Hallo,
dieser Beitrag hat zwar nichts mit Personenbezogenen Daten zu tun,
trotzdem habe ich ein ungutes Gefühl.
Ich betreue mehrere Firmen in Sachen EDV.
Jetzt kam es bei einem Kunden zu folgender Aufgabenstellung.
Eine neue Brandmeldeanlage wurde bei dem Kunden installiert
und diese Anlage lässt sich über eine Webseite steuern.
Man kann also über die Webseite dann Melder ab und anschalten und überprüfen,
ob Melder defekt sind usw…
Da diese Webseite nur über das interne Netzwerk erreichbar war,
somit erst mal kein Problem, dachte ich.
Dann sollte ich die Webseite der Brandmeldeanlage
nach aussen über Portforwarding freigeben, damit die Techniker der Brandmeldeanlage auch Sachen extern überprüfen können, ohne den Kunden aufsuchen zu müssen.
Ich gab dann zu bedenken, das man den Zugang aber nur über https steuern sollte,
was das Webinterface der Brandmeldanlage auch kann.
Allerdings sind die Techniker nicht in der Lage https zu aktivieren, da die nicht wissen,
wie man dort SSL Zertifikate einbindet.
Ich stelle mir gerade vor, wie diese Firma hunderte solche Brandmeldeanlagen installiert hat,
wo ungeschützt über http dort die Login und Passwortabfrage erfolgt.
Aus meiner Sicht wäre es ja nun möglich, das irgendein Hacker sich den Spass macht
und sich in die Brandmeldeanlage hackt und irgendwelche Melder im Gebäude
abschaltet. Bricht dann eine Feuer aus…
Als Lösung für meinen Kunden, habe ich empfohlen den Zugang nur
über VPN Einwahl zu steuern.
Aber was ist mit den anderen Brandmeldeanlagen dieser Firma,
wo vielleicht keine Bedenken geäußert wurden?