Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Warum kümmern wir uns eigentlich noch um Sicherheit?

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

30.01.2020 um 18:29 Uhr, 6685 Aufrufe, 44 Kommentare, 5 Danke

Hallo,

warum kümmern wir uns eigentlich noch um Sicherheit?
Bei einem neuem Kunden habe ich nach dem Ausscheiden eines MA, der auch hausintern mit für die IT zuständig war, verschiedene Kennwörter geändert.

Kurz danach.
Wir können mit dem Kopierer nicht mehr scannen.
In der Liste gab es auch einen Benutzer Scan den ich nicht geändert habe.

Anbei ein Screenshot aus dem Webinterface des Drucker nach der Anmeldung mit dem Herstellerstandardkennwort.
1 - Klicke auf das Bild, um es zu vergrößern

Ist es den Leuten die solche Geräte einbinden echt so vollständig egal?

Viele grüße

Stefan
44 Kommentare
Mitglied: Lochkartenstanzer
30.01.2020 um 18:32 Uhr
Zitat von StefanKittel:

Ist es den Leuten die solche Geräte einbinden echt so vollständig egal?

Meine Erfahrung ist:

Es soll schon sicher sein, aber nciht, wenn das der "einfachen Funktion" etgegensteht. Es ist dann jedesmal eine Diskussion mit solchen Kunden angesagt, daß die "einfache Funktion" nicht nur für die "Guten" gilt, sondern für Schwarzhüte auch.

lks
Bitte warten ..
Mitglied: StefanKittel
30.01.2020, aktualisiert um 18:35 Uhr
Aber es ist ja noch nicht mal einfacher.
Ob ich nun admin oder scan als Benutzer eintrage...
Und den Scan Benutzer gab es ja schon....

Ich glaube ich stelle bei meinen Kunden nur noch Thinclients hin und alles läuft über RDS-Server im RZ.
Anmeldung mit Schlüsselkarte, Irisscanner, Kennwort und 4FA.
Bitte warten ..
Mitglied: Spirit-of-Eli
30.01.2020 um 18:48 Uhr
Mich wollte man schon mal aus einem unternehmen werfen da ich sagte, dass solch eine Konfig definitiv nicht sicherheits konform ist.
Bitte warten ..
Mitglied: NetzwerkDude
30.01.2020 um 19:15 Uhr
Ist ein honeypot, der user heißt zwar admin, hat aber auf dem zielsystem keinerlei rechte :D
Bitte warten ..
Mitglied: Penny.Cilin
30.01.2020 um 20:03 Uhr
Schlimmer noch. Ich bin derzeit Konzern beschäftigt, welcher die IT-Dienstleistung in eine eigenständige GmbH ausgelagert hat.
Bei den Druckern und Multifunktionsgeräten werden die Default Benutzerkennungen und Passwörter für die Konfiguration verwendet.

D.h. die Konfiguration der Geräte kann von jeder Person geändert werden, welcher den Netzwerknamen oder die Netzwerkadresse (TCP/IP des Gerätes kennt.
Als ich das beim zuständigen internen Datenschützer angesprochen habe, wollte man mir eine Abmahnung verpassen.

P.S. Sollte man so etwas nicht dem Bundesdatenschutzbeauftragten melden?
Bitte warten ..
Mitglied: Spirit-of-Eli
30.01.2020 um 20:59 Uhr
Zitat von Penny.Cilin:
P.S. Sollte man so etwas nicht dem Bundesdatenschutzbeauftragten melden?

So gehen die wahrscheinlich auch mit Leuten um die den Konzern auf Sicherheitslücken aufmerksam machen. Nichts anderes ist es ja.
Bitte warten ..
Mitglied: Windows10Gegner
30.01.2020 um 22:18 Uhr
Zitat von Penny.Cilin:
Als ich das beim zuständigen internen Datenschützer angesprochen habe, wollte man mir eine Abmahnung verpassen.
Hat man das dann letztendlich auch gemacht?

P.S. Sollte man so etwas nicht dem Bundesdatenschutzbeauftragten melden?
Nein, im Hacker-Forum ist es besser ausgehoben, denn dann passiert auf jeden Fall etwas.
Bitte warten ..
Mitglied: certifiedit.net
31.01.2020 um 00:01 Uhr
Ist halt einfach einfach so.
Bitte warten ..
Mitglied: chgorges
31.01.2020 um 07:09 Uhr
Zitat von certifiedit.net:

Ist halt einfach einfach so.

