14
IT-Dienstleister verschickt Kennwörter per Post
Guten Morgen zusammen,
ich rege mich seit einiger Zeit über unseren IT-Dienstleister auf, der es mit der IT-Sicherheit scheinbar nicht so ernst nimmt. Andererseits möchte ich aber auch nicht paranoid sein und frage daher einfach mal in die Runde, wie ihr reagieren würdet.
Zum einen erstellt diese Firma für uns Dokumentationen über Systeme, die sie für uns einrichten. In diese Dokumente werden in Klartext Benutzernamen und Kennwörter reingeschrieben, darunter auch Domänen-Administrator Kennwörter. Diese Dokumente bekommen wir in Papierform und auf einer CD-ROM. Sollten diese Kennwörter dort überhaupt enthalten sein? Wie machen es andere? Sollte man die betreffenden Stellen nicht mit einem Index versehen und auf ein anderes spezielles Dokument verweisen, das geschützt ist?
Zum anderen haben sie uns eine CD-ROM mit allen Dokumenten geschickt und in einem Unterverzeichnis namens "Kennwörter" sogar eine kennwort.txt gesetzt, in dem unser Haupt-Domänen Admin samt Kennwort niedergeschrieben ist. Außerdem wurde ein Verzeichnis-Listing auf die CD-ROM gedruckt, so dass jeder Dummkopf von weitem schon sehen kann, was er darauf finden kann.
Als i-Tüpfelchen verschickt diese Firma so eine CD-ROM per Post an uns.
Ist sowas überhaupt erlaubt? Oder bin ich paranoid?
Danke für Tipps!
ich rege mich seit einiger Zeit über unseren IT-Dienstleister auf, der es mit der IT-Sicherheit scheinbar nicht so ernst nimmt. Andererseits möchte ich aber auch nicht paranoid sein und frage daher einfach mal in die Runde, wie ihr reagieren würdet.
Zum einen erstellt diese Firma für uns Dokumentationen über Systeme, die sie für uns einrichten. In diese Dokumente werden in Klartext Benutzernamen und Kennwörter reingeschrieben, darunter auch Domänen-Administrator Kennwörter. Diese Dokumente bekommen wir in Papierform und auf einer CD-ROM. Sollten diese Kennwörter dort überhaupt enthalten sein? Wie machen es andere? Sollte man die betreffenden Stellen nicht mit einem Index versehen und auf ein anderes spezielles Dokument verweisen, das geschützt ist?
Zum anderen haben sie uns eine CD-ROM mit allen Dokumenten geschickt und in einem Unterverzeichnis namens "Kennwörter" sogar eine kennwort.txt gesetzt, in dem unser Haupt-Domänen Admin samt Kennwort niedergeschrieben ist. Außerdem wurde ein Verzeichnis-Listing auf die CD-ROM gedruckt, so dass jeder Dummkopf von weitem schon sehen kann, was er darauf finden kann.
Als i-Tüpfelchen verschickt diese Firma so eine CD-ROM per Post an uns.
Ist sowas überhaupt erlaubt? Oder bin ich paranoid?
Danke für Tipps!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105446
Url: https://administrator.de/contentid/105446
Printed on: April 24, 2024 at 04:04 o'clock
14 Comments
Latest comment
gesetzlich verboten ist das nicht - ob es eine kluge vorgehensweise ist, sei mal dahingestellt. wenn du damit unzufriden bist, sag deinem dienstleister das und teile ihm deine wünsche für die behandlung solcher sensiblen daten mit.
Hallo,
Kennwörter als Klartext ohne Sicheurrg zu verschicken halte ich für -gelinde gesagt- dämlich.
Am einfachsten dürfte es sein die Liste mit Kennwörtern als Text auszudrucken, in einen versiegelten Briefumschlag zu tun und dann per Einschreiben zu verschicken.
In der Dokumentation reicht dann ein Verweis auf diese Extra Liste die dann aber auch für Notfälle "verfügbar" sein muss, d.h. es sollte jederzeit ein berechtigter Zugang zum Safe haben in dem die Liste liegt.
Brammer
Kennwörter als Klartext ohne Sicheurrg zu verschicken halte ich für -gelinde gesagt- dämlich.
Am einfachsten dürfte es sein die Liste mit Kennwörtern als Text auszudrucken, in einen versiegelten Briefumschlag zu tun und dann per Einschreiben zu verschicken.
