102534
Goto Top

Datenschutzverstoß ebay - Wie würdet ihr damit umgehen?

Ich habe auf ebay eine gebrauchte Cisco ASA 5505 erworben - mit vollständiger Konfiguration eines Kunden...

Hallo Leute,

da ich nebenbei meinen CCNA mache und mich sehr für Cisco interessiere, habe ich mir in der Bucht eine CISCO ASA 5505 geschossen. Nach dem zurücksetzen des Passworts die Überraschung: Komplette Config eines Unternehmens aus dem Medizin Sektor.

Den Verkäufer hab ich mal angeschrieben, wie die es denn mit dem Datenschutz haben. Was würdet ihr tun? Einerseits würde ich das Unternehmen gern warnen, dass der IT Dienstleister äußerst schlampig ist und - sollte die ASA nur durch eine größere mit gleicher config ersetzt worden sein - ich jetzt Zugriff auf ihr Unternehmens VPN haben könnte.

Andererseits denke ich mir: Eine Krähe hackt der anderen kein Auge aus. Geb dem Verkäufer einen freundlichen Hinweis und gut ist. Aber: Was wenns öfter passiert und wirklich Schaden entsteht?

Grüße


win-dozer

Content-Key: 192997

Url: https://administrator.de/contentid/192997

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: dog
dog 18.10.2012 um 21:00:54 Uhr
Goto Top
Nach dem zurücksetzen des Passworts die Überraschung: Komplette Config eines Unternehmens aus dem Medizin Sektor.

Ich hab noch irgendwo einen 8xx mit Einwahlkonfig für das Intranet einer großen Versicherung (auch von ebay).
Das ist da scheinbar eher die Regel als die Ausnahme, aber nicht mein Problem.

1. Müsste ich mir dann die Mühe machen verantwortliche zu finden (das hab ich einmal versucht und nach 8x weiterverbinden aufgegeben).
2. Ist die Wahrscheinlichkeit höher, dass ich dann Ärger bekomme als der Schuldige (Standardverhalten von dt. Unternehmen. Wenn man denen über eine Sicherheitslücke berichtet verklagen die einen lieber als die Lücke zu fixen oder echten Schaden abzuwenden).
Mitglied: pieh-ejdsch
pieh-ejdsch 18.10.2012 aktualisiert um 21:17:22 Uhr
Goto Top
moin win-dozer,

na dann weist Du ja jetzt wie diese Firma im Allgemeinen arbeitet.
Stell Dir mal vor es gäbe gibt auch "andere" Käufer solcher Ware und dann würde wird allerhand Schindluder damit betrieben.
Aber wer weis wie billig die ihre Dienstleistungen verkaufen und ob der Kunde dieses Unternehmen genau deswegen ausgewählt hat.

Was würdest Du tun wenn Du der Kunde dieses Dienstleisters wärest?
Aber NEIN! Du musst ja nicht hacken.
Sicherheitskritisch ist sowas schon. Ergo - der Dienstleister hat seine Pficht nicht erfüllt. Aber vielleicht wird dieser dafür stattdessen die Preise anziehen.

Gruß Phil
Mitglied: brammer
brammer 19.10.2012 um 08:22:05 Uhr
Goto Top
Hallo,

ich würde ganz frech den Administrator des Kunden anschreiben und ihm die Konfiguration zuschicken...

brammer
Mitglied: kontext
kontext 19.10.2012 aktualisiert um 08:31:05 Uhr
Goto Top
Zitat von @brammer:
ich würde ganz frech den Administrator des Kunden anschreiben und ihm die Konfiguration zuschicken...

HeyHo,

vll. auch nocht den Chef der betroffenen Firma in Kopie nehmen face-smile
Puh ist schwer zu sagen - was du nicht willst was man dir tut, das füg auch keinem anderen zu oder wie geht das? :D
Wobei ich denke das einem gewissenhaften Administrator / Systemhaus sowas nicht passiert bzw. nicht passieren darf ...

EDIT: es ist eigentlich genau das gleiche mit den HDD's die auf ebay angeboten werden
zu 90% lassen sich die Daten ohne großen Aufwand wiederherstellen ...