Jup und ich lege meine Hand dafür ins Feuer, dass man an mindestens 9 von 10 fremden Geräten, an die man ranläuft, sich mit den Default-Kennungen, die man sich ergooglen kann, anmelden kann.
Bitte warten ..
Mitglied: certifiedit.net
31.01.2020 um 08:37 Uhr
Ist halt einfach einfach so. Hab aber auch letztens gehört, dass Sicherheit das alles so aufwendig und kompliziert macht...
Bitte warten ..
Mitglied: Voiper
31.01.2020 um 09:19 Uhr
Zitat von certifiedit.net:

Ist halt einfach einfach so. Hab aber auch letztens gehört, dass Sicherheit das alles so aufwendig und kompliziert macht...
Moin,

das höre ich dauernd. Da hilft nur getrennte Accounts anzulegen, damit man wenigstens protokollieren kann, wer es verbockt hat.
Bitte warten ..
Mitglied: certifiedit.net
31.01.2020 um 09:57 Uhr
Zitat von Voiper:

Zitat von certifiedit.net:

Ist halt einfach einfach so. Hab aber auch letztens gehört, dass Sicherheit das alles so aufwendig und kompliziert macht...
Moin,

das höre ich dauernd. Da hilft nur getrennte Accounts anzulegen, damit man wenigstens protokollieren kann, wer es verbockt hat.

Bin ich ganz bei dir. Aber das wird dann so ausgelegt, als ob man nicht sämtliche Accounts herausgibt - obwohl der eigene die identischen Rechte hat.
Bitte warten ..
Mitglied: Penny.Cilin
31.01.2020 um 11:52 Uhr
Zitat von Spirit-of-Eli:

Zitat von Penny.Cilin:
P.S. Sollte man so etwas nicht dem Bundesdatenschutzbeauftragten melden?

So gehen die wahrscheinlich auch mit Leuten um die den Konzern auf Sicherheitslücken aufmerksam machen. Nichts anderes ist es ja.
So ist es.

Gruss Penny.
Bitte warten ..
Mitglied: Penny.Cilin
31.01.2020 um 11:56 Uhr
Zitat von Windows10Gegner:

Zitat von Penny.Cilin:
Als ich das beim zuständigen internen Datenschützer angesprochen habe, wollte man mir eine Abmahnung verpassen.
Hat man das dann letztendlich auch gemacht?
Du meinst eine Abmahnung gegen mich?
Nöö, es gab eine E-Mail vom Kunden an die Geschäftsführung mit Fristsetzung 31.01.2020.

Gruss Penny.
Bitte warten ..
Mitglied: commodity
31.01.2020 um 18:28 Uhr
Wer von Euch betreut Arztpraxen? Wenn die Einrichtung vom AIS (Arzt-Informations-System) -Anbieter kommt, sind ziemlich wahrscheinlich

- alle Benutzerlogin-Passwörter identisch (und simpelst)
- alle AIS-Softwarepasswörter ebenso

Ich wette, das ist ein bundesweites Phänomen.

Mir hat gerade eine Softwarebude erklärt, wenn ich die Passwörter ändere (root-PW für alle Linux-Clients) würden sie den Support nicht mehr machen.

Soviel zur elektronischen Gesundheitskarte und TI...
Bitte warten ..
Mitglied: certifiedit.net
31.01.2020 um 18:31 Uhr
Kennen wir alles...
Bitte warten ..
Mitglied: Spirit-of-Eli
31.01.2020 um 18:55 Uhr
Genau. Manche feiern es, wenn ihr "Standard Passwort" unter den top 10 gelistet ist.
Bitte warten ..
Mitglied: Penny.Cilin
01.02.2020 um 10:30 Uhr
Zitat von commodity:

Wer von Euch betreut Arztpraxen? Wenn die Einrichtung vom AIS (Arzt-Informations-System) -Anbieter kommt, sind ziemlich wahrscheinlich

- alle Benutzerlogin-Passwörter identisch (und simpelst)
- alle AIS-Softwarepasswörter ebenso
Melde das dem Bundesdatenschutzbeauftragten.