In der Dokumentation reicht dann ein Verweis auf diese Extra Liste die dann aber auch für Notfälle "verfügbar" sein muss, d.h. es sollte jederzeit ein berechtigter Zugang zum Safe haben in dem die Liste liegt.
Brammer
Hallo,
Frage: Was habt Ihr denn vertraglich mit dem Dienstleister vereinbart? Wie ist Dokumentation zu leisten? Was soll/muss wie festgehalten werden?
Ist denn diese Doku jedem zugänglich? Papier kann man ja auch sicher aufbewahren! Wir haben ALLE wichtigen Passwörter auf Papier in einem Schließfach einer Bank; auch unsere aktuellen Datensicherungsbänder.
Zum verschicken per Post:
Was ist denn - ich muß darauf zurückkommen - vertraglich hier mit euch vereinbart? z.B. bekommt man seine EC Geheimnummer etc. auch per Post als normalen Brief.
Das auf der CD-Rom ein Verzeichnis-Listing ist, ist finde ich vorbildlich! Da kann man gut ersehen was dort drauf ist und evtl. auch wo zu finden OHNE die CD-Rom einzulegen.
Kurzum - wenn Ihr (und da kann der Dienstleister nichts daran ändern) mit den Daten sorgsam umgeht, dann sehe ich da kein Problem.
Sicheres Dokument:
Wie soll das aussehen? Wer kennt das Kennwort (falls elektronisch) und wo wird diese verwart, falls der Teufel zuschlägt? Und wie wird das dann aufgehoben?
Wenn Ihr den bezahlt, dann sagt ihm doch einfach das Ihr es anders haben wollt und gleich auch noch wie. Das kann man dann auch vertraglich regeln und aus die Maus.
Gruß
Frage: Was habt Ihr denn vertraglich mit dem Dienstleister vereinbart? Wie ist Dokumentation zu leisten? Was soll/muss wie festgehalten werden?
Ist denn diese Doku jedem zugänglich? Papier kann man ja auch sicher aufbewahren! Wir haben ALLE wichtigen Passwörter auf Papier in einem Schließfach einer Bank; auch unsere aktuellen Datensicherungsbänder.
Zum verschicken per Post:
Was ist denn - ich muß darauf zurückkommen - vertraglich hier mit euch vereinbart? z.B. bekommt man seine EC Geheimnummer etc. auch per Post als normalen Brief.
Das auf der CD-Rom ein Verzeichnis-Listing ist, ist finde ich vorbildlich! Da kann man gut ersehen was dort drauf ist und evtl. auch wo zu finden OHNE die CD-Rom einzulegen.
Kurzum - wenn Ihr (und da kann der Dienstleister nichts daran ändern) mit den Daten sorgsam umgeht, dann sehe ich da kein Problem.
Sicheres Dokument:
Wie soll das aussehen? Wer kennt das Kennwort (falls elektronisch) und wo wird diese verwart, falls der Teufel zuschlägt? Und wie wird das dann aufgehoben?
Wenn Ihr den bezahlt, dann sagt ihm doch einfach das Ihr es anders haben wollt und gleich auch noch wie. Das kann man dann auch vertraglich regeln und aus die Maus.
Gruß
Sorry aber ein Einschreiben hilft Dir bei verlust des Briefes mal gar nichts!
Sinn des Einschreibens ist der bestätigte Empfang bzw. das evtl. nur bestimmte Personen es annehmen dürfen. Es gibt viele Firmen die keine Einschreiben annehmen weil es organisatorisch ein Problem ist.
Ein Bote wäre bei sowas sicher die beste Möglichkeit!
Oder es persönlich vorbei brigne und per Unterschrift den Empfang bestätigen lassen .... geht jetzt aber am Thema vorbei.
Gruß
Sinn des Einschreibens ist der bestätigte Empfang bzw. das evtl. nur bestimmte Personen es annehmen dürfen. Es gibt viele Firmen die keine Einschreiben annehmen weil es organisatorisch ein Problem ist.
Ein Bote wäre bei sowas sicher die beste Möglichkeit!
Oder es persönlich vorbei brigne und per Unterschrift den Empfang bestätigen lassen .... geht jetzt aber am Thema vorbei.
Gruß
Da muss ich selbst nachfragen, ob das überhaupt vertraglich geregelt ist. Ich bin erst ein Jahr in dieser Firma, der Dienstleister ist schon länger dabei.
