stefankittel
Goto Top

Warum kümmern wir uns eigentlich noch um Sicherheit?

Hallo,

warum kümmern wir uns eigentlich noch um Sicherheit?
Bei einem neuem Kunden habe ich nach dem Ausscheiden eines MA, der auch hausintern mit für die IT zuständig war, verschiedene Kennwörter geändert.

Kurz danach.
Wir können mit dem Kopierer nicht mehr scannen.
In der Liste gab es auch einen Benutzer Scan den ich nicht geändert habe.

Anbei ein Screenshot aus dem Webinterface des Drucker nach der Anmeldung mit dem Herstellerstandardkennwort.
1

Ist es den Leuten die solche Geräte einbinden echt so vollständig egal?

Viele grüße

Stefan

Content-ID: 541234

Url: https://administrator.de/contentid/541234

Printed on: December 10, 2024 at 15:12 o'clock

Lochkartenstanzer
Lochkartenstanzer Jan 30, 2020 at 17:32:34 (UTC)
Goto Top
Zitat von @StefanKittel:

Ist es den Leuten die solche Geräte einbinden echt so vollständig egal?

Meine Erfahrung ist:

Es soll schon sicher sein, aber nciht, wenn das der "einfachen Funktion" etgegensteht. Es ist dann jedesmal eine Diskussion mit solchen Kunden angesagt, daß die "einfache Funktion" nicht nur für die "Guten" gilt, sondern für Schwarzhüte auch.

lks
StefanKittel
StefanKittel Jan 30, 2020 updated at 17:35:54 (UTC)
Goto Top
Aber es ist ja noch nicht mal einfacher.
Ob ich nun admin oder scan als Benutzer eintrage...
Und den Scan Benutzer gab es ja schon....

Ich glaube ich stelle bei meinen Kunden nur noch Thinclients hin und alles läuft über RDS-Server im RZ.
Anmeldung mit Schlüsselkarte, Irisscanner, Kennwort und 4FA.
Spirit-of-Eli
Spirit-of-Eli Jan 30, 2020 at 17:48:45 (UTC)
Goto Top
Mich wollte man schon mal aus einem unternehmen werfen da ich sagte, dass solch eine Konfig definitiv nicht sicherheits konform ist.
NetzwerkDude
NetzwerkDude Jan 30, 2020 at 18:15:17 (UTC)
Goto Top
Ist ein honeypot, der user heißt zwar admin, hat aber auf dem zielsystem keinerlei rechte :D
Penny.Cilin
Penny.Cilin Jan 30, 2020 at 19:03:32 (UTC)
Goto Top
Schlimmer noch. Ich bin derzeit Konzern beschäftigt, welcher die IT-Dienstleistung in eine eigenständige GmbH ausgelagert hat.
Bei den Druckern und Multifunktionsgeräten werden die Default Benutzerkennungen und Passwörter für die Konfiguration verwendet.

D.h. die Konfiguration der Geräte kann von jeder Person geändert werden, welcher den Netzwerknamen oder die Netzwerkadresse (TCP/IP des Gerätes kennt.
Als ich das beim zuständigen internen Datenschützer angesprochen habe, wollte man mir eine Abmahnung verpassen.

P.S. Sollte man so etwas nicht dem Bundesdatenschutzbeauftragten melden?
Spirit-of-Eli
Spirit-of-Eli Jan 30, 2020 at 19:59:33 (UTC)
Goto Top
Zitat von @Penny.Cilin:
P.S. Sollte man so etwas nicht dem Bundesdatenschutzbeauftragten melden?

So gehen die wahrscheinlich auch mit Leuten um die den Konzern auf Sicherheitslücken aufmerksam machen. Nichts anderes ist es ja.
Windows10Gegner
Windows10Gegner Jan 30, 2020 at 21:18:16 (UTC)
Goto Top
Zitat von @Penny.Cilin:
Als ich das beim zuständigen internen Datenschützer angesprochen habe, wollte man mir eine Abmahnung verpassen.
Hat man das dann letztendlich auch gemacht?

P.S. Sollte man so etwas nicht dem Bundesdatenschutzbeauftragten melden?
Nein, im Hacker-Forum ist es besser ausgehoben, denn dann passiert auf jeden Fall etwas.
certifiedit.net
certifiedit.net Jan 30, 2020 at 23:01:26 (UTC)
Goto Top
Ist halt einfach einfach so.
chgorges
chgorges Jan 31, 2020 at 06:09:13 (UTC)
Goto Top
Zitat von @certifiedit.net:

Ist halt einfach einfach so.