Ich wette, das ist ein bundesweites Phänomen.

Mir hat gerade eine Softwarebude erklärt, wenn ich die Passwörter ändere (root-PW für alle Linux-Clients) würden sie den Support nicht mehr machen.
Dann melde dies dem Bundesdatenschutzbeauftragten und gebe dan Namen dieser Software*frickel*bude an.
Vielleicht bekommen diese dann eine saftige Strafe.

Soviel zur elektronischen Gesundheitskarte und TI...
P.S. Soweit ich weiß, kann man diese Meldungen auf anonym machen, bzw. darauf hinweisen.
Bitte warten ..
Mitglied: commodity
01.02.2020 um 12:19 Uhr
Danke, ja, ich wollte zumindest mal dort anfragen, wie man damit umgehen sollte.
Bitte warten ..
Mitglied: tikayevent
01.02.2020 um 12:53 Uhr
Ist bei uns nicht ganz so schlimm, aber definitiv auch verbesserungswürdig. Das Admin-Passwort ist seit geschätzt 25 Jahren nicht geändert worden, mit der Begründung "Ich weiß nicht, was da noch alles dranhängt", aber für Neuinstallationen wird es nicht mehr verwendet. Bald sind alle Systeme mindestens einmal durchgetauscht, dann setz ich es durch.
Der alte IT-Leiter hatte sein Wissen aus Chip und Computerblind, war eigentlich gelernter Verkäufer, da sind schon etliche Schoten entstanden, aber sowas wird knallhart weggeändert.

Wenn man genau hinschaut, findet man in jedem System irgendwelche total abstrusen Sicherheitslücken. Leider kann man die nicht immer sofort lösen. Bei einem MFP geht das meist schnell, aber wenn man mit einer Uralt-Individualsoftware arbeitet, an der große Teile des Unternehmens hängen, die man nicht mal eben austauschen kann, aber auch selbst der Entwickler nicht weiß, was Sache ist, ist das eine sehr langwierige Aufgabe. Von 2010 bis 2018 hab ich mein Bestes gegeben und letzte Woche haben wir die letzten Reste vom System abgeschaltet. Anders war diese Sicherheitslücke nicht zu beheben.

Nochmal zu den MFP: Unsere sind geleased und da dort auch immer mal wieder ein Fremdtechniker dran arbeitet, haben wir dadrin kein wichtiges Passwort verwendet, was an anderer Stelle nochmal zum Einsatz kommt. Da es mir auch herzlich egal ist, ob die Kiste funktioniert oder nicht, könnte von mir aus jeder daran rumspielen. Das Passwort hat eine Stelle. Wie gesagt, das ist absichtlich so gewählt und jedem bei uns in der Abteilung bewusst.
Bitte warten ..
Mitglied: certifiedit.net
01.02.2020 um 13:01 Uhr
Moin Tika,

ich glaube es geht nicht um die Sicherheit des Druckers, sondern, dass da einfach mal der (domain)-admin eingetragen war...
Bitte warten ..
Mitglied: SirMangoo
01.02.2020 um 13:04 Uhr
Also ich finds schon fast beruhigend dass die Probleme Überall bestehen 😅😂 und bin andererseits heilfroh dass nicht noch mehr passiert ist bisher ...

Es fängt wie Ihr schon sagt bei den Druckern an und zieht sich durch bis zu den Ärzten... Bei denen brauche ich teils schon keine Dokumentation mehr und kenne für viele Praxen die Kennwörter auswendig.. einfach weil sie überall gleich sind...
Bitte warten ..
Mitglied: commodity
01.02.2020 um 15:21 Uhr
Ich glaube (hoffe) das Bewusstsein geht langsam los. Die Fälle häufen sich ja z.Zt. medienwirksam. Dann steigt auch die Nachfrage nach sicherheitsbewussten Betreuern

Man muss aber auch sehen, dasss die Leute reibungsfrei arbeiten wollen. Es muss also praktikabel sein.