Der Vergleich mit der EC-Geheimnummer ist nicht ganz richtig. Die Geheimnummer wird hier getrennt von der EC-Karte verschickt. Mit der Nummer alleine kann ich nichts anfangen. Die Kennwörter in den Dokumenten könnten hier aber auch von internen Mitarbeitern gelesen werden (Post wird zumeist geöffnet um zu sehen, für wen es ist, WENN nichts genaues draufsteht) und die können hier sehr wohl damit etwas anfangen.
Der Dienstleister hat diesen Fehler bereits vor einigen Wochen gemacht, da hatte ich denen schon eine eindeutige Email zukommen lassen. Scheinbar wird sich einfach nicht daran gehalten. Ich werde also heute nochmal einen "richtigen" Brief aufsetzen, mit Unterschriften mehrerer Leute.
So ein Kennwort-Dokument könnte man uns per Email oder auf der CD-ROM als verschlüsselte ZIP-Datei zukommen lassen, das Kennwort dazu auf einem separaten Weg. Das müsste ausreichen, oder? Ich weiß aber nicht, wie leicht man eine ZIP-Datei knacken kann.
Der Vergleich mit der EC-Geheimnummer ist nicht ganz richtig. Die Geheimnummer wird hier getrennt von der EC-Karte verschickt. Mit der Nummer alleine kann ich nichts anfangen. Die Kennwörter in den Dokumenten könnten hier aber auch von internen Mitarbeitern gelesen werden (Post wird zumeist geöffnet um zu sehen, für wen es ist, WENN nichts genaues draufsteht) und die können hier sehr wohl damit etwas anfangen.
Der Dienstleister hat diesen Fehler bereits vor einigen Wochen gemacht, da hatte ich denen schon eine eindeutige Email zukommen lassen. Scheinbar wird sich einfach nicht daran gehalten. Ich werde also heute nochmal einen "richtigen" Brief aufsetzen, mit Unterschriften mehrerer Leute.
So ein Kennwort-Dokument könnte man uns per Email oder auf der CD-ROM als verschlüsselte ZIP-Datei zukommen lassen, das Kennwort dazu auf einem separaten Weg. Das müsste ausreichen, oder? Ich weiß aber nicht, wie leicht man eine ZIP-Datei knacken kann.
Hallo,
also ich will ja nichts sagen ABER
Du weißt nicht wie das vertraglich geregelt ist?
Bitte immer vorher schlau machen!
Das mit der EC Karte war nur ein Beispiel - aber Du hast nicht ganz unrecht
Aber sicherlich seit Ihr mindestens die CIA oder wenigstens der BND oder?
Wenn es Dir wichtig ist - und da bin ich auf Deiner Seite - dann regelt das in einem Vertrag!
Per Post zuschicken und Frist bis Rücksendung nicht vergessen!
Auch gleich mit reinschreiben wie die Verschlüsselung sein soll und was Du Dir sonst noch so vorstellst etc. etc.
Das kann dann ggf. was kosten - er hat ja Aufwand damit. Jetzt kommt dann wieder der Dir nicht bekannte Vertrag ins Spiel. Ohhh - noch was - bist Du dem Dienstleister gegenüber überhaupt weisungsberechtigt? Also darfst Du im Namen der Firma Anweisungen geben? Hier ist mal wieder ordentlich platz für Spekulation!
Wie wurde es denn vor Deiner Zeit gemacht? Da wird doch wer was drüber wissen. Warum rufst Du nicht einen beim Dienstleister an (den Chef oder wen auch immer) und teilst Ihm Deine Besorgnis mit und bestellst mal einen zu Dir in die Firma? Vieles lässt sich ganz friedlich und unter 4 Augen schnell regeln.
Kurzum: Suche doch mal den dirketen Kontakt mit dem Dienstleister NACHDEM Du weißt was Vertraglich geregelt ist.
Gruß
also ich will ja nichts sagen ABER
Du weißt nicht wie das vertraglich geregelt ist?
Bitte immer vorher schlau machen!
Das mit der EC Karte war nur ein Beispiel - aber Du hast nicht ganz unrecht
Aber sicherlich seit Ihr mindestens die CIA oder wenigstens der BND oder?
Wenn es Dir wichtig ist - und da bin ich auf Deiner Seite - dann regelt das in einem Vertrag!