Cheers
@zanko
Mitglied: 102534
102534 19.10.2012 um 08:38:59 Uhr
Goto Top
Zitat von @kontext:
vll. auch nocht den Chef der betroffenen Firma in Kopie nehmen face-smile
Puh ist schwer zu sagen - was du nicht willst was man dir tut, das füg auch keinem anderen zu oder wie geht das? :D
Wobei ich denke das einem gewissenhaften Administrator / Systemhaus sowas nicht passiert bzw. nicht passieren darf ...

Nur ein Hinweis an den Händler wäre IMHO auch ein Schlag ins Gesicht eines jeden gewissenhaften Admins, der sich rechtfertigen muss warum er die Kosten / Zeit für ein sauberes löschen der config braucht...
Mitglied: kontext
kontext 19.10.2012 aktualisiert um 08:46:47 Uhr
Goto Top
Zitat von @102534:
Nur ein Hinweis an den Händler wäre IMHO auch ein Schlag ins Gesicht eines jeden gewissenhaften Admins, der sich
rechtfertigen muss warum er die Kosten / Zeit für ein sauberes löschen der config braucht...

Naja die Frage ist ja auch folgende (meiner Meinung):
Ist es eine kleine Firma die keinen Admin hat - und durch einen externen EDV Betreuer betreut wurde ...
Oder ist eine große Firma mit interner EDV Abteilung

Bei beiden Fällen ist es natürlich nicht gut - aber im ersten finde ich es fast fahrlässiger ...
Mitglied: 102534
102534 19.10.2012 um 08:52:10 Uhr
Goto Top
IMHO ist es eine große Firma, GmbH & Co. KG + Google Maps sprechen dafür...
Mitglied: kontext
kontext 19.10.2012 um 08:57:38 Uhr
Goto Top
Die Frage ist ob es ein potenzieller Kunde für dich sein Könnte ...
... dann könntest du die Gunst der Stunde nutzen
... Ein freundliches Mail an den Chef der Firma und wer weiß - vll. bist ja du dann bald der EDV Betreuer ...

In der heutigen Zeit, zumindest bei uns in der Umgebung (ich rede hier von ca. 50km und ca. 20 - 30 gute EDV Dienstleister) läuft es nach der Devise - Fressen oder Gefressen werden ...

Am besten tust du das, was für dich am Besten und Richtig erscheint - und was du mit deinem Gewissen ausmachen kannst

Cheers
@zanko
Mitglied: 102534
102534 19.10.2012 um 09:00:21 Uhr
Goto Top
Zitat von @kontext:
Die Frage ist ob es ein potenzieller Kunde für dich sein Könnte ...

Nein mit über 400km (das Unternehmen ist zwischen Dresden und Leipzig) überhaupt nicht in meinem Interesse...
Mitglied: kontext
kontext 19.10.2012 aktualisiert um 09:05:43 Uhr
Goto Top
Zitat von @102534:
(das Unternehmen ist zwischen Dresden und Leipzig)

Da ich aus Ö bin weiß ich so nichts anzufangen :D
Aber wenn es für dich zuweit weg ist, dann würde ich wirklich ein Mail an Chef und an Händler schicken ...
... dann hat sich der Admin, wie du schon oben geschrieben hast, ein wenig Recht zufertigen ...

Cheers
@zanko
Mitglied: pieh-ejdsch
pieh-ejdsch 19.10.2012 um 09:25:02 Uhr
Goto Top
moin,

Nur ein Hinweis an den Händler wäre IMHO auch ein Schlag ins Gesicht eines jeden gewissenhaften Admins...

Wenn ich nicht weis, ob ich etwas Falsch gemacht habe, achte ich beim nächsten mal genausowenig darauf.
Völlig egal ob der Eine oder der Andere diesen Fehler produziert hat.
Wenn dann zB. ein ganzer Haufen Kundendaten von sonstwo auf irgend einer Seite Veröffentlicht sind ist das geschrei ganz groß.