BTW, benutzt ein verantwortungsbewusster Admin eigentlich TeamViewer? Ist ja angeblich E2EE aber möchte ich mich da im kritischen Unternehmensumfeld oder bei höchstpersönlichen Daten drauf verlassen?
Bitte warten ..
Mitglied: Penny.Cilin
01.02.2020 um 15:37 Uhr
Zitat von commodity:

Ich glaube (hoffe) das Bewusstsein geht langsam los. Die Fälle häufen sich ja z.Zt. medienwirksam. Dann steigt auch die Nachfrage nach sicherheitsbewussten Betreuern
Hm, sehe ich nicht so. Weil Sicherheit bzw. IT soll funktionieren, darf aber KEIN bzw. nur sehr wenig Geld kosten!

Und immer noch ist die Denkweise sehr verbreitet, uns wird schon nichts passieren, weil wir haben unsere IT.
Das ist leider der Punkt, wo ich auch unter Berufskollegen höre.

Man muss aber auch sehen, dass die Leute reibungsfrei arbeiten wollen. Es muss also praktikabel sein.
Richtig, die Leute müssen arbeiten können. Wenn aber die Daten wegen fehlender Sicherheitsmaßnahmen verschlüsselt werden, oder Daten abfließen dann hört der Spaß definitiv auf. Siehe Kammergericht Berlin!

BTW, benutzt ein verantwortungsbewusster Admin eigentlich TeamViewer? Ist ja angeblich E2EE aber möchte ich mich da im kritischen Unternehmensumfeld oder bei höchstpersönlichen Daten drauf verlassen?
Es hieß TeamViewer ist verboten, allerdings nutzen fast alle Dienstleister TeamViewer, so daß die Administratoren jedes Mal vor Ort sind und TeamViewer starten.. bei manchen Anwendungen ist die Funktion direkt im Hilfepunkt implementiert, so daß dies von den Anwendern selbst gestartet werden kann.

Was mich ankotzt, ist die Tatsache, daß bis Heute mir niemand verlässlich mitteilt, ob TeamViewer nun offiziell verboten ist, oder wegen externen Support erlaubt ist.
Bitte warten ..
Mitglied: Spirit-of-Eli
01.02.2020 um 15:55 Uhr
Oder die Aussage "Wir sind so klein und unwichtig". Nur haben die wenigsten auf der Schirm, das um Existenz gehen. Sei es die Firma oder die deren Mitarbeiter.

Bezüglich Teamviewer wäre mir ein Verbot nicht bewusst. Jedoch kenne recht viele Unternehmen die längst alternativen einsetzen.
Ich selbst habe festgestellt das redimentäre Überwachung z.b. über SSH möglich ist. Ferwartung kann genau so über MS Boardmittel oder der gleichen erfolgen.
Der Knackpunkt ist ein guter Ansatz das für und wieder von Cloud Lösungen zu betrachten.
Bitte warten ..
Mitglied: commodity
01.02.2020 um 23:23 Uhr
Zitat von Penny.Cilin:

Hm, sehe ich nicht so. Weil Sicherheit bzw. IT soll funktionieren, darf aber KEIN bzw. nur sehr wenig Geld kosten!
Ich finde, Sicherheit muss im Verhältnis nicht teuer sein. Ich betreue ja nur sehr kleine Buden, da ist es mehr das (mangelnde) Bewusstsein und natürlich Bequemlichkeit, als die paar Euro für die Umsetzung eines Sicherheitskonzepts. Eher das:
Und immer noch ist die Denkweise sehr verbreitet, uns wird schon nichts passieren, weil wir haben unsere IT.
Wenn aber die Daten wegen fehlender Sicherheitsmaßnahmen verschlüsselt werden, oder Daten abfließen dann hört der Spaß definitiv auf. Siehe Kammergericht Berlin!
Ich stimme Dir zu. Das Kammergericht aber ist unvergleichlich. Berlin scheint technisch insgesamt völlig desolat aufgestellt zu sein. Und die Justiz zerfällt dort an ganz vielen Stellen. Die haben völlig andere Sorgen.
Bitte warten ..
Mitglied: commodity
01.02.2020 um 23:33 Uhr
Zitat von Spirit-of-Eli:
Der Knackpunkt ist ein guter Ansatz das für und wieder von Cloud Lösungen zu betrachten.
Da bin ich raus. Ich verstehe (auch und gerade aus Sicht der Systembetreuung) die Vorzüge der Cloud aber ich lehne sie ab. Für mich muss IT so weit als möglich unabhängig bleiben. Man spürt ja jetzt schon überall die Arroganz und Ignoranz der "Großen". Denen ist es doch später völlig egal, wie sie mit nicht systemrelevanten Kunden umgehen, wenn erst einmal alle an ihrem Tropf hängen.
Bitte warten ..
Mitglied: Spirit-of-Eli
02.02.2020 um 00:21 Uhr
Zitat von commodity:

