Rittal reagiert – auf Öffentlichkeit

Rittal hat auf meinen Blogeintrag tatsächlich nochmal per Mail reagiert. Die Fairness gebietet es, auch die zweite Antwort zu veröffentlichen. ABER: Die Umstände machen mich nachdenklich:

  1. Ich bekam diese Mail an den Mailaccount des Blogs, NICHT an den Firmenaccount von dem ich die ursächliche Mail schrieb. Meine Firmenmail blieb von dieser Information „verschont“.
  2. Günter Born, der ebenfalls über den Vorfall bloggte, bekam eine wortwörtlich identische Mail von Rittal.

Daraus wage ich zu schließen, dass Rittal vorrangig auf die öffentlichkeitswirksamen Blogeinträge reagiert hat (ich hatte deutlich 5stellige Zugriffe innerhalb von zwei Tagen auf den Artikel) und weniger als auf die (fundierte?) Kritik eines einzelnen Kunden. Denn sonst hätte man sich doch auch an den Kunden und nicht nur an uns Blogger gewandt, oder? Das ist blöde für die Kunden, aber letztendlich ein Zeichen für die Wirksamkeit des bloggens – wenn man eine kritische Masse erreicht. Wie das am Ende zu bewerten ist, lasse ich mal offen. Obschon: Herr Miller ist halt „Executive Vice President Marketing“ und somit nicht für Kundenzufriedenheit zuständig. 🙂

Nebengedanke: Ob Fefe die Mail von Rittal auch erhalten hat?

Nun also die Mail von Rittal (24.05.2017 10:52):

Guten Tag, Herr Koepke,

wir haben Ihre aufschlussreichen Hinweise zum Anlass genommen, den gesamten Vorgang sorgfältig zu prüfen.

In der heutigen Zeit, in der immer mehr IT-Systeme vernetzt sind, besteht in der Tat ein allgemein hohes Risiko für die IT-Sicherheit und den Datenschutz. Insofern kann man, da haben Sie recht, nicht vorsichtig genug sein. Wir sind uns nach intensiver Diskussion bei Rittal einig, dass von einem per Post versendeten USB-Stick schon deshalb ein Gefährdungspotenzial ausgeht, weil er auf dem Postweg unbemerkt ausgetauscht werden kann.

Den von uns verwendeten USB-Stick haben wir nach aktuellem Stand der Technik erstellen und prüfen lassen. Dennoch könnte es ratsam sein, generell auf eine AutoRun-Funktion zu verzichten, die weitere Funktionen auf dem Zielrechner des Empfängers ausführt. Das ist uns durch die Auseinandersetzung mit Ihrer konstruktiven Kritik klar geworden, und wir werden diese Erkenntnis bei künftigen Marketing-Aktionen berücksichtigen. Im Zentrum unserer Überlegungen wird stets das Bestreben stehen, auf keinen Fall die IT-Sicherheit unserer Kunden zu gefährden. Schließlich wollen wir für unsere Produkte und Leistungen werben, was nur gelingen kann, wenn unsere Kunden in jeder Hinsicht mit uns zufrieden sind.

Erlauben Sie mir bitte abschließend darauf hinzuweisen, dass wir bei Rittal das Thema IT-Sicherheit generell sehr ernst nehmen. Dafür stehen unter anderem zahlreiche Zertifizierungen, die sich unsere Mitarbeiter in Aus- und Weiterbildungen erworben haben.

Freundliche Grüße

Dirk Miller
Executive Vice President
Marketing

 

Rittal verschickt USB-Stick mit Werbung. Was kann da schon schief gehen?

Der deutsche Hersteller von „Schaltschränken, Stromverteilung, Klimatisierung und IT-Infrastruktur“ „Rittal verschickt an seine Kunden USB-Stick, die hochgradiges Gefährdungspotential haben. Ich will nicht behaupten, dass von dieser Aktion eine konkrete Gefährdung ausgeht, aber sie ist einfach nur dumm sehr-sehr unglücklich .

