Glorf IT

Heute erlebte ich, wie es ist, wenn man eine Firma kein Kundeninformationssystem (Customer Relationship Management Programm, CRM) hat. Eigentlich hätte hier wohl auch eine gute alte Kartei gereicht, aber ich greife vor…

Vor ein paar Wochen wurde uns eine neue Heizungsanlage installiert, es wurde ein spezielles doppelwandiges Rohr in den Kamin eingezogen durch den die wenigen Abgase gepustet werden. Angenehmer Nebeneffekt ist, dass die Wärme der Abgase in dem Rohr genutzt wird und nicht einfach verpufft. Wie es Vorschrift ist, kam der Scharnsteinfeger und befand, dass sei bei uns möglich sei. Er müsse danach noch mal kommen, um das ganze abzunehmen. er würde sich melden, wir müssten nichts tun.

Letzte Woche lag dann ein Zettel im Briefkasten, dass der Schornsteinfeger kommen wolle, um den Kamin zu kehren. Das ist bei uns jetzt natürlich völliger Blödsinn. Daher riefen wir den Herrn an und erinnerten an die neue Anlage und daran, dass sie lediglich noch abgenommen werden müsse. Alles klar, er wisse Bescheid.

Heute früh stand also ein Kehr-Geselle in der Tür und hatte das übliche Reinigungsgerät dabei. Er hatte nur das Kehrgerät dabei und machte ein ziemlich blödes Gesicht als er unsere neue Anlage sah. Die Abgasmessung und Abnahme müsse der Meister selber machen. Und so zog er wieder von dannen.

Würde der Betrieb seine Kundeneinsätze mit einer gescheiten Software organisieren, dann wäre ihm der peinliche Gang wohl erspart geblieben. Und ich hätte an dem freien Tag länger schlafen können…

Seitdem ich dem Rat auf Heise.de folgte und den Adobes Flash Player deinstallierte, sehe ich manche Dinge anders.
Hintergrund ist, dass die kürzlich bekannt gewordene Schwachstelle im Adobes Flash Player bereits aktiv von Webseiten genutzt wird, um friedliebenden Besuchern Trojaner unter zu schieben. Deswegen sehen einige Webseiten bei mir plötzlich nicht mehr knallbunt aus, sondern leer…

Gestern diskutierten wir anlässlich der Nachfrage eines Kunden, ob und wie sich Kunden vor dem unbefugten Zugriff von Administratoren schützen müssen. Tatsache ist, dass so ein Admin unter Windows immer alles darf: er kann sich mit vertretbarem Aufwand zu fast allem Zugang verschaffen. Und wen nicht, dann kann er seinen Pflichten als Admin nicht nachkommen, das sind neben Sicherung und selektiver Rücksicherung auch Datenreparaturen.

Daraus ergeben sich folgende Risiken:

• Der Administrator oder jede andere Person mit entsprechenden Rechten kann die umfassenden Berechtigungen für unlautere bzw. datenschutzrechtlich bedenkliche Zugriffe und Manipulationen der Programme oder Daten nutzen.
• Fehler des Administrators können weitreichende unerwünschte Konsequenzen haben.

Obiger Absatz ist aus dem Aufsatz "Systemverwaltung – Orientierungshilfe und Checkliste" vom Landesbeauftragten für den Datenschutz Niedersachsen. Darin wird beschrieben, dass die Protokollierung das Mittel der Wahl ist.

Die engste – mir bekannte – Auslegung der Problematik, dass ein Admin immer alles darf, wird in dem Aufsatz "Eigen-, Fern-, Fremd- und RZ-Administration von IT-Systemen" von Uwe Jürgens (2002) aus Sicht des Landeszentrums für Datenschutz (Kiel) beschrieben. Die genannten, organisatorischen Maßnahmen dürfte mittlere oder kleinere Firmen/Büros deulich überfordern: generelles 4-Augen-Prinzip zum Schutz des Admin (gegen Unterstellungen) und der Daten.

Die Protokollierung kann aber eigentlich auch nur auf "Treu und Glauben" basieren, den jede technische Protokollierung kann ein Admin Ausschalten. Konkret heißt das doch: Im Minimalfall muss ein Admin per Vertrag zur Einhaltung des Bundesdatenschutzgesetztes verpflichtet werden. Alle lesenden und ändernden Datenzugriffe muss der Admin protokollieren. Bei potentiell "riskanten" Manövern holt er sich besser einen Zeugen an den Rechner.

Wenn man in Artikel "Six hours to hack the FBI (and other pen-testing adventures)" liest, wie sich ein Sicherheitsexperte über das Internet mittels altbekannter Techniken bis ganz tief rein ins FBI-Netz hackte, dann kann ich das fast nicht glauben. Mein Rechner ist zwar auch nicht so richtig abgesichert, aber ich habe ja auch keinen hauptamtlichen Admin angestellt…

Goggans used a hole in the Web server to pull down usernames and passwords that were reused on a host of enterprise systems. In those systems, he found further account details that allowed him to get Windows domain administrator privileges – a classic escalation-of-privileges attack.