Zitat von Spirit-of-Eli:
Der Knackpunkt ist ein guter Ansatz das für und wieder von Cloud Lösungen zu betrachten.
Da bin ich raus. Ich verstehe (auch und gerade aus Sicht der Systembetreuung) die Vorzüge der Cloud aber ich lehne sie ab. Für mich muss IT so weit als möglich unabhängig bleiben. Man spürt ja jetzt schon überall die Arroganz und Ignoranz der "Großen". Denen ist es doch später völlig egal, wie sie mit nicht systemrelevanten Kunden umgehen, wenn erst einmal alle an ihrem Tropf hängen.

Damit triffst du ja das Problem. Nur viele lassen sich erstmal von den tollen versprechen beeinflussen. Von ausfällen mal ganz abgesehen.
Bitte warten ..
Mitglied: Penny.Cilin
02.02.2020 um 10:59 Uhr
Zitat von Spirit-of-Eli:

Zitat von commodity:

Zitat von Spirit-of-Eli:
Der Knackpunkt ist ein guter Ansatz das für und wieder von Cloud Lösungen zu betrachten.
Da bin ich raus. Ich verstehe (auch und gerade aus Sicht der Systembetreuung) die Vorzüge der Cloud aber ich lehne sie ab. Für mich muss IT so weit als möglich unabhängig bleiben. Man spürt ja jetzt schon überall die Arroganz und Ignoranz der "Großen". Denen ist es doch später völlig egal, wie sie mit nicht systemrelevanten Kunden umgehen, wenn erst einmal alle an ihrem Tropf hängen.

Damit triffst du ja das Problem. Nur viele lassen sich erstmal von den tollen versprechen beeinflussen. Von ausfällen mal ganz abgesehen.
Und spätestens, wenn man auf SEINE Daten zugreifen will, bzw. wieder auf On-Premise zurück will, beginnt das große Leiden.
Bitte warten ..
Mitglied: certifiedit.net
02.02.2020 um 11:04 Uhr
Naja, ganz einfach, weil es dann nicht mehr "SEINE" Daten sind. ;)
Bitte warten ..
Mitglied: Penny.Cilin
02.02.2020 um 11:27 Uhr
Zitat von certifiedit.net:

Naja, ganz einfach, weil es dann nicht mehr "SEINE" Daten sind. ;)
Folgerichtig, das ist wie mit der Nutzung von Software. Man darf Sie benutzen aber sie gehört einem nicht (Besitz, Eigentum).
Steht auch in jeder Eula.
Bitte warten ..
Mitglied: Lochkartenstanzer
02.02.2020 um 12:08 Uhr
Zitat von Penny.Cilin:

Steht auch in jeder Eula.

Die aber nicht immer in DE gilt.

lks
Bitte warten ..
Mitglied: NoHopeNoFear
03.02.2020 um 10:33 Uhr
Das ist noch harmlos.
Wir haben vor 2 Jahren einen Kunden übernommen bei dem alle Scanner auf die Clients direkt via SMB gescannt haben.
Config war wie folgt: Für jeden User des PCs einen Ordner auf dem Desktop freigegeben (Jeder Vollzugriff, auch NTFS) und im Scanner als SMB User Domain\Administrator hinterlegt. Die Config dann x mal für jeden möglichen Ziel Client.