Letztendlich ist der Endverbraucher derjenige, der für solche Schäden rangenommen wird.
Siehe: schleichende Preiserhöhung; Mitarbeiterentlassungen; Firmenkonkurse etc.
Und alles nur, weil einer (wer weis wie lange schon) nicht nach Maßgabe gearbeitet hat.?!

Daran gehen zig Existenzen kaputt - Nicht nur zwei.

Ich stell mir grad wieder die drei Affen mit den eigenen Pfoten am Gesicht vor.
Was leider (nicht mit den Affen) immer wieder Realität ist.
läuft es nach der Devise - Fressen oder Gefressen werden ...

ich würde ganz frech den Administrator des Kunden anschreiben und ihm die Konfiguration zuschicken...
vll. auch nocht den Chef der betroffenen Firma in Kopie nehmen
Das ist doch mal was mit Hand und Fuß.

Gruß Phil
Mitglied: 108012
Lösung 108012 19.10.2012, aktualisiert am 06.12.2013 um 11:11:37 Uhr
Goto Top
Hallo win-dozer,

ich sage das jetzt mit einem weinendem und einem lachendem Auge ;)
Aber wer glaubst Du freut sich, wenn Du Ihn anschreibst und Ihm sagst das er ein Looser ist und geschlampt hat!? Richtig, keiner, niemand will so etwas hören, absolut niemand! und wenn Du es am wenigsten erwartest,
nicht damit rechnest und es auch nie so gesehen hättest, bekommst Du die Retoure Kutsche vorbei geschickt!

Du bist später vielleicht einmal irgendwo am arbeiten und dann gibt es von irgendwo einen Seitenhieb und Du weist weder warum und von wem oder sogar noch wofür! Denn vielleicht hat der eine (Dienstleister) oder der andere (die Ursprungsfirma) ja einen Verwandten in Deiner Region und Du weist es nicht!

Und wenn es ganz schlimm kommt und mehrere Geräte so von einer, eben dieser Firma, oder sogar mehreren Firmen auf diese Art und Weise weiter verkauft wurden und nun jemand anderes als Du selber, zufällig bei eben dieser Firma einbricht, dann werden die betroffenen natürlich alle an Dich denken und zwar meistens zuerst!!!

Das heißt dann für Dich, wenn es hart auf hart kommt:

- Hausdurchsuchung
- Konfiszierung aller Geräte
- Beschuldigung in einem Verfahren
- Alle Nachbarn, Mitschüler und wer weiß noch wer sonst sehen Dich dann eben als den bösen Buben an.

Und das alles nur weil jemand seinen Job nicht richtig macht oder super billig ist statt qualitativ gute
Arbeit abzuliefern? Dann hast Du es gut gemeint und nichts dafür bekommen und alle anderen werden wieder
das alte Lied singen "Undank ist der Welten Lohn, befreit haben Sie den Barnabas und nicht des Gottes Sohn"

Wofür, für Was und vor allem für Wen also, wenn Du einen Ausdruck dieses Gerätes machst und es Dem Betrieb
Anonym zukommen lässt ist er genauso gewarnt worden und weiß was alles los ist mit seinem Dienstleister, aber niemand kann sein Bein heben und Dir die Hose nass machen.

Sollte das aber das einzige Gerät sein was in letzter Zeit von denen (Firma) verkauft wurde, so hast Du den berühmten schwarzen Peter wieder auf Deinem Tisch liegen.

@brammer
ich würde ganz frech den Administrator des Kunden anschreiben und ihm die Konfiguration zuschicken...
Was glaubst Du, wenn der das eigentlich sicherstellen sollte, was der sich freut und machen wird?

@zanko
vll. auch nocht den Chef der betroffenen Firma in Kopie nehmen
Wenn ich mal so zurück denke wie in letzter Zeit Sicherheitsprobleme hier in Deutschland gehandhabt wurden,
würden ich pauschal sagen das die Sache unter den Teppich gekehrt wird, á la wir haben doch kein Sicherheitsproblem, was sollen denn die Leute über uns denken, leider ist das eher die gängige Praxis
hier in Deutschland als das es die Ausnahme ist.

