Rittal reagiert – auf Öffentlichkeit

Rittal hat auf meinen Blogeintrag tatsächlich nochmal per Mail reagiert. Die Fairness gebietet es, auch die zweite Antwort zu veröffentlichen. ABER: Die Umstände machen mich nachdenklich:

  1. Ich bekam diese Mail an den Mailaccount des Blogs, NICHT an den Firmenaccount von dem ich die ursächliche Mail schrieb. Meine Firmenmail blieb von dieser Information „verschont“.
  2. Günter Born, der ebenfalls über den Vorfall bloggte, bekam eine wortwörtlich identische Mail von Rittal.

Daraus wage ich zu schließen, dass Rittal vorrangig auf die öffentlichkeitswirksamen Blogeinträge reagiert hat (ich hatte deutlich 5stellige Zugriffe innerhalb von zwei Tagen auf den Artikel) und weniger als auf die (fundierte?) Kritik eines einzelnen Kunden. Denn sonst hätte man sich doch auch an den Kunden und nicht nur an uns Blogger gewandt, oder? Das ist blöde für die Kunden, aber letztendlich ein Zeichen für die Wirksamkeit des bloggens – wenn man eine kritische Masse erreicht. Wie das am Ende zu bewerten ist, lasse ich mal offen. Obschon: Herr Miller ist halt „Executive Vice President Marketing“ und somit nicht für Kundenzufriedenheit zuständig. 🙂

Nebengedanke: Ob Fefe die Mail von Rittal auch erhalten hat?

Nun also die Mail von Rittal (24.05.2017 10:52):

Guten Tag, Herr Koepke,

wir haben Ihre aufschlussreichen Hinweise zum Anlass genommen, den gesamten Vorgang sorgfältig zu prüfen.

In der heutigen Zeit, in der immer mehr IT-Systeme vernetzt sind, besteht in der Tat ein allgemein hohes Risiko für die IT-Sicherheit und den Datenschutz. Insofern kann man, da haben Sie recht, nicht vorsichtig genug sein. Wir sind uns nach intensiver Diskussion bei Rittal einig, dass von einem per Post versendeten USB-Stick schon deshalb ein Gefährdungspotenzial ausgeht, weil er auf dem Postweg unbemerkt ausgetauscht werden kann.

Den von uns verwendeten USB-Stick haben wir nach aktuellem Stand der Technik erstellen und prüfen lassen. Dennoch könnte es ratsam sein, generell auf eine AutoRun-Funktion zu verzichten, die weitere Funktionen auf dem Zielrechner des Empfängers ausführt. Das ist uns durch die Auseinandersetzung mit Ihrer konstruktiven Kritik klar geworden, und wir werden diese Erkenntnis bei künftigen Marketing-Aktionen berücksichtigen. Im Zentrum unserer Überlegungen wird stets das Bestreben stehen, auf keinen Fall die IT-Sicherheit unserer Kunden zu gefährden. Schließlich wollen wir für unsere Produkte und Leistungen werben, was nur gelingen kann, wenn unsere Kunden in jeder Hinsicht mit uns zufrieden sind.

Erlauben Sie mir bitte abschließend darauf hinzuweisen, dass wir bei Rittal das Thema IT-Sicherheit generell sehr ernst nehmen. Dafür stehen unter anderem zahlreiche Zertifizierungen, die sich unsere Mitarbeiter in Aus- und Weiterbildungen erworben haben.

Freundliche Grüße

Dirk Miller
Executive Vice President
Marketing

 

Rittal verschickt USB-Stick mit Werbung. Was kann da schon schief gehen?

Der deutsche Hersteller von „Schaltschränken, Stromverteilung, Klimatisierung und IT-Infrastruktur“ „Rittal verschickt an seine Kunden USB-Stick, die hochgradiges Gefährdungspotential haben. Ich will nicht behaupten, dass von dieser Aktion eine konkrete Gefährdung ausgeht, aber sie ist einfach nur dumm sehr-sehr unglücklich .

Anmerkung: Dieser Blogpost dient dazu einen Vorgang an einer Stelle zusammen zu fassen, der bereits in anderen Medien (vorrangig G+) in mehreren Meldungen betrachtet wurde.

Die Geschichte begann, als ich am 15.05.2017 meine Eingangspost auf den Schreibtisch bekam, welcher eine (recht aufwendig erstellte) Werbung der Firma Rittal beilag. Diese enthielt einen kleinen USB-Stick und das Schreiben suggerierte mir, ich solle den USB-Stick einfach in den USB-Port meines Arbeitsplatzrechners stecken. HALLO? Ich soll ein potentiell gefährliches Device mit einem Rechner unsere inneren Netzwerkes (trusted Zone..) in Verbindung bringen? Sorry, aber ich werde grau nicht blond. Außerdem sollte ich als Mitarbeiter eines Rechenzentrums wissend und sensibel genug sein, die von dem USB-Stick ausgehende Gefahr sofort zu erkennen. Aber wie vielen Mitarbeiter von Unternehmen ist die Gefahr nicht bekannt? Unser weiteres Vorgehen beschreibe ich in folgender Mail, welche ich ASAP an Rittal sandte:

Sehr geehrte Damen und Herren,

wir haben heute ein Werbeschreiben bekommen, welches vorgibt aus ihrem Hause zu  stammen. Thema: „Mehr Geschwindigkeit für ihr Business“. Ich möchte mich höflich
erkundigen, ob diese Werbung tatsächlich von Ihnen versandt wurde.