Kann man so machen...
Bitte warten ..
Mitglied: sklchris
03.02.2020 um 10:35 Uhr
Ich hab das Problem ständig, wenn ein Kunde eine Fremdfirma für seine Software oder Druckerfirma braucht, dann wird da nicht nur der Admin genommen, sondern die setzen die Rechte auf Ordner mit wichtigen Daten einfach immer auf Freigabe Jeder, da brauchst Du keinen Domänen Controller mehr.
Was ich mich da schon aufgeregt habe, weil in einem Fall wo ich mit dabei war, habe ich dem ITler erklärt dass er das keinesfalls machen soll, da die Rechte in Gruppen etc. korrekt eingestellt sind. Als ich dann beim nächsten Mal zufällig an dem Ordner was machen musste, stelle ich fest dass er es nach dem ich mit der Fernwartung draußen war, trotzdem auf Jeder gesetzt hat.
Und gerade bei dem einen Kunden sind das 2 Fremdfirmen die den doppelten Stundensatz haben.
Bitte warten ..
Mitglied: sklchris
03.02.2020 um 10:41 Uhr
Wieso soll Teamviewer verboten sein - ich betreue damit alle meine Kunden, bzw. würde sonst gar nicht mehr fertig werden. Oder viele Kunden starten den Teamviewer nach Geschäftsschluss, wenn man Arbeiten durchführen soll, die tagsüber nur den Bürobetrieb aufhalten würden, wird extrem viel Abends und am Wochenende gemacht.

Und der ist ja mittlerweile recht gut, also man kann quasi alles machen, wofür man nicht wirklich vor Ort sein muss.
Bitte warten ..
Mitglied: StefanKittel
03.02.2020 um 10:44 Uhr
Selbst Dropbox hat eine offizielle Freigabe des BSI erhalten.
Trotz Cloud Act
Bitte warten ..
Mitglied: certifiedit.net
03.02.2020 um 10:44 Uhr
Zitat von sklchris:

Ich hab das Problem ständig, wenn ein Kunde eine Fremdfirma für seine Software oder Druckerfirma braucht, dann wird da nicht nur der Admin genommen, sondern die setzen die Rechte auf Ordner mit wichtigen Daten einfach immer auf Freigabe Jeder, da brauchst Du keinen Domänen Controller mehr.
Was ich mich da schon aufgeregt habe, weil in einem Fall wo ich mit dabei war, habe ich dem ITler erklärt dass er das keinesfalls machen soll, da die Rechte in Gruppen etc. korrekt eingestellt sind. Als ich dann beim nächsten Mal zufällig an dem Ordner was machen musste, stelle ich fest dass er es nach dem ich mit der Fernwartung draußen war, trotzdem auf Jeder gesetzt hat.
Und gerade bei dem einen Kunden sind das 2 Fremdfirmen die den doppelten Stundensatz haben.

Hatte ich auch schon paar mal, Hinweis half, dass wenn das so wieder stattfindet sind die draußen.
Bitte warten ..
Mitglied: sklchris
03.02.2020 um 12:22 Uhr
Geht bei dem Kunden nicht, da es sein Handwerkerprogramm ist, und die andere Firma da haben sie den Drucker gemietet, die sind jetzt aber bald draußen, die haben sich selber dann ins Aus geschossen, weil sie den Kunden nur abzocken wollten.

Allerdings habe ich noch zb. eine Anwaltskanzlei, die eigentlich für das System viel zu wenig Wartung möchte - also da macht der Anwalt selbst viel (und falsch) und dann noch die Firma für die Kanzleisoftware, da kommt er nicht zuerst zu mir, sondern nimmt gleich den Support (k.A. ob der kostenlos ist) und dann kann es sein dass ich nur alle 6 Monate mal kurz auf dem System bin was zu installieren oder einzustellen - und dabei kann man nie die ganzen PCs und Server durchsehen ob einem jemand so ein Ei gelegt hat - also da bekomme ich "Magenschmerzen" wenn ich da dran denke.
Aber es gibt wirklich gelernte und studierte ITler, die haben so viel "Fachwissen" wie max. ein versierter Endanwender.
Bitte warten ..
Mitglied: Dr.Bit
04.02.2020, aktualisiert um 13:33 Uhr
@NetzwerkDude

Sehe ich auch so. Ist wohl nur ein Honeypot.
Bitte warten ..
Mitglied: StefanKittel
23.02.2020, aktualisiert 24.02.2020
Ich breche ins Essen....

Ich erstelle gerade eine Dokumentation der IT einer kleinen Zahnarztpraxis.
Soweit so gut, das übliche.

Bis ich zur Doku der Koco-Box komme.
Das ist die Zertifizierungsbox (TI = Telematik-Infrastruktur)
https://www.kbv.de/html/telematikinfrastruktur.php

Diese ist für die Verschlüsselte Verbindung zum übertragen der Krankenversicherungskarten und später allgemeiner Versicherungsnehmerdaten inkl. vertraulicher Patientendaten zuständig.