Jup und ich lege meine Hand dafür ins Feuer, dass man an mindestens 9 von 10 fremden Geräten, an die man ranläuft, sich mit den Default-Kennungen, die man sich ergooglen kann, anmelden kann.
certifiedit.net
certifiedit.net Jan 31, 2020 at 07:37:16 (UTC)
Goto Top
Ist halt einfach einfach so. Hab aber auch letztens gehört, dass Sicherheit das alles so aufwendig und kompliziert macht...
Voiper
Voiper Jan 31, 2020 at 08:19:22 (UTC)
Goto Top
Zitat von @certifiedit.net:

Ist halt einfach einfach so. Hab aber auch letztens gehört, dass Sicherheit das alles so aufwendig und kompliziert macht...
Moin,

das höre ich dauernd. Da hilft nur getrennte Accounts anzulegen, damit man wenigstens protokollieren kann, wer es verbockt hat.
certifiedit.net
certifiedit.net Jan 31, 2020 at 08:57:05 (UTC)
Goto Top
Zitat von @Voiper:

Zitat von @certifiedit.net:

Ist halt einfach einfach so. Hab aber auch letztens gehört, dass Sicherheit das alles so aufwendig und kompliziert macht...
Moin,

das höre ich dauernd. Da hilft nur getrennte Accounts anzulegen, damit man wenigstens protokollieren kann, wer es verbockt hat.

Bin ich ganz bei dir. Aber das wird dann so ausgelegt, als ob man nicht sämtliche Accounts herausgibt - obwohl der eigene die identischen Rechte hat.
Penny.Cilin
Penny.Cilin Jan 31, 2020 at 10:52:05 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @Penny.Cilin:
P.S. Sollte man so etwas nicht dem Bundesdatenschutzbeauftragten melden?

So gehen die wahrscheinlich auch mit Leuten um die den Konzern auf Sicherheitslücken aufmerksam machen. Nichts anderes ist es ja.
So ist es.

Gruss Penny.
Penny.Cilin
Penny.Cilin Jan 31, 2020 at 10:56:44 (UTC)
Goto Top
Zitat von @Windows10Gegner:

Zitat von @Penny.Cilin:
Als ich das beim zuständigen internen Datenschützer angesprochen habe, wollte man mir eine Abmahnung verpassen.
Hat man das dann letztendlich auch gemacht?
Du meinst eine Abmahnung gegen mich?
Nöö, es gab eine E-Mail vom Kunden an die Geschäftsführung mit Fristsetzung 31.01.2020.

Gruss Penny.
commodity
commodity Jan 31, 2020 at 17:28:07 (UTC)
Goto Top
Wer von Euch betreut Arztpraxen? Wenn die Einrichtung vom AIS (Arzt-Informations-System) -Anbieter kommt, sind ziemlich wahrscheinlich

- alle Benutzerlogin-Passwörter identisch (und simpelst)
- alle AIS-Softwarepasswörter ebenso

Ich wette, das ist ein bundesweites Phänomen.

Mir hat gerade eine Softwarebude erklärt, wenn ich die Passwörter ändere (root-PW für alle Linux-Clients) würden sie den Support nicht mehr machen.

Soviel zur elektronischen Gesundheitskarte und TI...
certifiedit.net
certifiedit.net Jan 31, 2020 at 17:31:24 (UTC)
Goto Top
Kennen wir alles...
Spirit-of-Eli
Spirit-of-Eli Jan 31, 2020 at 17:55:27 (UTC)
Goto Top
Genau. Manche feiern es, wenn ihr "Standard Passwort" unter den top 10 gelistet ist.
Penny.Cilin
Penny.Cilin Feb 01, 2020 at 09:30:45 (UTC)
Goto Top
Zitat von @commodity:

Wer von Euch betreut Arztpraxen? Wenn die Einrichtung vom AIS (Arzt-Informations-System) -Anbieter kommt, sind ziemlich wahrscheinlich

- alle Benutzerlogin-Passwörter identisch (und simpelst)
- alle AIS-Softwarepasswörter ebenso
Melde das dem Bundesdatenschutzbeauftragten.

Ich wette, das ist ein bundesweites Phänomen.