Anmerkung: Dieser Blogpost dient dazu einen Vorgang an einer Stelle zusammen zu fassen, der bereits in anderen Medien (vorrangig G+) in mehreren Meldungen betrachtet wurde.

Die Geschichte begann, als ich am 15.05.2017 meine Eingangspost auf den Schreibtisch bekam, welcher eine (recht aufwendig erstellte) Werbung der Firma Rittal beilag. Diese enthielt einen kleinen USB-Stick und das Schreiben suggerierte mir, ich solle den USB-Stick einfach in den USB-Port meines Arbeitsplatzrechners stecken. HALLO? Ich soll ein potentiell gefährliches Device mit einem Rechner unsere inneren Netzwerkes (trusted Zone..) in Verbindung bringen? Sorry, aber ich werde grau nicht blond. Außerdem sollte ich als Mitarbeiter eines Rechenzentrums wissend und sensibel genug sein, die von dem USB-Stick ausgehende Gefahr sofort zu erkennen. Aber wie vielen Mitarbeiter von Unternehmen ist die Gefahr nicht bekannt? Unser weiteres Vorgehen beschreibe ich in folgender Mail, welche ich ASAP an Rittal sandte:

Sehr geehrte Damen und Herren,

wir haben heute ein Werbeschreiben bekommen, welches vorgibt aus ihrem Hause zu  stammen. Thema: „Mehr Geschwindigkeit für ihr Business“. Ich möchte mich höflich
erkundigen, ob diese Werbung tatsächlich von Ihnen versandt wurde.

Schließlich besteht die Gefahr, dass „jemand“ die Reputation ihres Unternehmens  nutzt, um Schadsoftware in unser Netzwerk zu schleusen. Besonders misstrauisch wurden  wir, nachdem wir den Inhalt des Sticks auf einem eigens dafür installierten  virtuellen Server installierten. Ergebnis: Der Stick installiert sich als Human
Interface Device (Tastatur). Da diese Art von USB-Geräten SEHR großen Schaden  anrichten kann
– freier Zugriff mit dem Account des angemeldeten

Benutzers,
– löschen von Dateien, Verzeichnissen,
– Mailversand von definierten Dateien
– etc.pp.
gingen bei uns alle Alarmglocken an. Wir haben dann nicht weiter geforscht.

Sollte der USB-Stick von ihnen verschickt worden sein (was ich kaum glauben kann), so  hoffe ich inständig, dass dieser USB-Stick auf dem gesamten Lebensweg  (Herstellung, Duplizierung und Versand) 100% sicher begleitet wurde.

Sollte der USB-Stick nicht von Ihnen versandt worden sein, so sollten Sie SOFORT  geeignete Maßnahmen treffen, dass der durch diesen Stick verursachte Schaden gering  gehalten werden kann.

Mit freundlichen Grüßen

Es dauerte ein wenig, aber dann kam tatsächlich eine Antwort. Gag am Rande: Es war ein PDF – und zwar kein am PC generiertes („Export as PDF“), sondern ausgedruckt und (leicht schräg) gescanntes:

Antwort von Rittal

Tja, was will man da noch machen? Keinerlei Einsicht ob der eigenen Verantwortung gegenüber den Kundennetzwerken. Der Absender (dessen Namen ich aus Gründen des Persönlichkeitsrechtes entfernte) ist aufgrund seiner Stellenbezeichnung offensichtlich direkt für die Aktion verantwortlich.

Vielleicht sollte ich einmal ein wenig Geld in die Hand nehmen, eine hochwertige Werbebroschüre im Corporate-Design von Microsoft oder Siemens drucken und an ausgewählte OpferKunden aussenden. Mal schauen, wie viele Menschen dann den beiliegenden USB-Stick nutzen um mir den Zugang zu ihren Rechnern und Netzwerken zu ermöglichen.

Nachtrag: Dieser Artikel würde von Fefe verlinkt. Was dies für den Server bedeutet(e) kann man hier nachlesen. Leute, die ihr von Fefe kommt: Ihr brachtet meinen kleinen kuscheligen Server kurzzeitig zum stöhnen.

