Editorial

Negatives Testergebnis zum Zweiten

Aus IT-Administrator 08/2021
Mitarbeiter wie auch die Unternehmensleitung setzen die Verfügbarkeit von IT-Diensten längst als selbstverständlich voraus. Ungeplante Ausfälle sind deshalb ... (mehr)

Erst in der Mai-Ausgabe diesen Jahres haben wir an dieser Stelle den Nutzwert eines von uns angestoßenen Tests diskutiert. Doch während sich damals unsere Redaktion ankreiden lassen musste, ein veraltetes Produkt ausgesucht zu haben, war unser Testautor diesmal mit einer Sicherheitslücke konfrontiert. Um es mit seinen eigenen Worten zu sagen "So etwas ist mir in 20 Jahren in der IT noch nie untergekommen!"

Was war geschehen? Für die letzten Züge seines Tests des ITmanager.net-Werkzeugs hatte Autor Christian Knermann sein AWS-Konto über die zur Software gehörende App aufrufen wollen, um dort noch einmal einige Details zu überprüfen. Dazu hatte er sich zuvor bereits mit den notwendigen Credentials eingeloggt, diese aber nicht in der App hinterlegt. Beim erneuten Aufruf der Anwendung hätte diese ihn also eigentlich erneut nach seinen Zugangsdaten fragen sollen. Dies geschah jedoch nicht, vielmehr fand sich Herr Knermann unvermittelt im AWS-Account einer anderen Firma wieder. Dort hatte er Zugriff auf allerlei Daten, was ihn sofort in Alarmbereitschaft versetzte und veranlasste, sowohl den Hersteller als auch den Besitzer des besagten AWS-Kontos zu informieren.

Da der Hersteller nicht unmittelbar reagierte, nahm Herr Knermann sein Telefon zur Hand und kontaktierte den Inhaber des AWS-Accounts in Nordamerika. Nachdem ihm gelang, den dortigen IT-Leiter davon zu überzeugen, dass sein Anruf kein Social-Engineering-Angriff darstellt, bestätigte er unserem Tester nicht ohne Erschrecken, dass es sich in der Tat um den AWS-Account seiner Firma handelte.

Somit konnten wir bestätigen, dass es einen schweren Bug innerhalb der ITmanager.net-Software gab. Ein Bug, der gewiss viele IT-Verantwortliche dazu veranlasst, Abstand von dieser Software zu nehmen. Gleichzeitig stand in der Redaktion zur Diskussion, ob wir auch diesen Test nicht ins Heft nehmen sollen – welchen Mehrwert hätte ein durchaus nützliches Tool, das mit so einem Fehler daherkommt? Andererseits versicherte uns der Autor, dass das Entwicklerunternehmen ihn während des Tests mit vorbildlichem Support versehen hätte und das die Sicherheitslücke in kürzester Zeit geschlossen wurde. So fand der Test, den Sie ab Seite 19 lesen können, letztendlich seinen Weg ins Heft. Welche Schlüsse Sie aus diesen Daten für sich ziehen, bleibt – wie so oft im Monitoring, dem Schwerpunkt dieser Ausgabe – Ihnen überlassen.

Viele nützliche Einsichten beim Lesen wünscht

John Pardey

Chefredakteur

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Editorial

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing