22
Kunde will nicht in Sicherheit investieren
Hallo,
habe ein kleines Problemchen. habe einen Kunden dem ich letztens einen SBS 2003 R2 Server aufgesetzt habe. Leider will der Kund nicht wirklich in Sicherheitssoftware investieren (Vierenscanner, Firewall).
Der Kollege der vor mir das Netzwerk betreut hat, hat wohl auch nicht viel von Sicherheit gehalten, es sind diverse Ports einfach auch Rechner weitergeleitet worden (z.B. Port 80). Ich habe den Kunden darauf angesprochen, und er meinte das das so schon sein müsse da er von zu Hause aus auf die Rechner zugreifen müsse und das das schon immer so laufe und noch nie was passiert sei.
Es stehen jetzt insgesammt drei Server dort.
Einer ist für die Kameras zuständig. Auf diesen ist auch der Port 80 geschaltet.
Dann gibt es da noch einen Server für das Warenwirtschaftssystem. Na und den SBS halt.
Leider kenne ich mich mit ISA Server auch nicht so gut aus sonst hätte ich den genommen.
Jetzt habe ich nur bedenken das der Kunde irgenwann kommt und sagt "na hätten sich das doch mal sicher gemacht" kann ich mich davor noch irgendwie schützen?
P.S Die Rechnung hat er schon bezahlt.
Gruß Tobi
habe ein kleines Problemchen. habe einen Kunden dem ich letztens einen SBS 2003 R2 Server aufgesetzt habe. Leider will der Kund nicht wirklich in Sicherheitssoftware investieren (Vierenscanner, Firewall).
Der Kollege der vor mir das Netzwerk betreut hat, hat wohl auch nicht viel von Sicherheit gehalten, es sind diverse Ports einfach auch Rechner weitergeleitet worden (z.B. Port 80). Ich habe den Kunden darauf angesprochen, und er meinte das das so schon sein müsse da er von zu Hause aus auf die Rechner zugreifen müsse und das das schon immer so laufe und noch nie was passiert sei.
Es stehen jetzt insgesammt drei Server dort.
Einer ist für die Kameras zuständig. Auf diesen ist auch der Port 80 geschaltet.
Dann gibt es da noch einen Server für das Warenwirtschaftssystem. Na und den SBS halt.
Leider kenne ich mich mit ISA Server auch nicht so gut aus sonst hätte ich den genommen.
Jetzt habe ich nur bedenken das der Kunde irgenwann kommt und sagt "na hätten sich das doch mal sicher gemacht" kann ich mich davor noch irgendwie schützen?
P.S Die Rechnung hat er schon bezahlt.
Gruß Tobi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 119222
Url: https://administrator.de/contentid/119222
Printed on: May 4, 2024 at 20:05 o'clock
22 Comments
Latest comment
Hallo Tobi83,
Du hast dem Kunden sein Auftrag erfüllt hast die Rechnung bezahlt bekommen und hast ihm noch eine Empfehlung von zusätzlicher Sicherheitssoftware gegeben. Du hast Ihm auch darauf hingewiesen, das er offene Ports hat.
Wenn er nicht will dann lass es halt.
Manche Leute sind eben in dieser hinsicht ziemlich resistent und lassen sich nicht Überreden.
Deine Auftragsleistung besteht ja sicher nicht nicht in der Wartung oder ....?
Gruß Phil
Du hast dem Kunden sein Auftrag erfüllt hast die Rechnung bezahlt bekommen und hast ihm noch eine Empfehlung von zusätzlicher Sicherheitssoftware gegeben. Du hast Ihm auch darauf hingewiesen, das er offene Ports hat.
Wenn er nicht will dann lass es halt.
Manche Leute sind eben in dieser hinsicht ziemlich resistent und lassen sich nicht Überreden.
Deine Auftragsleistung besteht ja sicher nicht nicht in der Wartung oder ....?
Gruß Phil
Dir vom Kunden schriftlich geben das du ihn darauf hingewiesen hast und er abgelehnt hat
Nein das stimmt einen Wartungsvertrag haben wir nicht.