Nachtrag zwei: Rittal hat nochmal (bemerkenswert) geantwortet. Siehe hier.

Die Vorratsdatenspeicherung – was nun? Ein Lösungsansatz

Bekanntlich tritt das Gesetz zur neuen Vorratsdatenspeicherung ja nun am 18.12.2015 in Kraft. Das heißt, jede Bewegung des Handys, jedes Telefonat, jede Mail und noch einiges anderes wird pauschal registriert. In Bayern soll sogar das Landesamt für Verfassungsschutz (Ja, genau diese ehrlose Bande der kein vernunftbegabtes Wesen mehr traut), Zugriff auf die derart erhobenen Daten erhalten. Vorbei sind die Zeiten, dass diese Daten nur bei Schwerstkriminalität angefasst werden.

Kann man auch etwas gegen den gläsernen Bürger mittels Vorratsdatenspeicherung tun? Ich denke ja, zumindest wenn man ein paar Resourcen „über“ und einen Freundes/Bekanntenkreis, der sich wehren möchte, hat.

Gegeben sei eine Telefonanlage, auf der erst einmal alle eingehenden Anrufe der Teilnehmer auf einer zu definierenden Festnetznummer terminiert und auf das jeweilige Mobiltelefon weitergeleitet werden. Da die Weiterleitung mittels einer hinterlegten Tabelle realisiert wird, kann man diese Weiterleitungen jederzeit ändern. Im Kleinen kann ich z.B. mit meiner Frau und meiner Tochter einen Ringtausch anstoßen. Wir wechseln einfach zufällig die Telefone und ändern stets die Weiterleitung. Nun werden die Ermittlungsbehörden natürlich wissen, dass ich mich tagsüber an meinem Arbeitsplatz aufhalte, also wird das sich dort eingebuchte Telefon ein Hinweis sein, dass ich es bin der sich dort aufhält. Aber wer von uns ist Abends im Pub, wer im Kino und wer treibt sich auf dem Kiez rum? Mit drei Menschen ist die Verwässerung noch recht überschaubar. Ich kann mir aber vorstellen, dass eine erklecklich grössere Menge von Menschen hier genügend „Unruhe“ in die erfassten Daten bringen können, dass eine Beweisführung mittels „Sie haben sich um $Uhrzeit an $Ort aufgehalten“ schlicht ins Leere geht.

Datenschutz und personenbezogene Daten bei der AOK in Heidelberg

Hach, es gibt so Tage und Gelegenheiten, da wird mir klar, wie wenig das Bundesdatenschutzgesetz (BDSG) in Deutschland Beachtung findet. Das aktuelle Beispiel liefert uns die AOK -Baden-Württemberg, speziell das KundenCenter Heidelberg in der Kurfürsten-Anlage 34-36.

Die beste Ehefrau von allen kündigt (jaja, endlich..) bei der AOK, um sich bei einer anderen Krankenkasse zu versichern. In ihrer Kündigung inkludiert Sie den Satz „Von Rückwerbeversuchen bitte ich abzusehen“. Eine klare Willensäusserung, was mit ihren personenbezogenen Daten eben NICHT zu geschehen hat: Sie zu kontaktieren um sie zurück zu werben.

Und wer ruft bei uns an um sich zu erkunden, warum gekündigt wird und versucht die Kündigung noch rückgängig zu machen? Genau: Das KundenCenter Heidelberg der AOK -Baden-Württemberg. Besonders interessant ist dies, da eine Krankenkasse typischerweise nicht nur Adressdaten, sondern eben auch besonders zu schützende (Gesundheits)Daten be- und verarbeitet. Und wer im Kleinen schon so wenig sorgsam mit personenbezogenen Daten umgeht, dem traue ich nicht so weit wie ich ihn werfen könnte. Besonders possierlich ist in diesem Zusammenhang folgendes Zitat der Webseite der AOK:

Die AOK legt besonderen Wert darauf, dass bei der Nutzung der Internetangebote stets Ihre Privatsphäre gewahrt bleibt.

Deshalb ist das Einhalten der gesetzlichen Bestimmungen zum Datenschutz für uns selbstverständlich.

Genau! Die Einhaltung des gesetzlichen Bestimmungen ist der AOK wichtig… Wissen das auch die Mitarbeiter? Bilden die internen Prozesse dies auch ab? Ich wage dies deutlich anzuzweifeln.

Am Wochenende wird wohl ein Schreiben an den zuständigen Landesdatenschutzbeauftragten aufgesetzt werden müssen.

Anmerkung: Und das mir, der ausgerechnet allein diese Woche zwei ganztägige Weiterbildungsveranstaltungen in Sachen BDSG und Datenschutz besucht hat.

Warum die Deutsche Regierung nicht offen über PRISM sprechen KANN!

Mal angenommen, dass was sich derzeit an Informationen verdichtet, nämlich das bundesdeutsche Behörden seit vielen Jahren nicht nur mit der NSA zusammen arbeiten, sondern auch Daten austauschen, würde der Wahrheit entsprechen. Welche Möglichkeiten hätte die Deutsche Regierung zu reagieren und was könnte es für Deutschland (vor allem die Wirtschaft) bedeuten?

Wenn es tatsächlich der Wahrheit entspricht, dass bundesdeutsche Dienste seit Jahren eng mit der NSA zusammen arbeiten, muss sich daraus die Erkenntnis ableiten, dass die deutschen Behörden seit Jahren zumindest eine Ahnung haben, was die NSA für technische Möglichkeiten nutzt. Nun gibt es genau zwei Möglichkeiten:

  1. Die Dienste haben prima mit den US-Amerikanern Informationen getauscht, ihre Vorteile genutzt aber die Regierung hat davon nichts mitbekommen. Dies würde bedeuten, dass das parlamentarische Kontrollgremium eine Farce – ein Muster ohne Wert ist. In diesem Falle gehören umgehend die unkontrollierbaren Dienste abgeschafft. Es ist schlichtweg nicht in der Verfassung vorgesehen, dass es unkontrollierte/unkontrollierbare Institutionen gibt. Zudem ist jedweder involvierte Mitarbeiter ist wegen schwerem Vertrauensbruch aus dem Staatsdienst zu entlassen, inklusive des lebenslangen Berufsverbot in jedweder Behörde.
  2. Die zweite Möglichkeit ist ungleich folgenschwerer: Die Kontrollgremien haben all die Jahre funktioniert und einzelne Politiker von CDU als auch von SPD, FDP und Grüne (die alle irgendwann einmal an der Regierung beteiligt waren!) haben all die Jahre mit diesem Status Quo leben gelernt. Dies würde bedeuten, dass unsere Regierung über viele Jahre hinweg nicht durch die Verfassung gedeckte Aktionen der US-amerikanischen Dienste geduldet haben.

Welcher Möglichkeit klingt plausibler? Ich mag dies nicht entscheiden. Was aber, wenn die Information des „Wir hören all eure Bürger ab, aber es geht nur um Terrorismus“ seit Jahren in Regierungskreisen bekannt war? Eine Revolution wird schon nicht stattfinden. Der normale Bundesbürger versteht nicht worum es geht, außerdem ist das Betreten des Rasens ohnehin verboten. Viel gefährlicher ist die Folge dieses ungelösten Rätsels für Wirtschaftsunternehmen. Diese können agieren und sind äußerst sensibel. Es gibt nichts auf der Welt, dass so sehr gehegt und gepflegt wird, wie der Shareholdervalue. Sollte es sich herausstellen, dass der Wirtschaftsstandort Deutschland durch das Vorgehen der Bundesregierung geschwächt wurde/wird, dann könnte es merkbare Folgen haben. Ich weiß nicht, ob es diesbezügliche Gespräche bereits zwischen Wirtschaft und Regierung gab. Ich kann es mir aber sehr gut vorstellen. Wie könnte es an der Stelle weiter gehen? Wird das Vertrauen in den Wirtschaftsstandort Deutschland durch „wirtschaftliches Entgegenkommen“ stabilisiert?

Verdammt, es stinkt so sehr!