Das ging ja fast wie im Lehrbuch. Kaum zu glauben.

Als ich heute versuchte den Patch von HP auf meinem Windows-XP zu installieren, hatte ich eine Erfahrung der besonderen Art. Ich vermute, dass sich der Patch nicht installieren ließ, weil irgendwelche Voraussetzungen nicht passten, aber wer weiß…

Nach den englisch-sprachigen Lizenzbestimmungen kam diese Meldung, die ich mit "Ja" bestätigte. Sie kommt mir spanisch vor – man beachte aber die englische Überschrift und die deutschen Ja/Nein-Knöpfe.

Das war offenbar richtig, denn es ging weiter mit:

Aber so richtig klappte es dann doch nicht:

Alles klar?

Letztes Jahr informierte mich die LVM-Versicherung, dass mein langjähriger Kundenbetreuer in den Ruhestand gegangen sei. Langjährig stimmt, denn den hätte ich noch aus der Schul- und Studienzeit, also seit über 20 Jahren. Er saß dementsprechend in NRW – genauer im idyllischen Wipperfürth. Man wolle mich informieren, wenn man einen Neuen gefunden habe, bis dahin solle ich mich an einen seiner Kollegen dort wenden. Das hatte ich schon ganz vergessen.

Heute kam ein Brief: Sie haben einen neuen Betreuer für mich. Ich bin schwer beeindruckt, dass sie so lange und intensiv suchten, um einen Kundenbetreuer in meiner Nähe zu finden. Aber irgendwann haben sie wohl aufgegeben: der Neue ist auch im 400km entfernten Wipperfürth… :-))

PS: Das ist nicht wirklich schlimm, immerhin kommt der nicht mal schnell vorbei und will mir die neuesten Produkte präsentieren… 😉

Das eine Studie derart vorsätzlich gefälscht wird, wie im Artikel "Studien über Handystrahlung gefälscht?" beschrieben, das ist sicher die Ausnahme.

Die Studienergebnisse hatten die Zweifel anderer Forschergruppen geweckt. Eine vom Universitätsrektor Wolfgang Schütz daraufhin in Auftrag gegebene statistische Begutachtung bestärkte den Verdacht. Eine Mitarbeiterin, die an beiden Studien mitwirkt hatte, gestand daraufhin, die Untersuchungsergebnisse manipuliert zu haben, und kündigte ihre Arbeitsstelle.

Meiner Studien-Erfahrungen mit den statistischen Kenntnissen von Medizinern war allerdings sehr erschütternd. Die waren noch schlechter als ich in den Sprachen – und das will was heißen!

Als mir ein Freund das Buch "Der Hund der Eier legt" empfahl, war ich aber dann doch sprachlos. Hier beschreiben die Autoren an konkreten Beispielen was man bei Studien und Statistiken alles falsch machen kann (und wie es richtig gewesen wäre). Super-lesenswert für alle, die ab und zu mal Statistiken lesen oder erstellen…

Weil mich jetzt innerhalb kurzer Zeit mehrere darauf ansprachen, poste ich hier mal den Link unter dem Microsoft sagt, welche SQL-Server-Versionen unter Windows Vista laufen. Im Artikel "Running SQL Server on "Microsoft Windows Server Longhorn" or Microsoft Windows Vista" schreibt Microsoft:

In an effort to provide customers with more secure products, Microsoft Windows Server "Longhorn" and Microsoft Windows Vista are supported by SQL Server 2005 [..]. Earlier versions of SQL Server, including SQL Server 2000 (all editions including Desktop Engine edition, a.k.a MSDE), SQL Server 7.0, and SQL Server 6.5, will not be supported on Windows Server "Longhorn" or Windows Vista.

Also muss man wenigstens SQL-Server-2005 haben, wenn die Kunden Vista einsetzen wollen. In den Download-Informationen der MSDE steht es auch noch mal explizit drin:

Wichtiger Hinweis Microsoft SQL Server Desktop Engine (MSDE) wird auf dem Betriebssystem Microsoft Vista nicht unterstützt.

Tja. Das hat natürlich den Absatz des SQL-Servers-2005 enorm angekurbelt.