Danke dir für deine schnelle Antwort
Danke dir für deine schnelle Antwort
Das schrifftlich zu machen habe ich mir auch schon überlegt. Aber ich habe da so meine schwierigkeit auch alle eventuallitäten mit einzubeziehen.
Ich würde mich da nicht auf Details einlassen. Einfach das du gravierende Sicherheitsmengel festgestellt hast und diese deinem Kunden mitgeteilt hast. Dein Kunde nichts ändern wollte du diese deshalb auch nicht genau untersucht hast und keinerlei Verantwortung über Schäden übernehmen kannst außer es ist direkt auf deine Arbeit hin passiert
Sprich 2 SBS in einer Domain was ja nicht geht oder so ein Blödsinn.
Sprich 2 SBS in einer Domain was ja nicht geht oder so ein Blödsinn.
Ok. Dann werde ich mal ein kleines Schrifftstück verfassen.
ich danke euch für eure schnelle und gute unterstützung.
Gruß
Tobi
ich danke euch für eure schnelle und gute unterstützung.
Gruß
Tobi
Das muss jetzt aber auch noch sein.
Wenn du wirklich sicher gehen willst solltest du einen Anwalt hinzuziehen da wir hier ja keine Rechtsbelehrung machen.
Wenn du wirklich sicher gehen willst solltest du einen Anwalt hinzuziehen da wir hier ja keine Rechtsbelehrung machen.
nicht immer auf den vorgänger schieben :D
port:80 auf cam wird halt eine webcam sein wie willst den mit ner firewall abschotten wenn er es in web zeigen will. usw und so fort..
du hattest deinen auftrag, bestimmt evtl ein pflichtenheft. das hat dir der kunde abgenommen,
das wollte der kunde.
du hast im gesagt was noch gemacht gehört oder was gut wäre.
es ist ihm erst mal egal.
richtest du ihm trotzdem eine firewall oder der gleichen ein könnte es soweit gehen: sachbeschädigung
oder er bezahlt dir die arbeit nicht da es ja freiwillig für dich war.
der virenscanner löscht datei die mit virus verseucht waren und das fällt denen 2monate später auf. dann haftest du für den schaden.
wir schreiben in so einen fall unten in der Rechnung dazu: Sicherheitslücken usw... bei einigen kunden bekommen auch nur ein angebot was dies kosten würde das zu beheben. dann kannst du wenn was passieren sollte immer noch sagen: sehen Sie, das haben wir ihnen schon vor xxxx zeiten gesagt
port:80 auf cam wird halt eine webcam sein wie willst den mit ner firewall abschotten wenn er es in web zeigen will. usw und so fort..
du hattest deinen auftrag, bestimmt evtl ein pflichtenheft. das hat dir der kunde abgenommen,
das wollte der kunde.
du hast im gesagt was noch gemacht gehört oder was gut wäre.
es ist ihm erst mal egal.
richtest du ihm trotzdem eine firewall oder der gleichen ein könnte es soweit gehen: sachbeschädigung
oder er bezahlt dir die arbeit nicht da es ja freiwillig für dich war.
der virenscanner löscht datei die mit virus verseucht waren und das fällt denen 2monate später auf. dann haftest du für den schaden.
wir schreiben in so einen fall unten in der Rechnung dazu: Sicherheitslücken usw... bei einigen kunden bekommen auch nur ein angebot was dies kosten würde das zu beheben. dann kannst du wenn was passieren sollte immer noch sagen: sehen Sie, das haben wir ihnen schon vor xxxx zeiten gesagt
Hallo,
mus ja nicht gleich ein Brief vom/mit Anwalt sein (besser is aber).
Ein Brief/Email wo Du Ihn darauf hinweist und abhilfe anbietests würde ausreichen damit er Dir später nicht ans Bein pinkeln kann.
Generel gilt aber: Der Kunde ist für die Sicherheit seiner Daten selbst verantwortlich. z.B. muss er auch die DS kontroliieren. Es sei denn es gibt einen Vertrag.
Stefan
mus ja nicht gleich ein Brief vom/mit Anwalt sein (besser is aber).
