Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kunde will nicht in Sicherheit investieren

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: tobi83

tobi83 (Level 1) - Jetzt verbinden

27.06.2009, aktualisiert 21.07.2009, 5802 Aufrufe, 22 Kommentare

Hallo,

habe ein kleines Problemchen. habe einen Kunden dem ich letztens einen SBS 2003 R2 Server aufgesetzt habe. Leider will der Kund nicht wirklich in Sicherheitssoftware investieren (Vierenscanner, Firewall).

Der Kollege der vor mir das Netzwerk betreut hat, hat wohl auch nicht viel von Sicherheit gehalten, es sind diverse Ports einfach auch Rechner weitergeleitet worden (z.B. Port 80). Ich habe den Kunden darauf angesprochen, und er meinte das das so schon sein müsse da er von zu Hause aus auf die Rechner zugreifen müsse und das das schon immer so laufe und noch nie was passiert sei.

Es stehen jetzt insgesammt drei Server dort.

Einer ist für die Kameras zuständig. Auf diesen ist auch der Port 80 geschaltet.

Dann gibt es da noch einen Server für das Warenwirtschaftssystem. Na und den SBS halt.

Leider kenne ich mich mit ISA Server auch nicht so gut aus sonst hätte ich den genommen.

Jetzt habe ich nur bedenken das der Kunde irgenwann kommt und sagt "na hätten sich das doch mal sicher gemacht" kann ich mich davor noch irgendwie schützen?

P.S Die Rechnung hat er schon bezahlt.


Gruß Tobi
Mitglied: pieh-ejdsch
27.06.2009 um 19:27 Uhr
Hallo Tobi83,

Du hast dem Kunden sein Auftrag erfüllt hast die Rechnung bezahlt bekommen und hast ihm noch eine Empfehlung von zusätzlicher Sicherheitssoftware gegeben. Du hast Ihm auch darauf hingewiesen, das er offene Ports hat.

Wenn er nicht will dann lass es halt.

Manche Leute sind eben in dieser hinsicht ziemlich resistent und lassen sich nicht Überreden.

Deine Auftragsleistung besteht ja sicher nicht nicht in der Wartung oder ....?

Gruß Phil
Bitte warten ..
Mitglied: wiesi200
27.06.2009 um 19:29 Uhr
Dir vom Kunden schriftlich geben das du ihn darauf hingewiesen hast und er abgelehnt hat
Bitte warten ..
Mitglied: tobi83
27.06.2009 um 19:29 Uhr
Nein das stimmt einen Wartungsvertrag haben wir nicht.

Danke dir für deine schnelle Antwort
Bitte warten ..
Mitglied: tobi83
27.06.2009 um 19:54 Uhr
Das schrifftlich zu machen habe ich mir auch schon überlegt. Aber ich habe da so meine schwierigkeit auch alle eventuallitäten mit einzubeziehen.
Bitte warten ..
Mitglied: wiesi200
27.06.2009 um 20:02 Uhr
Ich würde mich da nicht auf Details einlassen. Einfach das du gravierende Sicherheitsmengel festgestellt hast und diese deinem Kunden mitgeteilt hast. Dein Kunde nichts ändern wollte du diese deshalb auch nicht genau untersucht hast und keinerlei Verantwortung über Schäden übernehmen kannst außer es ist direkt auf deine Arbeit hin passiert
Sprich 2 SBS in einer Domain was ja nicht geht oder so ein Blödsinn.
Bitte warten ..
Mitglied: tobi83
27.06.2009 um 20:13 Uhr
Ok. Dann werde ich mal ein kleines Schrifftstück verfassen.

ich danke euch für eure schnelle und gute unterstützung.

Gruß

Tobi
Bitte warten ..
Mitglied: wiesi200
27.06.2009 um 20:19 Uhr
Das muss jetzt aber auch noch sein.

Wenn du wirklich sicher gehen willst solltest du einen Anwalt hinzuziehen da wir hier ja keine Rechtsbelehrung machen.
Bitte warten ..
Mitglied: education
27.06.2009 um 22:03 Uhr
nicht immer auf den vorgänger schieben :D

port:80 auf cam wird halt eine webcam sein wie willst den mit ner firewall abschotten wenn er es in web zeigen will. usw und so fort..

du hattest deinen auftrag, bestimmt evtl ein pflichtenheft. das hat dir der kunde abgenommen,
das wollte der kunde.
du hast im gesagt was noch gemacht gehört oder was gut wäre.
es ist ihm erst mal egal.
richtest du ihm trotzdem eine firewall oder der gleichen ein könnte es soweit gehen: sachbeschädigung
oder er bezahlt dir die arbeit nicht da es ja freiwillig für dich war.
der virenscanner löscht datei die mit virus verseucht waren und das fällt denen 2monate später auf. dann haftest du für den schaden.

wir schreiben in so einen fall unten in der Rechnung dazu: Sicherheitslücken usw... bei einigen kunden bekommen auch nur ein angebot was dies kosten würde das zu beheben. dann kannst du wenn was passieren sollte immer noch sagen: sehen Sie, das haben wir ihnen schon vor xxxx zeiten gesagt
Bitte warten ..
Mitglied: StefanKittel
28.06.2009 um 01:56 Uhr
Hallo,

mus ja nicht gleich ein Brief vom/mit Anwalt sein (besser is aber).
Ein Brief/Email wo Du Ihn darauf hinweist und abhilfe anbietests würde ausreichen damit er Dir später nicht ans Bein pinkeln kann.

Generel gilt aber: Der Kunde ist für die Sicherheit seiner Daten selbst verantwortlich. z.B. muss er auch die DS kontroliieren. Es sei denn es gibt einen Vertrag.

Stefan
Bitte warten ..
Mitglied: gogoflash
28.06.2009 um 04:52 Uhr
Hallo,

vielleicht stehe ich gerade auf dem Schlauch; aber wenn eine Kunde mich beauftragt einen Server aufzusetzen, dann schau ich mir schon etwas seine Infrastruktur an und schon bei der Auftragbearbeitung aber bestimmt nicht nach Zahlung der Rechnung melde ich mich bei Ihm und sage "Übringens ich weiß was was Du nicht weißt und das ist nicht gut". Das kommt nicht gut. Und ausserdem könnte man schon vor Ort einen weiteren Aufrag bekommen und ist das schlecht?

Nun ist der Auftrag ausgeführt und Ihr wollt nachträglich euch absichern und es noch von einem Anwalt absegenen lassen?

Wäre ich der Kunde wäre das euer letzter Auftrag. Warum?
1) Der IT Berater der gekommen ist, hat mich schlecht beraten.
2) Jetzt kommt er an und will nochmal was korrigieren? Wieso jetzt will er nicht ausnehmen?

Vielleicht etwas übertrieben, aber schon möglich oder nicht?


Gruß Miguel
Bitte warten ..
Mitglied: 78872
29.06.2009 um 10:07 Uhr
Auf welcher Position bist Du?, Wie war der Auftrag genau? Ich hatte > 10 Jahre mit der "Sicherheit" zu tun.
.
Falls Auftrag war: Server aufsetzen. -> Schreiben was man gemacht hat plus knapper Hinweis auf Sicherheitsmängel, dass aufgrund der niederschwelligen Sichheit du empfiehlst a.) b.) auch ohne Beratungsmandat.
.
Wenn du reinredest in Sachen, die dich nichts angehen, bist du den Auftrag los. Grosse Gefahr, dass du als Auswärtiger etwas übersiehst. Das war bei uns so und wird auch so bleiben.
.
==> Weggucken, sonst wirst du krank!
Bitte warten ..
Mitglied: tobi83
29.06.2009 um 10:12 Uhr
Hi,

der Auftrag war erstmal nur den Server aufzustezten. Ich habe den kunden natürlich mündlich darauf hingewiesen das es große Sicherheitslücken gibt. War ihm aber herzlich egal.
Bitte warten ..
Mitglied: Hosenpupser
29.06.2009 um 20:01 Uhr
Die einfachste Methode hierzu ist, den Kunden schriftlich in Kenntnis zu setzen, sowie diesen Schriftsatz sich Unterschreiben zu lassen. Wird der Kunde dies nicht tun wollen, so ist man immer gut bedient, wenn man einen Juristen einen formulierten Schriftsatz dem Kunden zukommen läßt, weil man dann noch einen Zeugen hat, der gegen einer möglichen Schadenersatzforderung ein Kontra aufweisen kann. Diese mögliche €100,00 sollte man sich leisten und man ist fein raus!!!
Bitte warten ..
Mitglied: Iwan
30.06.2009 um 12:05 Uhr
hallo,

ich kenne solche Sachen von einem Kumpel, der es wie folgt macht:
- er erhält einen Auftrag vom Kunden, z.B. Server neu installieren
- er schaut sich das ganze vor Ort an und hält genau fest, was zu machen ist
- sollte er irgendwas feststellen, wird dies sofort dem Kunden mitgeteilt
- das ganze wird schriftlich im Auftrag/Arbeitsbericht festgehalten, welchen der Kunde ja unterschreiben muss
somit wurde der Kunde informiert und er hat es mit seiner Unterschrift bestätigt
wenn dieser dann nicht darauf reagiert, dann ist das nicht sein Problem

zudem hat er einen Zusatz in seinen AGBs drin, das er nicht für Probleme verantwortlich ist, die nicht in direktem Zusammenhang mit seinen ausgeführten Tätigkeiten stehen

bisher hat er keine Probleme damit; im Gegenteil: er hat einige zusätzliche Aufträge dadurch bekommen
Bitte warten ..
Mitglied: crashzero2000
30.06.2009 um 15:08 Uhr
Komm ihm einfach mal mit dem Hinweis des Datenschutzgesetzes.
Wenn er über Port80 einen Kameraserver anläuft kann der Schuß auch nach hinten losgehen.

