Hi Leute,

eventuell hat jemand von euch schonmal mit folgender Problematik zu tun gehabt, und kann ein paar Tipps abgeben wie man damit umgeht:

Ich arbeite bei einem kleinen Unternehmen als technischer Leiter. Wir haben seit einigen Monaten ein Projekt mit einem externen Zulieferer am laufen (natürlich inkl. NDA), welcher für uns eine mechanische Baugruppe auslegt und fertigt.

Für den Datenaustausch wird ein Fileserver genutzt, welcher vom Zulieferer zur Verfügung gestellt wurde. Letzte Woche fiel mir plötzlich auf, dass die bisher vorhandene Passwortabfrage nicht mehr erfolgt. Nach Rückfrage beim Zulieferer kam zuerst eine etwas lasche Antwort, dass der Fileserver diese Funktion seit neuestem nicht mehr unterstütze :freak: Nachdem von unserer Seite natürlich sofort Druck gemacht wurde, wurde das Problem gelöst (natürlich kann man ein Passwort vergeben!!!).

Jetzt steht ich vor dem Problem, dass für ca. 5 Tage sensible Daten quasi frei zugänglich im Web standen.

Dazu ein paar Fragen von meiner Seite:
- Muss ich damit rechnen, dass eines der diversen Webarchive bereits eine Kopie erstellt hat, und wenn ja, welche Betreiber kommen hier typischerweise in Frage
- Wie würdet ihr euch gegenüber dem Zulieferer verhalten (Firmenstandort ist Österreich)

Danke für eure Anregungen

mfg

Stephan

Schwierige Situation. Ich würde das NDA checken und prüfen ob der externe Zulieferer dagegen verstoßen hat.
Und ich würde die Logs des Fileservers sehen wollen, wenn Du oder Ihr in der Position seid diese anfordern zu können.
Ohne die Verträge zu kennen kann man da aber nichts zu sagen.

-> Anwalt vom Fach suchen

Dazu ein paar Fragen von meiner Seite:
- Muss ich damit rechnen, dass eines der diversen Webarchive bereits eine Kopie erstellt hatJa. Üblicherweise haben die schon binnen 24h eine Kopie, weswegen sich eine zusätzliche Sicherung wie Verschlüsselung oder mindestens ein "Umvepacken" in separat Paßwort-geschützte Archive bei Webtransfers dringend empfiehlt.
- Wie würdet ihr euch gegenüber dem Zulieferer verhalten (Firmenstandort ist Österreich)Zunächst dürfte das ein klarer Vertragsverstoß gewesen sein, weil in den Klauseln, die üblicherweise in NDAs vereinbart werden (ich gehe mal davon aus, ihr habt das von Fachleuten machen lassen?), nicht alleine die Nicht-Weitergabe, sondern auch ein angemessener Schutz vor Zugriff auf diese Informationen durch Unbefugte festgeschrieben wird. In dem Fall ist der Zulieferer für eventuell durch die Weitergabe entstehenden Schaden regreßpflichtig, bzw. Konventionalstrafen (wenn vereinbart) fällig - und natürlich hat er nachzuweisen, daß die Vertragsverletzung behoben worden ist. Das bedeutet, er muß nachweisen, daß zukünftig (zumindest organisatorisch) ein nochmaliges versehentliches Aufheben der Zugriffsicherung verhindert wird.

Abseits des Vertrags ist aber der mindestens fahrlässige Umgang des Zulieferers mit sensiblen Informationen wohl definitiv ein Punkt, um die Zuverlässigkeit als Geschäftspartner neu einzuschätzen.

Ist ganz einfach.
Geh davon aus daß die Daten schon in andere Hände sind.
Wenn Dein Chef weiterhin Aufträge an diesem Unternehmen vergibt ohne für rollende Köpfe zu sorgen dann ist es ihm egal.

Danke für euren Input.

Wir lassen uns aktuell von einem Anwalt beraten, wie wir rechtlich weiter vorgehen. Es läuft wohl darauf hinaus, dass der Verstoß dokumentiert wird um später rückwirkend (wenn jemand die Daten nutzt) Schadenersatz fordern zu können. Zusätzlich fordern wir das Logfile des FTP-Betreibers ein.

Das eine zukünftige Zusammenarbeit mit diesem Zulieferer eher unwahrscheinlich ist, sollte klar sein :wink:

Konventionalstrafen haben wir vor einem Jahr aus unserer NDA entfernt, weil in unserem Sektor nicht viele Zulieferer exisitieren und man als kleines Unternehmen leider nicht beliebige Bedingungen fordern kann (einfach weil die Auftragsvolumen die hinter den Projekten stehen überschaubar sind).

Ich war ja die letzten 20h durchgehend auf 180... einfach weil ich nicht nachvollziehen kann wie man jahrelange Arbeit derart fahrlässig gefähren kann.

mfg

Stephan

worin besteht denn die Absicherng, wenn ja offensichtlich beide Seiten das selbe Passwort kennen müssen? Und wie ist der Personenkreis definiert worden hier wie dort, dem dieses PW zugänglich ist? Wie ist die Verteilung intern und extern erfolgt..per unverschlüsselter Mail wahrscheinlich oder gar intern per Hauspost...?
Das gesamte Konzept scheint ja eher improvisiert. Und jeder User hatte wahrscheinlich admin Rechte auf dem Server, und einem wurde es zu unbequem und er hat die PW Abfrage entfernt und sich dabei sicher noch gedacht, einen Prozess damit effizienter gemacht zu haben.
Den Wurm aufspüren, entlarven und Abmahnung oder Kündigung.

