By

Ich berate ja schon seit einiger Zeit Kunden zum Thema Mobility und BYOD usw.
Immer wieder ein Reizthema war das Thema Sicherheit. Meist wurde das ganze vernachlässigt, weil es zu lange dauern würde, weil es zu komplex sei, oder einfach weil die entsprechenden Personen nicht verstehen wollten das es nun mal etwas ganz anders ist ob ich von einem Mobilen Endgerät (Via unbekanntem Netz, von irgendwo auf der Welt) auf Firmendaten zugreife oder von einem Company Gerät (Managed) via VPN.

Bei Endkunden-Geräten, also dem Zugriff via Apps auf die Daten einer Firma, ist das ganze sogar noch kritischer zu betrachten. Die Geräte kennt man nicht. Daraus folgere ich persönlich auch: “Die sind im Zweifel alle mit einem Jailbreak versehen oder sind sonst wie gerooted“.

Immer wieder musste ich mir anhören: “Sie übertreiben …“, “… die ganze Sicherheit macht es viel zu komplex …” usw. usw.! Aber siehe da: Gestern war es dann (Endlich?) soweit: Es ist fast genau das passiert was ich länger angekündigt habe und ein Hacker hat bei einem ehemaligen(!!!) Kunden vorbei geschaut! Tja, leider haben, wie von mir vorausgesagt, die vorhanden Sicherheits- und Monitoring Tools davon auch nichts mitbekommen. Wie auch, der Zugriff erfolgt ja über einen Webservice, der ist ja erstmal nix schlechtes. Dachten zumindest die Betreiber.

Die Typen die den Zugriff durchgeführt haben waren gründlich! Die komplette Datenbank wurde abgezogen (Laut Logfile) und danach gelöscht! Die scheinen aber das Interesse verloren zu haben und zwar bevor sie rausgefunden haben das von den verwendeten Server auch ein direkter Zugriff auf das Intranet (Und alle dort stehenden Systeme) theoretisch möglich gewesen wäre.

Das Angebot des Kunden jetzt noch mal über das Thema Security zu sprechen und das Projekt entsprechend zu beraten, musste ich heute dann aber leider ablehnen!

Weitere Details kann und werde ich hier natürlich nicht preisgeben! Und nein, für mich war es keine Genugtuung! Im Gegenteil, es macht mich eher traurig das ich hier mal wieder das böse Orakel war.

Bei kleinen Kindern sagt man ja auch immer wieder: “Bis einer weint!!!“. Leider wollen die auch nie auf diesen durchaus klugen Spruch hören, bis dann wirklich einer (oder sogar alle) weinen!

Ich hoffe, dass die betroffenen Firmen (Nicht nur mein ehemaliger Kunde!) aus solchen Vorfällen lernen!!!

  • Security ist wichtig
  • Eine wirklich Absicherung kann nur bei ganzheitlicher Betrachtung erreicht werden
  • Mit Mobility erfolgt ein Paradigmen Wechsel und die alte LAN Denke ist nicht mehr ausreichend!
  • Security ist nicht der Feind von Innovation