Ein Brief/Email wo Du Ihn darauf hinweist und abhilfe anbietests würde ausreichen damit er Dir später nicht ans Bein pinkeln kann.
Generel gilt aber: Der Kunde ist für die Sicherheit seiner Daten selbst verantwortlich. z.B. muss er auch die DS kontroliieren. Es sei denn es gibt einen Vertrag.
Stefan
Hallo,
vielleicht stehe ich gerade auf dem Schlauch; aber wenn eine Kunde mich beauftragt einen Server aufzusetzen, dann schau ich mir schon etwas seine Infrastruktur an und schon bei der Auftragbearbeitung aber bestimmt nicht nach Zahlung der Rechnung melde ich mich bei Ihm und sage "Übringens ich weiß was was Du nicht weißt und das ist nicht gut". Das kommt nicht gut. Und ausserdem könnte man schon vor Ort einen weiteren Aufrag bekommen und ist das schlecht?
Nun ist der Auftrag ausgeführt und Ihr wollt nachträglich euch absichern und es noch von einem Anwalt absegenen lassen?
Wäre ich der Kunde wäre das euer letzter Auftrag. Warum?
1) Der IT Berater der gekommen ist, hat mich schlecht beraten.
2) Jetzt kommt er an und will nochmal was korrigieren? Wieso jetzt will er nicht ausnehmen?
Vielleicht etwas übertrieben, aber schon möglich oder nicht?
Gruß Miguel
vielleicht stehe ich gerade auf dem Schlauch; aber wenn eine Kunde mich beauftragt einen Server aufzusetzen, dann schau ich mir schon etwas seine Infrastruktur an und schon bei der Auftragbearbeitung aber bestimmt nicht nach Zahlung der Rechnung melde ich mich bei Ihm und sage "Übringens ich weiß was was Du nicht weißt und das ist nicht gut". Das kommt nicht gut. Und ausserdem könnte man schon vor Ort einen weiteren Aufrag bekommen und ist das schlecht?
Nun ist der Auftrag ausgeführt und Ihr wollt nachträglich euch absichern und es noch von einem Anwalt absegenen lassen?
Wäre ich der Kunde wäre das euer letzter Auftrag. Warum?
1) Der IT Berater der gekommen ist, hat mich schlecht beraten.
2) Jetzt kommt er an und will nochmal was korrigieren? Wieso jetzt will er nicht ausnehmen?
Vielleicht etwas übertrieben, aber schon möglich oder nicht?
Gruß Miguel
Auf welcher Position bist Du?, Wie war der Auftrag genau? Ich hatte > 10 Jahre mit der "Sicherheit" zu tun.
.
Falls Auftrag war: Server aufsetzen. -> Schreiben was man gemacht hat plus knapper Hinweis auf Sicherheitsmängel, dass aufgrund der niederschwelligen Sichheit du empfiehlst a.) b.) auch ohne Beratungsmandat.
.
Wenn du reinredest in Sachen, die dich nichts angehen, bist du den Auftrag los. Grosse Gefahr, dass du als Auswärtiger etwas übersiehst. Das war bei uns so und wird auch so bleiben.
.
==> Weggucken, sonst wirst du krank!
.
Falls Auftrag war: Server aufsetzen. -> Schreiben was man gemacht hat plus knapper Hinweis auf Sicherheitsmängel, dass aufgrund der niederschwelligen Sichheit du empfiehlst a.) b.) auch ohne Beratungsmandat.
.
Wenn du reinredest in Sachen, die dich nichts angehen, bist du den Auftrag los. Grosse Gefahr, dass du als Auswärtiger etwas übersiehst. Das war bei uns so und wird auch so bleiben.
.
==> Weggucken, sonst wirst du krank!
Hi,
der Auftrag war erstmal nur den Server aufzustezten. Ich habe den kunden natürlich mündlich darauf hingewiesen das es große Sicherheitslücken gibt. War ihm aber herzlich egal.
der Auftrag war erstmal nur den Server aufzustezten. Ich habe den kunden natürlich mündlich darauf hingewiesen das es große Sicherheitslücken gibt. War ihm aber herzlich egal.