Schließlich besteht die Gefahr, dass „jemand“ die Reputation ihres Unternehmens  nutzt, um Schadsoftware in unser Netzwerk zu schleusen. Besonders misstrauisch wurden  wir, nachdem wir den Inhalt des Sticks auf einem eigens dafür installierten  virtuellen Server installierten. Ergebnis: Der Stick installiert sich als Human
Interface Device (Tastatur). Da diese Art von USB-Geräten SEHR großen Schaden  anrichten kann
– freier Zugriff mit dem Account des angemeldeten

Benutzers,
– löschen von Dateien, Verzeichnissen,
– Mailversand von definierten Dateien
– etc.pp.
gingen bei uns alle Alarmglocken an. Wir haben dann nicht weiter geforscht.

Sollte der USB-Stick von ihnen verschickt worden sein (was ich kaum glauben kann), so  hoffe ich inständig, dass dieser USB-Stick auf dem gesamten Lebensweg  (Herstellung, Duplizierung und Versand) 100% sicher begleitet wurde.

Sollte der USB-Stick nicht von Ihnen versandt worden sein, so sollten Sie SOFORT  geeignete Maßnahmen treffen, dass der durch diesen Stick verursachte Schaden gering  gehalten werden kann.

Mit freundlichen Grüßen

Es dauerte ein wenig, aber dann kam tatsächlich eine Antwort. Gag am Rande: Es war ein PDF – und zwar kein am PC generiertes („Export as PDF“), sondern ausgedruckt und (leicht schräg) gescanntes:

Antwort von Rittal

Tja, was will man da noch machen? Keinerlei Einsicht ob der eigenen Verantwortung gegenüber den Kundennetzwerken. Der Absender (dessen Namen ich aus Gründen des Persönlichkeitsrechtes entfernte) ist aufgrund seiner Stellenbezeichnung offensichtlich direkt für die Aktion verantwortlich.

Vielleicht sollte ich einmal ein wenig Geld in die Hand nehmen, eine hochwertige Werbebroschüre im Corporate-Design von Microsoft oder Siemens drucken und an ausgewählte OpferKunden aussenden. Mal schauen, wie viele Menschen dann den beiliegenden USB-Stick nutzen um mir den Zugang zu ihren Rechnern und Netzwerken zu ermöglichen.

Nachtrag: Dieser Artikel würde von Fefe verlinkt. Was dies für den Server bedeutet(e) kann man hier nachlesen. Leute, die ihr von Fefe kommt: Ihr brachtet meinen kleinen kuscheligen Server kurzzeitig zum stöhnen.

Nachtrag zwei: Rittal hat nochmal (bemerkenswert) geantwortet. Siehe hier.

Die Vorratsdatenspeicherung – was nun? Ein Lösungsansatz

Bekanntlich tritt das Gesetz zur neuen Vorratsdatenspeicherung ja nun am 18.12.2015 in Kraft. Das heißt, jede Bewegung des Handys, jedes Telefonat, jede Mail und noch einiges anderes wird pauschal registriert. In Bayern soll sogar das Landesamt für Verfassungsschutz (Ja, genau diese ehrlose Bande der kein vernunftbegabtes Wesen mehr traut), Zugriff auf die derart erhobenen Daten erhalten. Vorbei sind die Zeiten, dass diese Daten nur bei Schwerstkriminalität angefasst werden.

Kann man auch etwas gegen den gläsernen Bürger mittels Vorratsdatenspeicherung tun? Ich denke ja, zumindest wenn man ein paar Resourcen „über“ und einen Freundes/Bekanntenkreis, der sich wehren möchte, hat.

Gegeben sei eine Telefonanlage, auf der erst einmal alle eingehenden Anrufe der Teilnehmer auf einer zu definierenden Festnetznummer terminiert und auf das jeweilige Mobiltelefon weitergeleitet werden. Da die Weiterleitung mittels einer hinterlegten Tabelle realisiert wird, kann man diese Weiterleitungen jederzeit ändern. Im Kleinen kann ich z.B. mit meiner Frau und meiner Tochter einen Ringtausch anstoßen. Wir wechseln einfach zufällig die Telefone und ändern stets die Weiterleitung. Nun werden die Ermittlungsbehörden natürlich wissen, dass ich mich tagsüber an meinem Arbeitsplatz aufhalte, also wird das sich dort eingebuchte Telefon ein Hinweis sein, dass ich es bin der sich dort aufhält. Aber wer von uns ist Abends im Pub, wer im Kino und wer treibt sich auf dem Kiez rum? Mit drei Menschen ist die Verwässerung noch recht überschaubar. Ich kann mir aber vorstellen, dass eine erklecklich grössere Menge von Menschen hier genügend „Unruhe“ in die erfassten Daten bringen können, dass eine Beweisführung mittels „Sie haben sich um $Uhrzeit an $Ort aufgehalten“ schlicht ins Leere geht.