Ermutigt durch Christoph schickt ich eine Beschreibung des Problems mit den nicht-deterministischen Funktionen an Craig Freedman (zum Glück privat, sonst wäre meine Mail vermutlich nie angekommen). Er antwortete sehr prompt und schrieb mir, dass er das Problem dem für den Teil zuständigen Entwickler gezeigt habe. Hier die Antwort des Entwicklers, die Craig mir weiterleitete:

In general, SQL Server does not guarantee the timing of execution of scalar operators. For non-deterministic scalars (built-in and user-defined), that means the timing semantics (number of times executed and when) is not defined. In addition, it may change from one plan to another, or from one release to the next.

Er selber fügte noch als persönlichen Kommentar an, dass er die Lösung mittels temporärer Tabelle favorisiere:

Unfortunately, I am not aware of (and was unable to identify) a better workaround than simply storing the GUIDs in a temp table before joining with the original table.

Er schlug auch vor, dass ich das Kundenfeedback unter http://connect.microsoft.com melde, obwohl ich da möglicherweise die gleiche Antwort bekomme. Ich stimme ihm in all diesen Punkten zu. Es lohnt sich sicher das dort einzukippen, weil es dann mal in einem Forum öffentlich diskutiert wird. Mal sehen, ob ich morgen dazu komme…

Cool! Jetzt hat es uns auch mal erwischt. Als ich heute eine dienstliche Mail an Microsoft schickte, kam von unserem Mail-Server die Antwort, dass meine Mail vom Zielserver abgewiesen worden sei. Das kannte ich noch nicht (die IP-Adresse habe ich entfernt):

Remote-MTA: dns; mailc.microsoft.com
Diagnostic-Code: smtp; 550 5.7.1 External client with IP address xxx does not have permissions to submit to this server. Visit http://support.microsoft.com/kb/928123 for more information.

Unter dem angegebenen KB-Artikel 928123 steht folgende Problembeschreibung:

CAUSE
Exchange Server 2007 provides an IP address-blocking feature that is based on the sender's reputation. The issue that is described in the "Symptoms" section occurs if your mail server's IP address is included on the IP Block list of the Edge server for the receiving Exchange 2007 organization.

Leider wird nicht klar auf welcher IP-Block-Liste wir stehen. Aber zum Glück haben wir engagierte Admins, die sich um solche Probleme kümmern. Ich bin mal gespannt, wann Microsoft wieder Mails von uns bekommen kann…

Neulich schrieb ich doch, dass die Raucherkabinen abgebaut werden. Derzeit wird aber immer noch der Innenhof vorbereitet, um Platz für den Raucherunterstand zu schaffen. Aber ein paar der Kollegen mit Zimmer zum Hof bekamen schon mal einen Ausblick auf die Zukunft. Mein Kollege Horst erzählt mir wie er beobachtete, dass einer unserer Werkschützer zu den Plattenlegern im Hof ging und sie bat nicht mehr zu rauchen, weil sich jemand mit Zimmer zum Hof dadurch belästigt fühlte.
Wie soll das erst werden, wenn der Hof fertig ist und dann alle Raucher da hin gehen müssen? 😉

Damals als man sich noch kannte, da wusste der Krämer ganz genau welcher Kunde welche Vorlieben hatte. Er konnte ganz gezielt den Kunden neue Waren anbieten und welche neuen Produkte sein Sortiment gut erweitern würden. Das ist heute anders. In den Zeiten der Supermärkte, weiß man nur was die Kunden kaufen. Aber nicht was sie besonders lange angesehen haben und was sie gerne gekauft hätten, aber nicht auf Lager war.

Im Artikel "Handys machen Kunden sichtbar" auf Heise-Online wird beschrieben, wie eine Supermarktkette versucht an diese Daten ranzukommen: Man zeichnet die Handy-Daten der Kunden auf.

Dabei werten die Betreiber offenbar grundlegende Informationen wie die IMSI-Kennung und damit etwa auch die Provider-Anbindungen der Telefonbesitzer aus, um zu erkennen, welche Peilungen sich auf dasselbe Gerät beziehen. Erklärter Zweck der Übung ist die Ermittlung von Bewegungsprofilen, einerseits um festzustellen, wie oft ein Kunde im Laufe von Wochen und Monaten in bestimmten Läden auftaucht, andererseits anscheinend auch, um seine Bewegungen innerhalb eines Ladens auf wenige Meter genau nachzuvollziehen.

Offenbar hat niemand etwas dagegen, dass er auf diese Weise durchgeleuchtet wird. Warum auch – man hat ja nichts zu verbergen. Eigentlich muss der Supermarkt nur noch durch einen Trick die Handynummern einen Namen zuordnen und dann können die Bewegungsprofile mit den tatsächlich gekauften Waren (die Daten werden an der Kasse erfasst – mit Karte bezahlen ist ja die Regel) abgeglichen werden.

Ich bin mal gespannt wie lange es dauert bis hier die erste Datenpanne auftritt und die Daten geklaut werden. Oder von der Polizei angefordert werden, um uns vor Terroristen zu schützen. 😉