Natürlich haben alle meine Vorredner Recht mit der Aussage das so etwas ja nun wirklich ein "NoGo" ist und
noch nicht einmal den Beauftragten für Datenschutz des Bundeslandes geschweige denn den BSI mit ins Spiel
gebracht! Aber ich bin auch der Meinung, das Du nicht zum Schluss der "Dumme" sein solltest, bloß weil irgend jemand Bockmist gebaut hat.

Gruß und schönes WE
Dobby
Mitglied: 102534
102534 19.10.2012 um 13:39:18 Uhr
Goto Top
Zitat von @108012:
Natürlich haben alle meine Vorredner Recht mit der Aussage das so etwas ja nun wirklich ein "NoGo" ist und
noch nicht einmal den Beauftragten für Datenschutz des Bundeslandes geschweige denn den BSI mit ins Spiel
gebracht! Aber ich bin auch der Meinung, das Du nicht zum Schluss der "Dumme" sein solltest, bloß weil irgend
jemand Bockmist gebaut hat.

Gruß und schönes WE
Dobby

Hallo Dobby,

danke - das stimmt allerdings... Wenn da in ein paar Jahren mal was ist, dann heißt es "stimmt, da war mal was". Und dann bin ich der Dumme. Ich werd mal schauen was der Anbieter so an ASAs verkauft hat, wenn es einige sind werd ich Graß über die Sache wachsen lassen und in 1 - 2 Monaten anonym dem ehemaligem Besitzer die config zukommen lassen.

Wenn es nicht viele sind werd ichs sein lassen. Sicher ist sicher, nicht dass irgend ein Quatsch dabei raus kommt.

Grüße & Danke für den Tipp!

Danke auch an alle anderen, aber leider ist ja immer ein Unterschied zwischen "Recht haben" und "Recht bekommen"...


win-dozer
Mitglied: 108012
108012 19.10.2012 um 13:47:36 Uhr
Goto Top
Hallo win-dozer,

Du und sicherlich auch die anderen Vorredner von mir haben da ja schon recht mit dem was sie schreiben,
doch bloß weil Du es gut gemeint hast muss ja nicht zwangsläufig ein Lob für Dich dabei heraus kommen
und das finde ich dann eben richtig schlecht. Nicht das ich nicht der selben Meinung bin wie die anderen hier, nur gut meinen und gut werden sind eben zwei Paar verschiedene Schuhe.

Gruß
Dobby
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.10.2012 um 19:57:46 Uhr
Goto Top
Moin,

imho ist die einzige korrekte vorgehensweise, den Vorbesitzer (nicht den Verkäufer) die Information zukommen zu lassen. Und zwar so, daß das nachweisbar ist! Wenn die ddann was unternehmen, ist es gut, wenn nciht, auch gut.

Ansonsten kann es passieren, daß Du, wenn Du dich bedeeckt hältst, das dann der Verdacht erst recht auf Diech fällt. Denn anhand der Seriennummern und der rechnungen/Geldflüsse dürfte es recht leich zu identifizieren sein, wo die Geräte gelandet sind.

lks
Mitglied: profos
profos 23.10.2012 um 10:10:38 Uhr
Goto Top
Schreib den Verkäufer an und gut ist!

Gerade weil es so ein brisantes Thema ist, sollte man da nicht so ein öffentliches Drama von machen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.10.2012 aktualisiert um 10:17:23 Uhr
Goto Top
Zitat von @profos:
Gerade weil es so ein brisantes Thema ist, sollte man da nicht so ein öffentliches Drama von machen.

Ich würde eher sagen, gerade weil es so ein brisantes thema ist, soltle man da mehr machen, als einfach sagen daß das ein PAL ist und man es daher nicht sieht.

lks
Mitglied: profos
profos 24.10.2012 um 10:29:03 Uhr
Goto Top
Ja genau ein PAL aber trotz allem kein öffentliches Thema!

Es könnte nun auch Leute geben die gezielt diese Quelle nutzen um Kriminelles zu tun und sich nicht nur mit so einem Fund profilieren möchten. Den wahren Grund für diesen Vorfall kann man nur vermuten. Vlt hat der Hausmeister den Auftrag bekommen das Ding zu entsorgen oder oder...