Per Post zuschicken und Frist bis Rücksendung nicht vergessen!
Auch gleich mit reinschreiben wie die Verschlüsselung sein soll und was Du Dir sonst noch so vorstellst etc. etc.
Das kann dann ggf. was kosten - er hat ja Aufwand damit. Jetzt kommt dann wieder der Dir nicht bekannte Vertrag ins Spiel. Ohhh - noch was - bist Du dem Dienstleister gegenüber überhaupt weisungsberechtigt? Also darfst Du im Namen der Firma Anweisungen geben? Hier ist mal wieder ordentlich platz für Spekulation!
Wie wurde es denn vor Deiner Zeit gemacht? Da wird doch wer was drüber wissen. Warum rufst Du nicht einen beim Dienstleister an (den Chef oder wen auch immer) und teilst Ihm Deine Besorgnis mit und bestellst mal einen zu Dir in die Firma? Vieles lässt sich ganz friedlich und unter 4 Augen schnell regeln.
Kurzum: Suche doch mal den dirketen Kontakt mit dem Dienstleister NACHDEM Du weißt was Vertraglich geregelt ist.
Gruß
Habe eben mal meinen Vorgesetzten gefragt, es ist schlicht nicht geregelt worden, WIE die Dokumentation übergeben werden soll. Es gab aber von meinerseits eine Aufforderung per Email, wie sie verfahren sollen. Ja, als IT-Sicherheitsbeauftragter bin ich auch weisungsbefugt in diesen Dingen. Unser Dienstleister will zudem auch weiterhin mit uns Geschäfte machen, wir kommen eigentlich auch ganz gut mit denen klar.
Hi,
na dann ist doch alles klar. Bestell den doch mal zu Dir und regel das - schriftlich! -
Gruß
ps.: als IT-<was-auch-immer> ist man nicht automatisch weisungsberechtigt bzw. darf im Namen der Firma handeln. Ich würde mir den Vertrag zusätzlich von einem eurer z.B. Geschäftsführer mit unterzeichnen lassen. Hat den vorteil das der dann nciht sagen kann er wisse von nichts
na dann ist doch alles klar. Bestell den doch mal zu Dir und regel das - schriftlich! -
Gruß
ps.: als IT-<was-auch-immer> ist man nicht automatisch weisungsberechtigt bzw. darf im Namen der Firma handeln. Ich würde mir den Vertrag zusätzlich von einem eurer z.B. Geschäftsführer mit unterzeichnen lassen. Hat den vorteil das der dann nciht sagen kann er wisse von nichts
Doch, darf ich Ist alles schriftlich im IT-Sicherheitshandbuch nach BSI-Vorgaben festgeschrieben. Ich musste auch schonmal einen externen Vertriebler nach Hause schicken, weil er seinen Laptop nicht ins Netzwerk hängen durfte und sein Produkt nicht vorstellen konnte.
Ist alles schriftlich im IT-Sicherheitshandbuch nach BSI-Vorgaben festgeschrieben. Ich musste auch schonmal einen externen Vertriebler nach Hause schicken, weil er seinen Laptop nicht ins Netzwerk hängen durfte und sein Produkt nicht vorstellen konnte.
Mir wäre das eher peinlich, einen Vertriebler nach Hause zu schicken, weil ich keine sicher Leitung ins Internet bereitstellen könnte...
hehehe habe ich mir auch gedacht
Gruß
Gruß
Da fehlen Euch jetzt aber einige Hintergrundinformationen, denn der Vertriebler kennt unsere Richtlinien und hätte selbst eine Alternative vorschlagen müssen. Zudem lehnt unsere Geschäftsführung ein Gäste-VLAN im Moment noch ab. Insofern war es der Vertriebler selbst Schuld.
Ich arbeite selber in einem Bereich, der äußerst paranoid vorgeht und auch vertraglich dazu gezwungen ist. BSI-Richtlinien sagen mir was, ebenso wie Chiasmus, Tempest und Geheimschutz.
Mir fällt zu diesen Zeilen nur ein: Warum bekommt ein Externer überhaupt Domänenadminzugriff? Das wäre bei uns unmöglich, selbst, wenn wir das Kennwort unmittelbar nach Übergabe ändern würden. Weißt Du, was der alles eingebaut hat? Vollkommen undenkbar, dass dies ein Externer einrichten darf.