Mir hat gerade eine Softwarebude erklärt, wenn ich die Passwörter ändere (root-PW für alle Linux-Clients) würden sie den Support nicht mehr machen.
Dann melde dies dem Bundesdatenschutzbeauftragten und gebe dan Namen dieser Software*frickel*bude an.
Vielleicht bekommen diese dann eine saftige Strafe.

Soviel zur elektronischen Gesundheitskarte und TI...
P.S. Soweit ich weiß, kann man diese Meldungen auf anonym machen, bzw. darauf hinweisen.
commodity
commodity Feb 01, 2020 at 11:19:57 (UTC)
Goto Top
Danke, ja, ich wollte zumindest mal dort anfragen, wie man damit umgehen sollte.
tikayevent
tikayevent Feb 01, 2020 at 11:53:40 (UTC)
Goto Top
Ist bei uns nicht ganz so schlimm, aber definitiv auch verbesserungswürdig. Das Admin-Passwort ist seit geschätzt 25 Jahren nicht geändert worden, mit der Begründung "Ich weiß nicht, was da noch alles dranhängt", aber für Neuinstallationen wird es nicht mehr verwendet. Bald sind alle Systeme mindestens einmal durchgetauscht, dann setz ich es durch.
Der alte IT-Leiter hatte sein Wissen aus Chip und Computerblind, war eigentlich gelernter Verkäufer, da sind schon etliche Schoten entstanden, aber sowas wird knallhart weggeändert.

Wenn man genau hinschaut, findet man in jedem System irgendwelche total abstrusen Sicherheitslücken. Leider kann man die nicht immer sofort lösen. Bei einem MFP geht das meist schnell, aber wenn man mit einer Uralt-Individualsoftware arbeitet, an der große Teile des Unternehmens hängen, die man nicht mal eben austauschen kann, aber auch selbst der Entwickler nicht weiß, was Sache ist, ist das eine sehr langwierige Aufgabe. Von 2010 bis 2018 hab ich mein Bestes gegeben und letzte Woche haben wir die letzten Reste vom System abgeschaltet. Anders war diese Sicherheitslücke nicht zu beheben.

Nochmal zu den MFP: Unsere sind geleased und da dort auch immer mal wieder ein Fremdtechniker dran arbeitet, haben wir dadrin kein wichtiges Passwort verwendet, was an anderer Stelle nochmal zum Einsatz kommt. Da es mir auch herzlich egal ist, ob die Kiste funktioniert oder nicht, könnte von mir aus jeder daran rumspielen. Das Passwort hat eine Stelle. Wie gesagt, das ist absichtlich so gewählt und jedem bei uns in der Abteilung bewusst.
certifiedit.net
certifiedit.net Feb 01, 2020 at 12:01:49 (UTC)
Goto Top
Moin Tika,

ich glaube es geht nicht um die Sicherheit des Druckers, sondern, dass da einfach mal der (domain)-admin eingetragen war...
SirMangoo
SirMangoo Feb 01, 2020 at 12:04:42 (UTC)
Goto Top
Also ich finds schon fast beruhigend dass die Probleme Überall bestehen 😅😂 und bin andererseits heilfroh dass nicht noch mehr passiert ist bisher ...

Es fängt wie Ihr schon sagt bei den Druckern an und zieht sich durch bis zu den Ärzten... Bei denen brauche ich teils schon keine Dokumentation mehr und kenne für viele Praxen die Kennwörter auswendig.. einfach weil sie überall gleich sind...
Penny.Cilin
Penny.Cilin Feb 01, 2020 at 12:23:00 (UTC)
Goto Top
Gerade auf heise gelesen: Datenleck an der Uni Erlangen Nürnberg
commodity
commodity Feb 01, 2020 at 14:21:18 (UTC)
Goto Top
Ich glaube (hoffe) das Bewusstsein geht langsam los. Die Fälle häufen sich ja z.Zt. medienwirksam. Dann steigt auch die Nachfrage nach sicherheitsbewussten Betreuern face-smile

Man muss aber auch sehen, dasss die Leute reibungsfrei arbeiten wollen. Es muss also praktikabel sein.