Die einfachste Methode hierzu ist, den Kunden schriftlich in Kenntnis zu setzen, sowie diesen Schriftsatz sich Unterschreiben zu lassen. Wird der Kunde dies nicht tun wollen, so ist man immer gut bedient, wenn man einen Juristen einen formulierten Schriftsatz dem Kunden zukommen läßt, weil man dann noch einen Zeugen hat, der gegen einer möglichen Schadenersatzforderung ein Kontra aufweisen kann. Diese mögliche €100,00 sollte man sich leisten und man ist fein raus!!!
hallo,
ich kenne solche Sachen von einem Kumpel, der es wie folgt macht:
- er erhält einen Auftrag vom Kunden, z.B. Server neu installieren
- er schaut sich das ganze vor Ort an und hält genau fest, was zu machen ist
- sollte er irgendwas feststellen, wird dies sofort dem Kunden mitgeteilt
- das ganze wird schriftlich im Auftrag/Arbeitsbericht festgehalten, welchen der Kunde ja unterschreiben muss
somit wurde der Kunde informiert und er hat es mit seiner Unterschrift bestätigt
wenn dieser dann nicht darauf reagiert, dann ist das nicht sein Problem
zudem hat er einen Zusatz in seinen AGBs drin, das er nicht für Probleme verantwortlich ist, die nicht in direktem Zusammenhang mit seinen ausgeführten Tätigkeiten stehen
bisher hat er keine Probleme damit; im Gegenteil: er hat einige zusätzliche Aufträge dadurch bekommen
ich kenne solche Sachen von einem Kumpel, der es wie folgt macht:
- er erhält einen Auftrag vom Kunden, z.B. Server neu installieren
- er schaut sich das ganze vor Ort an und hält genau fest, was zu machen ist
- sollte er irgendwas feststellen, wird dies sofort dem Kunden mitgeteilt
- das ganze wird schriftlich im Auftrag/Arbeitsbericht festgehalten, welchen der Kunde ja unterschreiben muss
somit wurde der Kunde informiert und er hat es mit seiner Unterschrift bestätigt
wenn dieser dann nicht darauf reagiert, dann ist das nicht sein Problem
zudem hat er einen Zusatz in seinen AGBs drin, das er nicht für Probleme verantwortlich ist, die nicht in direktem Zusammenhang mit seinen ausgeführten Tätigkeiten stehen
bisher hat er keine Probleme damit; im Gegenteil: er hat einige zusätzliche Aufträge dadurch bekommen
Komm ihm einfach mal mit dem Hinweis des Datenschutzgesetzes.
Wenn er über Port80 einen Kameraserver anläuft kann der Schuß auch nach hinten losgehen.
Zeichnet er den öffentlichen Bereich auf oder internen Bereich [Eigentlich egal, wenn die Aufzeichnungen irgendwann mal im Internet landen ist das enorm geschäftsschädigend - Presse etc.]
Das hilft oftmals schon.
ISA ist kein großes Problem, aber eben sehr bekannt und daher auch verwundbar.
Am sichersten fährst du mit einem recht unbekannten System das sich leicht patchen läßt.
Eierlegende Wollmilchsau und günstig z.B. http://www.pyramid.de/
Auch der Support ist wirklich gut.
Wir nutzen eine Kombination aus Pyramid.Produkt + ISA, beide in Vertrauensstellung.
In den Büchsen von Pyramid können auch direkt gleich AV-Systeme integriert werden.
Wenn er über Port80 einen Kameraserver anläuft kann der Schuß auch nach hinten losgehen.
Zeichnet er den öffentlichen Bereich auf oder internen Bereich [Eigentlich egal, wenn die Aufzeichnungen irgendwann mal im Internet landen ist das enorm geschäftsschädigend - Presse etc.]
Das hilft oftmals schon.
ISA ist kein großes Problem, aber eben sehr bekannt und daher auch verwundbar.
Am sichersten fährst du mit einem recht unbekannten System das sich leicht patchen läßt.
Eierlegende Wollmilchsau und günstig z.B. http://www.pyramid.de/
Auch der Support ist wirklich gut.
Wir nutzen eine Kombination aus Pyramid.Produkt + ISA, beide in Vertrauensstellung.
