Virenschutz. Die Teilnehmer melden sich mit extra Account(Passwortgeschützt) an der Domäne an. Dann wird die VM gestartet passend zur Schulung. Ebenfalls anmelden mit Domänen Account. Die VM werden nach jedem Runterfahren zurück gesetzt. VMs ebenfalls mit Virenscanner. Nach jedem MS Patchday wird die Versiegelung aufgehoben und gepatch, dann wieder versiegelt.

    Zum Thena IE7, besser als der 6er! Und gegenüber dem Firefox über WSUS zu patchen.

  21. Erinnert mich spontan an eine Schulung eines Tochterunternehmens eines Callcenters.
    Dort hatte man aus den Schulungsräumen ebenfalls vollen Zugriff auf das Firmeninterne LAN.
    Die vermeintlich wichtigen Server (ein MS SQL DB Server, auf dem sowohl Abrechnungsdaten als auch die Stammdaten der „Kunden“ zu finden waren) sowie die Buchhaltung waren zwar nicht ohne Passwort erreichbar – wenn man dann aber den Backupserver samt Backup-Images komplett ungeschützt lässt, wenn auch nur per IP aufrufbar und nicht „sichtbar“, ist die ganze „Absicherung“ der o.A. Server vollkommen unsinnig: Zieht man sich halt eins der Nichtverschlüsselten Backup Images.

    Aber es ist nicht nur in .de so – ähnliche Bilder hatte ich schon in den USA als auch in UK und Dänemark.

  22. Hi Björn, komme eben aus dem Urlaub wieder, las Deinen Artikel und hab die Firma auf Anhieb richtig geraten ;D

  23. Pingback: Empfehlungen und delicious Links vom 12. August 2009