BTW, benutzt ein verantwortungsbewusster Admin eigentlich TeamViewer? Ist ja angeblich E2EE aber möchte ich mich da im kritischen Unternehmensumfeld oder bei höchstpersönlichen Daten drauf verlassen?
Penny.Cilin
Penny.Cilin Feb 01, 2020 at 14:37:15 (UTC)
Goto Top
Zitat von @commodity:

Ich glaube (hoffe) das Bewusstsein geht langsam los. Die Fälle häufen sich ja z.Zt. medienwirksam. Dann steigt auch die Nachfrage nach sicherheitsbewussten Betreuern face-smile
Hm, sehe ich nicht so. Weil Sicherheit bzw. IT soll funktionieren, darf aber KEIN bzw. nur sehr wenig Geld kosten!

Und immer noch ist die Denkweise sehr verbreitet, uns wird schon nichts passieren, weil wir haben unsere IT.
Das ist leider der Punkt, wo ich auch unter Berufskollegen höre.

Man muss aber auch sehen, dass die Leute reibungsfrei arbeiten wollen. Es muss also praktikabel sein.
Richtig, die Leute müssen arbeiten können. Wenn aber die Daten wegen fehlender Sicherheitsmaßnahmen verschlüsselt werden, oder Daten abfließen dann hört der Spaß definitiv auf. Siehe Kammergericht Berlin!

BTW, benutzt ein verantwortungsbewusster Admin eigentlich TeamViewer? Ist ja angeblich E2EE aber möchte ich mich da im kritischen Unternehmensumfeld oder bei höchstpersönlichen Daten drauf verlassen?
Es hieß TeamViewer ist verboten, allerdings nutzen fast alle Dienstleister TeamViewer, so daß die Administratoren jedes Mal vor Ort sind und TeamViewer starten.. bei manchen Anwendungen ist die Funktion direkt im Hilfepunkt implementiert, so daß dies von den Anwendern selbst gestartet werden kann.

Was mich ankotzt, ist die Tatsache, daß bis Heute mir niemand verlässlich mitteilt, ob TeamViewer nun offiziell verboten ist, oder wegen externen Support erlaubt ist.
Spirit-of-Eli
Spirit-of-Eli Feb 01, 2020 at 14:55:53 (UTC)
Goto Top
Oder die Aussage "Wir sind so klein und unwichtig". Nur haben die wenigsten auf der Schirm, das um Existenz gehen. Sei es die Firma oder die deren Mitarbeiter.

Bezüglich Teamviewer wäre mir ein Verbot nicht bewusst. Jedoch kenne recht viele Unternehmen die längst alternativen einsetzen.
Ich selbst habe festgestellt das redimentäre Überwachung z.b. über SSH möglich ist. Ferwartung kann genau so über MS Boardmittel oder der gleichen erfolgen.
Der Knackpunkt ist ein guter Ansatz das für und wieder von Cloud Lösungen zu betrachten.
commodity
commodity Feb 01, 2020 at 22:23:33 (UTC)
Goto Top
Zitat von @Penny.Cilin:

Hm, sehe ich nicht so. Weil Sicherheit bzw. IT soll funktionieren, darf aber KEIN bzw. nur sehr wenig Geld kosten!
Ich finde, Sicherheit muss im Verhältnis nicht teuer sein. Ich betreue ja nur sehr kleine Buden, da ist es mehr das (mangelnde) Bewusstsein und natürlich Bequemlichkeit, als die paar Euro für die Umsetzung eines Sicherheitskonzepts. Eher das:

Und immer noch ist die Denkweise sehr verbreitet, uns wird schon nichts passieren, weil wir haben unsere IT.
Wenn aber die Daten wegen fehlender Sicherheitsmaßnahmen verschlüsselt werden, oder Daten abfließen dann hört der Spaß definitiv auf. Siehe Kammergericht Berlin!

Ich stimme Dir zu. Das Kammergericht aber ist unvergleichlich. Berlin scheint technisch insgesamt völlig desolat aufgestellt zu sein. Und die Justiz zerfällt dort an ganz vielen Stellen. Die haben völlig andere Sorgen.
commodity
commodity Feb 01, 2020 at 22:33:31 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:
Der Knackpunkt ist ein guter Ansatz das für und wieder von Cloud Lösungen zu betrachten.
Da bin ich raus. Ich verstehe (auch und gerade aus Sicht der Systembetreuung) die Vorzüge der Cloud aber ich lehne sie ab. Für mich muss IT so weit als möglich unabhängig bleiben. Man spürt ja jetzt schon überall die Arroganz und Ignoranz der "Großen". Denen ist es doch später völlig egal, wie sie mit nicht systemrelevanten Kunden umgehen, wenn erst einmal alle an ihrem Tropf hängen.
Spirit-of-Eli
Spirit-of-Eli Feb 01, 2020 at 23:21:49 (UTC)
Goto Top
Zitat von @commodity:

