Seite wählen

2017-04-17-13-55 Mail Präsident

Von: Claudio Bertsch,
Datum: 22.04.17 13:55 (GMT+01:00)
An:Präsident
Cc: Geschäftsleitung, EDV Techniker, Alle Kommandanten des Landes, verbleibender Vorstand in Bludenz
Betreff: Zugriffe Webserver

Sehr geehrter Herr Präsident,
Lieber (Name des Präsidenten),

Ich habe seit mehreren Jahren Zugriff auf den Webserver (offiziell, da ich diesen brauche um das Dienstplantool zu verwalten)
Vor mehreren Monaten habe ich aufgezeigt dass am Webserver veraltete Sicherheitseinrichtung hat und somit unsicher ist.
(Die veraltete Software bekommt seit 2014 keine Sicherheitsupdates mehr)

Diese Meldung erging direkt an (Name des EDV Technikers), eine weitere Meldung an den Dirktor habe ich mir erspart, da jede Info über die EDV Abteilung immer abgewiesen wird, da es ständigt heißt, das sind die Fachleute, die müssen sich da auskennen. Des weiteren wollte ich niemand ankreiden oder gar auflaufen lassen.
Wenn unter EDV Leuten Sicherheitslücken aufgedeckt werden, sollten die aufgezeigt werden, damit das gegenüber die Möglichkeit hat diese zu schließen.

Das ist aber bis heute nicht passiert!!!!

Bei meiner Arbeit am Dienstplantool (freitag nachts) habe ich bemerkt dass mein Zugriffsrechte (die eigendlich auf das Dienstplantool eingeschränkt sein sollten) viel weiter gehen.
Im Regelfall, würde ich als Entwickler des Dienstplantools, einen Benutzername bekommen, der die Rechts auf das Verzeichnis des Dienstplans hat und sonst nichts…
Ich hatte aber bemerkt dass ich Zugriff auf alle Dateien am Server und somit auch auf die Dateien des Intranets.

Ich habe also seit mehreren Jahren einen Benutzer der Zugriff auf alle Dateien hat, dies habe ich aber erst am Freitagmorgen um 02:00 Uhr bemerkt.
Die neugier hat mich dann soweit gebracht, nachzuschauen was ich da so alles finde. (Wäre jedem EDV’ler gleich gegangen)
In meinem Zugriffsbereich (der mir vom LV zugeteilt wurde) hatte ich also nicht nur Zugriff auf den Dienstplan sondern auch auf das Intranet (welches eine Informationsplattform für die Mitarbeiter darstellt)

Dann habe ich in der Datenbank des Intranets einen neuen Benutzer angelegt und diesem Benutzer Adminrechte gegeben. (Somit konnte ich im Intranet alle Einträge bearbeiten, bzw. hätte ich Einträge bearbeiten können.

Diesen Schritt habe ich nicht gemacht!

Es war Freitag in Früh und ich musste mich wieder in die Firma begeben um zu arbeiten. Am Freitagabend fand die Verabschliedung von (Name des ehemaligen Dienststellenleiters) statt und ich war bis spät Nachts in (Einer Vorarlberger Ortschaft).
Im Anschluss bin ich nach 41 Stunden ohne Schlaf nur noch ins Bett gefallen. Ich bin Heute seit 08:30 in der Firma und arbeite wiederum…

Heute Nachmittag wollte ich das ganze im Detail aufbereiten und der EDV zur Verfügung stellen.
Da ich selbst in der EDV tätig bin, weiß ich dass man nicht alle Sicherheitslücken schließen kann, ich wollte auch niemand auflaufen lassen oder jemand schaden, es ging lediglich darauf zukünftig ein sichereres System zu haben!

Das ganze als Hacken zu bezeichnen sehe ich nicht ein. Hacken ist, wenn man sich mit Tricks und ausgeklügelten Verfahren zugriff zu einem geschlossenen System gibt. Ich habe lediglich mit meinen zugewiesenen Rechte ausgetestet was geht und wollte dies detailliert zur Verfügung stellen.

Es tut mir Leid dass ich das ganze nicht früher gemeldet habe, jedoch hatte ich am Freitag in der Früh nicht bedacht dass ich mich vor Samstagmittag dafür rechtfertigen muss. Das ganze nun rein juristisch anzusehen finde ich unfair. Jeder der mich kennt und dem meine aktuelle Position bekannt ist, weiß dass ich meinem Verein, meinem Lebensmittelpunkt nicht schaden möchte.

Ich kann euch garantieren dass ich keinerlei böswillige Hintergründe hatte, ich möchte euch auch zusichern dass ich, egal wie das ganze ausgeht, alle bekannten Informationen weitergeben werde, denn es war mir immer schon wichtig Sicherheitslücken aufzuzeigen, damit sie geschlossen werden können.

So wie ich (Name des GL) verstanden habe, bin ich ab sofort suspendiert. (Name des Kdt-Stv in Bludenz) ist mein Stellvertreter, ich bitte vorerst alle weiteren Punkte mit ihm zu besprechen.

LG Claudio