Ja. Üblicherweise haben die schon binnen 24h eine Kopie, weswegen sich eine zusätzliche Sicherung wie Verschlüsselung oder mindestens ein "Umvepacken" in separat Paßwort-geschützte Archive bei Webtransfers dringend empfiehlt..
Wenn es etwas sensibles ist, woran viel Geld hängt, ist Verschlüsslung sicher sinnvoll.
Allerdings: Hier dürfte ja nicht durch irgendwelche Webseitenlinks darauf verwiesen werden. Und Webarchive crawlen nicht einfach wild eine Seite ab, sondern folgen in der Regel nur Links auf Webseiten. Von daher denke ich nicht, dass hier was kopiert wurde.

Wenn es ein FTP ist, wie Flyinglosi andeutet, dann wäre hier höchstens ein Zufallsfund möglich. Je nachdem, ob es etwas einfacher ist oder komplexer. (einfach wäre hier ftp://öffentliche-IP :D)

Und Webarchive crawlen nicht einfach wild eine Seite ab, sondern folgen in der Regel nur Links auf Webseiten.In der Regel vielleicht, ich hab aber -leider- auch schon feststellen müssen, daß nicht-verlinkter Content trotzdem abgegriffen wurde.

grad ein offener ftp ist doch ne einladung an alle. da wird doch nur drauf gelauert. falls das wirklich ein ftp war, dann sind die daten auch irgendwo anders und wohl auch dort daten abgelegt. das was bockwurst und andere früher in "kleinem" rahmen gemacht haben, ist heute nicht wirklich aus der mode. da crawlen laufend bots den kompletten adressraum auf offene ports und dienste.

Und Webarchive crawlen nicht einfach wild eine Seite ab, sondern folgen in der Regel nur Links auf Webseiten. Von daher denke ich nicht, dass hier was kopiert wurde.

Das vielleicht nicht, aber der IPv4-Adressraum wird regelmäßig von Botnetzen gescannt. Das geht mittlerweile in wenigen Stunden komplett, weil der öffentliche IPv4-Adressraum eben nicht so wahnsinnig groß ist. Wenn du dir einmal deine Logs anguckst, wirst du sehen, dass öffentliche Dienste praktisch dauerhaft mit Login-Versuchen von Bots bombadiert werden.

Mich würde ehrlich gesagt wundern, wenn sich jemand da nicht mindestens einmal eingeloggt hätte. Alleine mein sshd hat mehrere hundert bis tausende Anfragen pro Woche. Einen FTP-Server ohne Passwort zu betreiben ist praktisch eine Garantie, dass irgendjemand die Daten abgegriffen hat.

Das Logfile wäre dafür wahrscheinlich echt der beste Anhaltspunkt.

Das Logfile wäre dafür wahrscheinlich echt der beste Anhaltspunkt.

Also wenn die Admins dort es nicht mal hinbekommen einen FTP-Server mit Passwörtern zu versehen dann glaube ich kaum, dass Log-Dateien existieren. Und man kann Log-Dateien leider nachträglich ändern.

Log Datein werden i.d.R. automatisch erstellt sobald man den Dienst installiert.
Zumindest unter Linux.
Ändert natürlich nichts daran das man die nachträglich bearbeiten kann.

Mag sein, dass die Daten von irgendwem kopiert wurden, das heißt aber noch lange nicht, dass diese Person auch etwas damit anfangen kann. Oder jemanden kennt, der das kann. Kommt halt drauf an wie speziell die Daten sind.

MfG
Rooter

Mag sein, dass die Daten von irgendwem kopiert wurden, das heißt aber noch lange nicht, dass diese Person auch etwas damit anfangen kann. Oder jemanden kennt, der das kann. Kommt halt drauf an wie speziell die Daten sind.

Sollte für die NDA keine Rolle spielen.

Also wenn die Admins dort es nicht mal hinbekommen einen FTP-Server mit Passwörtern zu versehen dann glaube ich kaum, dass Log-Dateien existieren. Und man kann Log-Dateien leider nachträglich ändern.

Klar, wäre aber der beste Anhaltspunkt. Viel mehr bleibt ja auch nicht übrig.

Jetzt ist erstmal ein Anwaltsschreiben an den Zulieferer unterwegs. Zusätzlich haben wir festgestellt, dass die entsprechende NDA bereits vor 2 Jahren unterzeichnet wurde, und damals auch noch explizite Geldstrafen vereinbart wurden.

Ich warte jetzt mal bis Anfang nächster Woche auf eine Reaktion ;-)

Das Hauptproblem bei dem Thema sehe ich in der Quantifizierung eines möglichen Schadens. Derartige Daten können einem Mitbewerber Monate/Jahre an Entwicklungszeit sparen und so verhindern, dass man selbst überhaupt in den Markt einsteigen bzw im Markt gross weden kann. Aber wie beziffert man das?