Zitat von @Spirit-of-Eli:
Der Knackpunkt ist ein guter Ansatz das für und wieder von Cloud Lösungen zu betrachten.
Da bin ich raus. Ich verstehe (auch und gerade aus Sicht der Systembetreuung) die Vorzüge der Cloud aber ich lehne sie ab. Für mich muss IT so weit als möglich unabhängig bleiben. Man spürt ja jetzt schon überall die Arroganz und Ignoranz der "Großen". Denen ist es doch später völlig egal, wie sie mit nicht systemrelevanten Kunden umgehen, wenn erst einmal alle an ihrem Tropf hängen.

Damit triffst du ja das Problem. Nur viele lassen sich erstmal von den tollen versprechen beeinflussen. Von ausfällen mal ganz abgesehen.
Penny.Cilin
Penny.Cilin Feb 02, 2020 at 09:59:08 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @commodity:

Zitat von @Spirit-of-Eli:
Der Knackpunkt ist ein guter Ansatz das für und wieder von Cloud Lösungen zu betrachten.
Da bin ich raus. Ich verstehe (auch und gerade aus Sicht der Systembetreuung) die Vorzüge der Cloud aber ich lehne sie ab. Für mich muss IT so weit als möglich unabhängig bleiben. Man spürt ja jetzt schon überall die Arroganz und Ignoranz der "Großen". Denen ist es doch später völlig egal, wie sie mit nicht systemrelevanten Kunden umgehen, wenn erst einmal alle an ihrem Tropf hängen.

Damit triffst du ja das Problem. Nur viele lassen sich erstmal von den tollen versprechen beeinflussen. Von ausfällen mal ganz abgesehen.
Und spätestens, wenn man auf SEINE Daten zugreifen will, bzw. wieder auf On-Premise zurück will, beginnt das große Leiden.
certifiedit.net
certifiedit.net Feb 02, 2020 at 10:04:33 (UTC)
Goto Top
Naja, ganz einfach, weil es dann nicht mehr "SEINE" Daten sind. ;)
Penny.Cilin
Penny.Cilin Feb 02, 2020 at 10:27:22 (UTC)
Goto Top
Zitat von @certifiedit.net:

Naja, ganz einfach, weil es dann nicht mehr "SEINE" Daten sind. ;)
Folgerichtig, das ist wie mit der Nutzung von Software. Man darf Sie benutzen aber sie gehört einem nicht (Besitz, Eigentum).
Steht auch in jeder Eula. face-wink
Lochkartenstanzer
Lochkartenstanzer Feb 02, 2020 at 11:08:55 (UTC)
Goto Top
Zitat von @Penny.Cilin:

Steht auch in jeder Eula. face-wink

Die aber nicht immer in DE gilt.

lks
NoHopeNoFear
NoHopeNoFear Feb 03, 2020 at 09:33:47 (UTC)
Goto Top
Das ist noch harmlos.
Wir haben vor 2 Jahren einen Kunden übernommen bei dem alle Scanner auf die Clients direkt via SMB gescannt haben.
Config war wie folgt: Für jeden User des PCs einen Ordner auf dem Desktop freigegeben (Jeder Vollzugriff, auch NTFS) und im Scanner als SMB User Domain\Administrator hinterlegt. Die Config dann x mal für jeden möglichen Ziel Client.

Kann man so machen...
sklchris
sklchris Feb 03, 2020 at 09:35:46 (UTC)
Goto Top
Ich hab das Problem ständig, wenn ein Kunde eine Fremdfirma für seine Software oder Druckerfirma braucht, dann wird da nicht nur der Admin genommen, sondern die setzen die Rechte auf Ordner mit wichtigen Daten einfach immer auf Freigabe Jeder, da brauchst Du keinen Domänen Controller mehr.
Was ich mich da schon aufgeregt habe, weil in einem Fall wo ich mit dabei war, habe ich dem ITler erklärt dass er das keinesfalls machen soll, da die Rechte in Gruppen etc. korrekt eingestellt sind. Als ich dann beim nächsten Mal zufällig an dem Ordner was machen musste, stelle ich fest dass er es nach dem ich mit der Fernwartung draußen war, trotzdem auf Jeder gesetzt hat.
Und gerade bei dem einen Kunden sind das 2 Fremdfirmen die den doppelten Stundensatz haben.
sklchris
sklchris Feb 03, 2020 at 09:41:55 (UTC)
Goto Top
Wieso soll Teamviewer verboten sein - ich betreue damit alle meine Kunden, bzw. würde sonst gar nicht mehr fertig werden. Oder viele Kunden starten den Teamviewer nach Geschäftsschluss, wenn man Arbeiten durchführen soll, die tagsüber nur den Bürobetrieb aufhalten würden, wird extrem viel Abends und am Wochenende gemacht.