Insofern interessiert mich die eigentliche Frage nur wenig. Natürlich ist es sonderbar, dies nicht vorher zu regeln. Wenn ich mir solche Kennwörter übergeben lassen müsste (bei uns im Haus hat noch nie ein Externer irgendetwas softwaretechnisch eingerichtet, was sicherheitsrelevant war), dann würde das in verschlüsselter Form per Mail kommen, denke ich.
Mir fällt zu diesen Zeilen nur ein: Warum bekommt ein Externer überhaupt Domänenadminzugriff? Das wäre bei uns unmöglich, selbst, wenn wir das Kennwort unmittelbar nach Übergabe ändern würden. Weißt Du, was der alles eingebaut hat? Vollkommen undenkbar, dass dies ein Externer einrichten darf.
Insofern interessiert mich die eigentliche Frage nur wenig. Natürlich ist es sonderbar, dies nicht vorher zu regeln. Wenn ich mir solche Kennwörter übergeben lassen müsste (bei uns im Haus hat noch nie ein Externer irgendetwas softwaretechnisch eingerichtet, was sicherheitsrelevant war), dann würde das in verschlüsselter Form per Mail kommen, denke ich.
Hallo,
also ich kenne _kein_ einigermaßen großes Unternehmen das keine externe Software einsetzt und/oder entwickeln lässt.
Da kann man natürlich Unfug damit machen, aber ich habe davon noch nicht gehört, da ein solches Softwareunternehmen danach sicherlich zusperren kann.
Im Zuge von Outsourcing ist sowas auch ein vollkommen normaler Vorgang.
Selbst Banken und Versicherungen machen doch nicht mehr alles selbst - viel zu teuer! Selbst Firmen wie PG haben ihre IT outgesourced und so die "innere" IT auf grob 4000 Mann verkleinert. Ein solcher Vertrag hat > 2000 Seiten! Sind die alle bescheuert? Oder haben die kein Sicherheitsbewusstsein?
Naja - schwamm drüber!
Aber wenn ich sowas lese wie: "die Geschäftsführung lehnt noch ab das blablabla..." dann kann ich nur sagen:
Schlechten Job gemacht! Es ist die Aufgabe von IT-Leitern (oder vergleichbar) nicht IT Leuten die Dinge anschaulich zu vermitteln und über Risiken, Vor- und Nachteilen von Lösungen aufzuklären.
Wenn also ein externer Vertriebler Inet braucht, dann hat die IT als Dienstleister des Unternehmens das zur Verfügung zu stellen. Der kommt ja wohl nicht um nen Zeitschriftenabo zu verkaufen. z.B. extra ADSL Anschluß der nur dafür verwendet wird oder eine vergleichbare Lösung via UMTS.
Wenn Ihr alle glaubt Großes Business zu machen, dann verhaltet euch auch so!
Gruß
also ich kenne _kein_ einigermaßen großes Unternehmen das keine externe Software einsetzt und/oder entwickeln lässt.
Da kann man natürlich Unfug damit machen, aber ich habe davon noch nicht gehört, da ein solches Softwareunternehmen danach sicherlich zusperren kann.
Im Zuge von Outsourcing ist sowas auch ein vollkommen normaler Vorgang.
Selbst Banken und Versicherungen machen doch nicht mehr alles selbst - viel zu teuer! Selbst Firmen wie PG haben ihre IT outgesourced und so die "innere" IT auf grob 4000 Mann verkleinert. Ein solcher Vertrag hat > 2000 Seiten! Sind die alle bescheuert? Oder haben die kein Sicherheitsbewusstsein?
Naja - schwamm drüber!
Aber wenn ich sowas lese wie: "die Geschäftsführung lehnt noch ab das blablabla..." dann kann ich nur sagen:
Schlechten Job gemacht! Es ist die Aufgabe von IT-Leitern (oder vergleichbar) nicht IT Leuten die Dinge anschaulich zu vermitteln und über Risiken, Vor- und Nachteilen von Lösungen aufzuklären.
Wenn also ein externer Vertriebler Inet braucht, dann hat die IT als Dienstleister des Unternehmens das zur Verfügung zu stellen. Der kommt ja wohl nicht um nen Zeitschriftenabo zu verkaufen. z.B. extra ADSL Anschluß der nur dafür verwendet wird oder eine vergleichbare Lösung via UMTS.
Wenn Ihr alle glaubt Großes Business zu machen, dann verhaltet euch auch so!
Gruß
