kunde kommt zu besucht - welche infos nicht rausgeben

[marzli2 10]

hi,

 

im kampf mit gl habe ich jetzt wieder ein altes thema aufgegriffen.

 

szenario. potentieller kunde schickt einen "it fachmann", der guckt, wie es um unsere it steht. später sollen einmal daten übernommen werden, die dann auf formulare gedruckt werden.

 

nur wo sind die grenzen der information.

z.b.

 

firewall - info über technologie (mehrstufig) ok, aber hersteller etc. finde ich zu krass

serverraum - würde ich nicht unbedingt zeiten.

info über server, die daten handeln - technologie ok, einblicke nicht

was, wenn irgendwelche protokolle oder dokumente über vorgehensweisen gesehen werden wollen

 

was aber, wenn er was sehen will, statt nur geschwafel. ist für mich schon fast sowas wie ein social engineering angriff. was meint ihr. ich persönlich würde nein sagen, egal ob kunde oder nicht.

[dippas 10]

Naja, das kommt wohl stark darauf an, welche Art Geschäfte man machen möchte und mit welchem Kunden.

 

Gehen wir mal davon aus, es ist nicht VW o.ä., die bestimmte Anforderungen an die IT der Lieferanten nachweislich erfüllt haben wollen.

 

Wenn es also ein "normaler" Kunde ist:

Was hat den überhaupt deine IT anzugehen? Ich würde dem höchstens einige PP-Folien mit der logischen Netzwerkstruktur zeigen und das war´s. Keine Hersteller, keine Konfigurationen. Wie es um eure IT steht hat den nichts anzugehen (meine Meinung).

 

Deinen Einwand bezüglich social engineering teile ich, weshalb ich ihm auch nichts zeigen würde.

 

Wenn ihr einen Datenaustausch haben wollt, dann gibt ihm ein paar Testdaten mit, mit denen er bei sich arbeiten kann.

 

grüße

 

dippas

[marzli2 10]

der kunde stellt uns gewisse (nicht wirklich relevante diesem fall) daten zur verfügung, die wir verarbeiten und zum schluss kommt n schriftstück raus. daher verstehe ich schon das interesse an einer info, aber das wars auch.

nochmal kurz zusammengefasst.

 

hoffe auf viele beiträge

[dippas 10]

Es geht lediglich darum, dass ihr mit gelieferten Daten einen Serienbrief macht (vereinfacht ausgedrückt)?

 

Da habe ich noch weniger Verständnis für das Interesse an einer Info. Ich würde sogar sagen, dann geht den die IT erst recht nichts an.

 

Es sei denn, er will Informationen sammeln um diesen Auftrag das nächste mal selbst ausführen zu können.

 

grüße

 

dippas

[marzli2 10]

na nur serienbrief ists nicht. sind schon auch dementsprechende personendaten... jedoch nur adressen.

[mcse_killer76 10]

Meiner Meinung nach sind allgemeine Informationen ok. Ich denke, dass sich der Kunde in dem Fall ein genaueres Bild der Sicherheitsmechanismen machen möchte, da er Angst um die Daten hat (bzw. vor Angriffen zur Datenerlangung).

Da würde ich ihm wie bereits schon gesagt ein paar schöne Präsentationsfolien zeigen, auf denen die Sicherheitsstruktur aufgezeigt ist, mehr jedoch nicht!

Informationen über HW-Hersteller der Router bzw. über Firewalleinstellungen etc. gehen den Kunden rein gar nichts an! Wozu auch? Entweder er vertraut in die Sicherheit eueres Netzwerks und wird Kunde oder er hat Bedenken und läßt es eben.

 

Zudem: der grad an Informationen sollte IN JEDEM FALL mit der GL abgesprochen und dokumentiert sein! Und: geht die GL zu lacks damit um (erlaubt z.B. alle möglichen Einblicke) würde ich in jedem Fall die entsprechenden Bedenken zu Protokoll geben! Denn DU bist der Fachmann!

Zu eventuellen rechtlichen Konsequenzen können/dürfen wir keine Komentare geben!

[Trommeltier24 10]

Ich denke mal ein potenzieller Kunde würde gerne wissen, ob die Server IPsec sprechen können/können sollten, wenn darauf personenbezogene Daten gespeichert sind. Und vielleicht wie die Backupstrategie dafür aussieht inklusive recovery und wie schnell das gehen würde (und ob die Daten überhaupt gebackupt werden ;)), und wer Zugriff auf die Daten hat. Sowas würde ich in groben Zügen in eine ppt packen. Natürlich nicht zu sehr ins Detail und aber auch nicht zu oberflächlich. Beispiel: also nicht "backup können wir auch", sondern "Ihre Daten werden 1 mal Tag gesichert und das Band bleibt 30 Tage verfügbar und wird ausserhäusig im Tresor gelagert".

[mcse_killer76 10]

Genau so. Oder z.B. ob die Daten verschlüsselt gespeichert werden und vielleicht noch mit welcher Schlussellänge. Welches Produkt ihr dann genau einsetzt und mit welchen Optionen kann dem Kunden Wurst sein...

[traced82 10]

wenige Informationen gut verpacken bzw. präsentieren würd ich sagen

[Trommeltier24 10]

Und vielleicht interessiert den Kunden auch, ob Ihr irgendeine form von Qualitätsmanagement habt oder andere Controls. SixSigma, Sox, ITIL, iso 9001..... sowas halt.

 

Und im Serverraum... hat eigentlich ein Kunde nix zu suchen. Ist auch meine Meinung. Wenn er wirklich sehen will, ob das stimmt, was Du ihm erzählst, binde vielleicht noch Fotos vom Serverraum in die Präsi ein, kreise den Server ein und weise vielleicht noch auf Klima und Brandschutz hin. Wenn er sich von der Technik auf dem Server überzeugen will... einfach vom Präsilaptop eine Remotesession auf den Fileserver und Zugriffsberechtigung zeigen und vielleicht IPsec Einstellung. Ein kurzer Blick in den Serverraum wäre auch noch OK, aber nicht direkt reingehen und haarklein zeigen.

[traced82 10]

Die Frage ist, weiss man ungefähr was der Kunde so erwartet?

[H5N1 10]

Der Kunde wird wohl nur ein Interesse daran haben, zu wissen wie sicher seine Daten bei euch sind.

Die dafür notwendigen Informationen würde ich ihm auch in vollem Umfang zur Verfügung stellen. Allerdings immer unter dem Gesichtspunkt "Savety first!".

Der IT-Fachmann der zu euch kommt sollte dafür auch vollstes Verständnis aufbringen. Wenn nicht ist eh was faul. Denn er ist auch Fachmann und sollte wissen, daß er bestimmte Infos eben nicht haben kann.

 

Stell dir doch mal vor, du hast diese Aufgabe und bekommst so mir nichts dir nichts alle möglichen Konfigs hingelegt. Also ich würde zu dem Schluß kommen, daß meine Daten dort eben nicht sicher sind.

[lefg 276]

@Marzli2

 

bist du Entscheider?