Und der ist ja mittlerweile recht gut, also man kann quasi alles machen, wofür man nicht wirklich vor Ort sein muss.
StefanKittel
StefanKittel Feb 03, 2020 at 09:44:48 (UTC)
Goto Top
Selbst Dropbox hat eine offizielle Freigabe des BSI erhalten.
Trotz Cloud Act
certifiedit.net
certifiedit.net Feb 03, 2020 at 09:44:53 (UTC)
Goto Top
Zitat von @sklchris:

Ich hab das Problem ständig, wenn ein Kunde eine Fremdfirma für seine Software oder Druckerfirma braucht, dann wird da nicht nur der Admin genommen, sondern die setzen die Rechte auf Ordner mit wichtigen Daten einfach immer auf Freigabe Jeder, da brauchst Du keinen Domänen Controller mehr.
Was ich mich da schon aufgeregt habe, weil in einem Fall wo ich mit dabei war, habe ich dem ITler erklärt dass er das keinesfalls machen soll, da die Rechte in Gruppen etc. korrekt eingestellt sind. Als ich dann beim nächsten Mal zufällig an dem Ordner was machen musste, stelle ich fest dass er es nach dem ich mit der Fernwartung draußen war, trotzdem auf Jeder gesetzt hat.
Und gerade bei dem einen Kunden sind das 2 Fremdfirmen die den doppelten Stundensatz haben.

Hatte ich auch schon paar mal, Hinweis half, dass wenn das so wieder stattfindet sind die draußen.
sklchris
sklchris Feb 03, 2020 at 11:22:04 (UTC)
Goto Top
Geht bei dem Kunden nicht, da es sein Handwerkerprogramm ist, und die andere Firma da haben sie den Drucker gemietet, die sind jetzt aber bald draußen, die haben sich selber dann ins Aus geschossen, weil sie den Kunden nur abzocken wollten.

Allerdings habe ich noch zb. eine Anwaltskanzlei, die eigentlich für das System viel zu wenig Wartung möchte - also da macht der Anwalt selbst viel (und falsch) und dann noch die Firma für die Kanzleisoftware, da kommt er nicht zuerst zu mir, sondern nimmt gleich den Support (k.A. ob der kostenlos ist) und dann kann es sein dass ich nur alle 6 Monate mal kurz auf dem System bin was zu installieren oder einzustellen - und dabei kann man nie die ganzen PCs und Server durchsehen ob einem jemand so ein Ei gelegt hat - also da bekomme ich "Magenschmerzen" wenn ich da dran denke.
Aber es gibt wirklich gelernte und studierte ITler, die haben so viel "Fachwissen" wie max. ein versierter Endanwender.
Dr.Bit
Dr.Bit Feb 04, 2020 updated at 12:33:13 (UTC)
Goto Top
@NetzwerkDude

Sehe ich auch so. Ist wohl nur ein Honeypot.
StefanKittel
StefanKittel Feb 22, 2020, updated at Feb 24, 2020 at 09:39:59 (UTC)
Goto Top
Ich breche ins Essen....

Ich erstelle gerade eine Dokumentation der IT einer kleinen Zahnarztpraxis.
Soweit so gut, das übliche.

Bis ich zur Doku der Koco-Box komme.
Das ist die Zertifizierungsbox (TI = Telematik-Infrastruktur)
https://www.kbv.de/html/telematikinfrastruktur.php

Diese ist für die Verschlüsselte Verbindung zum übertragen der Krankenversicherungskarten und später allgemeiner Versicherungsnehmerdaten inkl. vertraulicher Patientendaten zuständig.

Installiert wurde die Box von einer Fachfirma welche Servicepartner für einer der größten Anbieter für ärtzliche Abrechnungssoftware Deutschlandweit ist.

Der vorinstallierte Zwangs-Benutzer hat ein komplexes Kennwort.
Soweit normal.