Zeichnet er den öffentlichen Bereich auf oder internen Bereich [Eigentlich egal, wenn die Aufzeichnungen irgendwann mal im Internet landen ist das enorm geschäftsschädigend - Presse etc.]

Das hilft oftmals schon.

ISA ist kein großes Problem, aber eben sehr bekannt und daher auch verwundbar.
Am sichersten fährst du mit einem recht unbekannten System das sich leicht patchen läßt.
Eierlegende Wollmilchsau und günstig z.B. http://www.pyramid.de/
Auch der Support ist wirklich gut.
Wir nutzen eine Kombination aus Pyramid.Produkt + ISA, beide in Vertrauensstellung.
In den Büchsen von Pyramid können auch direkt gleich AV-Systeme integriert werden.
Bitte warten ..
Mitglied: tobi83
30.06.2009 um 15:19 Uhr
Ich werde den Kunden nochmal darauf hinweisen das die momentane Situation doch recht gefährlich ist. Mal schaun evtl. sieht er es ja jetzt ein.

Ich danke euch für eurer regen intresse an diesem thread.


Das nächste mal werde ich sowas wirklich vorher schrifftlich machen.
Bitte warten ..
Mitglied: spacyfreak
03.07.2009 um 06:38 Uhr
Wat solls, da hängen doch keine Menschenleben davon ab.

Man könnte ja auch bei einem parkenden Auto die Scheibe einschlagen und das Auto mopsen - das geht ganz einfach!
Warum sichert man die Autoscheiben nicht mit Gittern ab?
Und Portweiterleitung auf Kameras - wen juckt das schon?
Du hast den Auftrag erfüllt, er hat bezahlt, alle sind glücklich.
Falls es dich beruhigt dann schreib ihm im freundlichen Ton doch die Punkte via mail die du noch verbessern würdest, wenn er drauf nicht reagiert kannst du irgendwann falls nötig auf die mail hinweisen.
Bitte warten ..
Mitglied: crashzero2000
03.07.2009 um 09:52 Uhr
Es hängen unter Umständen schon Menschenleben davon ab.
Unter anderem Firmenbankrott durch Datenlöschung oder die Herausgabe von Kreditkarteninformationen ins Internet.

Oder Flugleitanlagen an Flughäfen !!!!
Bitte warten ..
Mitglied: gnarff
21.07.2009 um 19:07 Uhr
Was steht denn in Deinen Geschaeftsbedingungen zum Thema und wie ist der Auftrag beschrieben?
Wenn Du nicht einmal ISA-Server beherrscht, dann frage ich mich wieso Du daherkommst und Netzwerke einrichtest?!
Das wird frueher oder spaeter fuer Dich gehoerig nach hinten losgehen.
Ich sehe hier deutlichen Weiterbildungsbedarf!

Saludos
Gnarff
Bitte warten ..
Mitglied: tobi83
21.07.2009 um 20:40 Uhr
Na klar muss ich mich immer weiterbilden das ist mir schon klar. Es sollte dir dann aber auch klar sein das es noch andere lösungen als ISA gibt. Kann sein das ich das jetzt irgendwie in den falschen Hals bekomme aber ich finde deine Schreibweise doch schon etwas hart.
Bitte warten ..
Mitglied: gnarff
22.07.2009 um 01:18 Uhr
Zitat von tobi83:
Kann sein das ich das jetzt irgendwie in den falschen
Hals bekomme aber ich finde deine Schreibweise doch schon etwas hart.

Wenn Du meinen Kommentar als Herabwertung verstanden hast, dann hast Du definitiv etwas in den falschen Hals bekommen, denn so war es nicht gemeint. Ich denke, wer mit Windows Server umgeht sollte auch ISA beherrschen - das gehoert einfach zum Standard.

Meine Raubeinigkeit ist stets herzlicher Natur, ich formulier das aber gerne um, wenn Du mir sagst wie...

Saludos
gnarff
Bitte warten ..
Mitglied: tobi83
22.07.2009 um 08:04 Uhr
NA Ok. Dann war ich wohl etwas empfindlich.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...