In den Büchsen von Pyramid können auch direkt gleich AV-Systeme integriert werden.
Ich werde den Kunden nochmal darauf hinweisen das die momentane Situation doch recht gefährlich ist. Mal schaun evtl. sieht er es ja jetzt ein. 
Ich danke euch für eurer regen intresse an diesem thread.
Das nächste mal werde ich sowas wirklich vorher schrifftlich machen.
Ich danke euch für eurer regen intresse an diesem thread.
Das nächste mal werde ich sowas wirklich vorher schrifftlich machen.
Wat solls, da hängen doch keine Menschenleben davon ab.
Man könnte ja auch bei einem parkenden Auto die Scheibe einschlagen und das Auto mopsen - das geht ganz einfach!
Warum sichert man die Autoscheiben nicht mit Gittern ab?
Und Portweiterleitung auf Kameras - wen juckt das schon?
Du hast den Auftrag erfüllt, er hat bezahlt, alle sind glücklich.
Falls es dich beruhigt dann schreib ihm im freundlichen Ton doch die Punkte via mail die du noch verbessern würdest, wenn er drauf nicht reagiert kannst du irgendwann falls nötig auf die mail hinweisen.
Man könnte ja auch bei einem parkenden Auto die Scheibe einschlagen und das Auto mopsen - das geht ganz einfach!
Warum sichert man die Autoscheiben nicht mit Gittern ab?
Und Portweiterleitung auf Kameras - wen juckt das schon?
Du hast den Auftrag erfüllt, er hat bezahlt, alle sind glücklich.
Falls es dich beruhigt dann schreib ihm im freundlichen Ton doch die Punkte via mail die du noch verbessern würdest, wenn er drauf nicht reagiert kannst du irgendwann falls nötig auf die mail hinweisen.
Es hängen unter Umständen schon Menschenleben davon ab.
Unter anderem Firmenbankrott durch Datenlöschung oder die Herausgabe von Kreditkarteninformationen ins Internet.
Oder Flugleitanlagen an Flughäfen !!!!
Unter anderem Firmenbankrott durch Datenlöschung oder die Herausgabe von Kreditkarteninformationen ins Internet.
Oder Flugleitanlagen an Flughäfen !!!!
Was steht denn in Deinen Geschaeftsbedingungen zum Thema und wie ist der Auftrag beschrieben?
Wenn Du nicht einmal ISA-Server beherrscht, dann frage ich mich wieso Du daherkommst und Netzwerke einrichtest?!
Das wird frueher oder spaeter fuer Dich gehoerig nach hinten losgehen.
Ich sehe hier deutlichen Weiterbildungsbedarf!
Saludos
Gnarff
Wenn Du nicht einmal ISA-Server beherrscht, dann frage ich mich wieso Du daherkommst und Netzwerke einrichtest?!
Das wird frueher oder spaeter fuer Dich gehoerig nach hinten losgehen.
Ich sehe hier deutlichen Weiterbildungsbedarf!
Saludos
Gnarff
Na klar muss ich mich immer weiterbilden das ist mir schon klar. Es sollte dir dann aber auch klar sein das es noch andere lösungen als ISA gibt. Kann sein das ich das jetzt irgendwie in den falschen Hals bekomme aber ich finde deine Schreibweise doch schon etwas hart.
Zitat von @tobi83:
Kann sein das ich das jetzt irgendwie in den falschen
Hals bekomme aber ich finde deine Schreibweise doch schon etwas hart.
Kann sein das ich das jetzt irgendwie in den falschen
Hals bekomme aber ich finde deine Schreibweise doch schon etwas hart.
Wenn Du meinen Kommentar als Herabwertung verstanden hast, dann hast Du definitiv etwas in den falschen Hals bekommen, denn so war es nicht gemeint. Ich denke, wer mit Windows Server umgeht sollte auch ISA beherrschen - das gehoert einfach zum Standard.
Meine Raubeinigkeit ist stets herzlicher Natur, ich formulier das aber gerne um, wenn Du mir sagst wie...
Saludos
gnarff
NA Ok. Dann war ich wohl etwas empfindlich.