Dann gibt es einen 2. Benutzer.
Das ist optional.

Benutzername = [Name der IT Fachfirma (siehe Oben)][FesterString]
Kennwort = [FesterString][Ort][Jahreszahl]
Typ = super-admin (wie koco-root)
Ich gehe davon aus, dass es hunderte Kocoboxen mit diesem Kennwort gibt.

Dann der PIN vom Lesegerät
PIN = 00000000
SICCT-PIN = 10101010
https://youtu.be/a6iW-8xPw3k?t=12

Muss man sowas schon dem Datenschutzbeauftragten melden?
certifiedit.net
certifiedit.net Feb 23, 2020 at 00:26:35 (UTC)
Goto Top
Geht noch schlimmer... Aber wenn juckt es, daran kommen ja sowieso nur die Arzthelferinnen... Wie oft man das schon gehört hat....
StefanKittel
StefanKittel Feb 25, 2020 at 06:59:16 (UTC)
Goto Top
Moin
Zitat von @certifiedit.net:

Geht noch schlimmer...
Wie oft man das schon gehört hat....
schlimmer geht immer und häuger mach es auch nicht besser face-smile

Aber wenn juckt es, daran kommen ja sowieso nur die Arzthelferinnen...
Und jeder der irgendwie Zugriff im Netz hat, ein Techniker für irgendwas, ein Trojaner, schlech konfigurierter Router, etc.
Man darf z.B. eine defekte Koco-Box nur per Kurier transportieren lassen. Nicht per Post.

Stefan
certifiedit.net
certifiedit.net Feb 25, 2020 at 07:12:23 (UTC)
Goto Top
Ich glaube ich muss für dich die rhetorischen Stilmittel deutlicher machen.

Ironie // Sarkasmus
NordicMike
NordicMike May 06, 2020 at 06:44:12 (UTC)
Goto Top
Ich habe mal beim McDonalds bei dem EC Karten Leser auf Menu gedrückt, während ich auf mein Gericht wartete. Er wollte eine 4-stellige PIN. Dann habe ich einfach mal 1234 eingetippt und... schwupps... ich war drin'.
tikayevent
tikayevent May 06, 2020 updated at 18:54:36 (UTC)
Goto Top
Bei unseren alten Geräten war noch nicht mal ein Passwort drin, weil technisch nicht vorgesehen.

Am Gerät kannst du machen, was du willst, egal wie du es verstellst, du hast keine Möglichkeit, dass das Geld woanders landet. Ein Denial of Service wäre möglich, wenn man in die Konfiguration kommt und einen anderen Host einträgt oder eine andere IP.
Die 1234 wird aber vermutlich so Sachen wie Kassenschnitt geschützt haben, also Sachen, die keinen Schaden anrichten.

Ohne eigenes Poseidonsystem, was vom Terminal aus erreichbar ist, kannst du nichts abgreifen. Und Atos Poseidon bekommt man nicht mal eben so, insbesondere weil du dann noch die entsprechenden Bankanbindungen benötigst.

Unsere neuen Geräte sind aber besser abgesichert.
StefanKittel
StefanKittel May 06, 2020 at 19:04:49 (UTC)
Goto Top
Zitat von @tikayevent:
Unsere neuen Geräte sind aber besser abgesichert.
Das neue Kennwort ist nun 1234567....
tikayevent
tikayevent May 06, 2020 at 19:05:26 (UTC)
Goto Top
Nein, Obstkorb.
Dr.Bit
Dr.Bit May 07, 2020 at 05:18:30 (UTC)
Goto Top
Zitat von @tikayevent:

Nein, Obstkorb.
Da kommt wenigstens keiner drauf.
Penny.Cilin
Penny.Cilin May 07, 2020 at 07:35:18 (UTC)
Goto Top
oder 0bstk0rrb
Lochkartenstanzer
Lochkartenstanzer May 07, 2020 at 07:58:24 (UTC)
Goto Top
Zitat von @Penny.Cilin:

oder 0bstk0rrb

oder 0B5dgOrP

lks
Dr.Bit
Dr.Bit May 07, 2020 at 09:11:11 (UTC)
Goto Top
Habt ihr getrunken? Is doch noch gar nicht Vier. Obwohl.... irgendwo bestimmt. face-smile
NordicMike
NordicMike May 07, 2020 at 11:47:45 (UTC)
Goto Top
Woher kennt ihr meine Domain-Admin Passwörter?

:c)