Installiert wurde die Box von einer Fachfirma welche Servicepartner für einer der größten Anbieter für ärtzliche Abrechnungssoftware Deutschlandweit ist.

Der vorinstallierte Zwangs-Benutzer hat ein komplexes Kennwort.
Soweit normal.

Dann gibt es einen 2. Benutzer.
Das ist optional.

Benutzername = [Name der IT Fachfirma (siehe Oben)][FesterString]
Kennwort = [FesterString][Ort][Jahreszahl]
Typ = super-admin (wie koco-root)
Ich gehe davon aus, dass es hunderte Kocoboxen mit diesem Kennwort gibt.

Dann der PIN vom Lesegerät
PIN = 00000000
SICCT-PIN = 10101010
https://youtu.be/a6iW-8xPw3k?t=12

Muss man sowas schon dem Datenschutzbeauftragten melden?
Bitte warten ..
Mitglied: certifiedit.net
23.02.2020 um 01:26 Uhr
Geht noch schlimmer... Aber wenn juckt es, daran kommen ja sowieso nur die Arzthelferinnen... Wie oft man das schon gehört hat....
Bitte warten ..
Mitglied: StefanKittel
25.02.2020 um 07:59 Uhr
Moin
Zitat von certifiedit.net:

Geht noch schlimmer...
Wie oft man das schon gehört hat....
schlimmer geht immer und häuger mach es auch nicht besser

Aber wenn juckt es, daran kommen ja sowieso nur die Arzthelferinnen...
Und jeder der irgendwie Zugriff im Netz hat, ein Techniker für irgendwas, ein Trojaner, schlech konfigurierter Router, etc.
Man darf z.B. eine defekte Koco-Box nur per Kurier transportieren lassen. Nicht per Post.

Stefan
Bitte warten ..
Mitglied: certifiedit.net
25.02.2020 um 08:12 Uhr
Ich glaube ich muss für dich die rhetorischen Stilmittel deutlicher machen.

Ironie // Sarkasmus
Bitte warten ..
Ähnliche Inhalte
Datenschutz

Was macht eigentlich ein Datenträgerspürhund ?

Information von HenereDatenschutz3 Kommentare

Heute das erste Mal über den Namen gestolpert. Henere

Cloud-Dienste

Was ist denn eigentlich "Cloud Computing"?

Information von tomolpiCloud-Dienste

Für alle, die sich das schon immer gefragt haben: der WDR hat die Antwort. Eignet sich auch für uns ...

Datenschutz

Microsoft: Welche Daten werden eigentlich gesammelt?

Information von FrankDatenschutz21 Kommentare

Da ich in einigen Diskussionen auf unserer Seite feststellen musste, dass die wenigsten Admins oder ITPros wirklich wissen, was ...

Sicherheit

Microsoft und Skype: Sicherheit

Information von kgbornSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Neue Wissensbeiträge
Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 2 TagenInformationsdienste12 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 2 TagenInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Off Topic

Ein wenig Aufklärung über Corona von Bill Gates persönlich

Information von Frank vor 3 TagenOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 3 TagenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Lokale IP-Adresse
Frage von Kuerbis2020LAN, WAN, Wireless36 Kommentare

Lokale IP-Adresse: Woher bezieht Mein PC seine lokale IP-Adresse? Nenne den Namen des Dienstes und wo der Dienst installiert ...

Windows Server
Hyper-V VM vorm Admin absichern
Frage von MarabuntaWindows Server20 Kommentare

Hallo, wie bekomme ich eine VM in WS 2012 Hyper-V soweit abgetrennt, dass ein Admin ohne Passwort keinen (leichten) ...

DNS
DNS-Festlegung Windows
Frage von Kuerbis2020DNS12 Kommentare

DNS-Festlegung: Wo kann man das statische DNS festlegen und an welcher stelle wird das vorgenommen? A: Feste IP-Adresse für ...

Windows 10
Treiberupdates via Windows Update - bitte um Praxiserfahrungen
Frage von m.fesslerWindows 109 Kommentare

Hallo zusammen, wie ist eure Erfahrung mit Treiber-Updates über Windows Updates? Wobei meine Frage hauptsächlich "Fremdgeräte" von Familie und ...