Ungefragte Fernwartung

Früher hab ich selber bei einem Softwarehersteller gearbeitet, wo man sich gerne mal auf ein Kundensystem einfach aufschaltet ohne zuvor beim Kunden anzurufen und diesen über das Vorhaben zu informieren. Aus der Kundensicht, in der ich mich nun als Administrator bei einem Unternehmen, das einiges an Branchensoftware einsetzt, befinde, kann ich nun die Sicht der Kunden, die damals mindestens einmal die Fernwartungsmöglichkeit komplett abgedreht haben, mehr als nur nachvollziehen.

Heute mussten wir das Kennwort für einen Fernwartungszugang ändern, da wir bereits mehrere Male trotz deutlicher Warnung übergangen wurden und wir auch keine Ahnung haben, was der Mitarbeiter des Softwareherstellers bei uns gemacht hat. Wer an einem Freitag um halb Acht abends einfach auf einem Kundenserver rumhampelt hat sein Recht auf einen permanenten Fernwartungszugang komplett verspielt. Auch wenn eine vermeintlich harmlose Sache gemacht wurde, ist es schon eine harte Nummer vor dem Wochenende, an dem die Systeme auch durchgehend laufen müssen, einfach ungefragt irgendetwas zu machen.

Was das Bewusstsein für solche Dinge angeht, erscheint mir die DSGVO mittlerweile doch gar nicht mehr so unbrauchbar. Zumindest bei den ganzen Auftragsdatenverarbeitungsverträgen, die man dann auch für so etwas wie Fernwartungen abschließen sollte, kann man dann am besten direkt Sanktionen für solche Verstöße mit aufnehmen. Auch für den noch schlimmeren Fall, dass sich jemand aufschaltet nur um einem anderen Kunden das System in Aktion zu zeigen.

Im Vergleich zur digitalen Welt, würde vermutlich kaum ein Anbieter, der eine Maschine vor Ort warten muss, einfach auf die Idee kommen auf das Firmengelände zu laufen, niemandem Bescheid zu sagen und einfach ein Bauteil an der Maschine zu wechseln und dann auch wieder zu verschwinden ohne über die Änderung eine Auskunft zu geben. Bei vielen Softwareunternehmen scheint aber genau eine solche Unart an Verhalten vorzuherrschen.

Deshalb sollte man, auch wenn es für den Ernstfall, dass jemand wegen eines Fehlers schnell auf das System muss, z. B. bei TeamViewer-Zugängen niemals ein festes Kennwort für den Anbieter vergeben, sondern rein mit Session-Kennwörtern arbeiten. Ebenso sollte man VPN-Zugänge so einrichten, dass diese nur von Kundenseite gestartet werden können.

 

Schreibe einen Kommentar