Editorial: Negatives Testergebnis zum Zweiten

Editorial

Erst in der Mai-Ausgabe diesen Jahres haben wir an dieser Stelle den Nutzwert eines von uns angestoßenen Tests diskutiert. Doch während sich damals unsere Redaktion ankreiden lassen musste, ein veraltetes Produkt ausgesucht zu haben, war unser Testautor diesmal mit einer Sicherheitslücke konfrontiert. Um es mit seinen eigenen Worten zu sagen "So etwas ist mir in 20 Jahren in der IT noch nie untergekommen!"
Was war geschehen? Für die letzten Züge seines Tests des ITmanager.net-Werkzeugs hatte Autor Christian Knermann sein AWS-Konto über die zur Software gehörende App aufrufen wollen, um dort noch einmal einige Details zu überprüfen. Dazu hatte er sich zuvor bereits mit den notwendigen Credentials eingeloggt, diese aber nicht in der App hinterlegt. Beim erneuten Aufruf der Anwendung hätte diese ihn also eigentlich erneut nach seinen Zugangsdaten fragen sollen. Dies geschah jedoch nicht, vielmehr fand sich Herr Knermann unvermittelt im AWS-Account einer anderen Firma wieder. Dort hatte er Zugriff auf allerlei Daten, was ihn sofort in Alarmbereitschaft versetzte und veranlasste, sowohl den Hersteller als auch den Besitzer des besagten AWS-Kontos zu informieren.

Da der Hersteller nicht unmittelbar reagierte, nahm Herr Knermann sein Telefon zur Hand und kontaktierte den Inhaber des AWS-Accounts in Nordamerika. Nachdem ihm gelang, den dortigen IT-Leiter davon zu überzeugen, dass sein Anruf kein Social-Engineering-Angriff darstellt, bestätigte er unserem Tester nicht ohne Erschrecken, dass es sich in der Tat um den AWS-Account seiner Firma handelte.

Somit konnten wir bestätigen, dass es einen schweren Bug innerhalb der ITmanager.net-Software gab. Ein Bug, der gewiss viele IT-Verantwortliche dazu veranlasst, Abstand von dieser Software zu nehmen. Gleichzeitig stand in der Redaktion zur Diskussion, ob wir auch diesen Test nicht ins Heft nehmen sollen – welchen Mehrwert hätte ein durchaus nützliches Tool, das mit so einem Fehler daherkommt? Andererseits versicherte uns der Autor, dass das Entwicklerunternehmen ihn während des Tests mit vorbildlichem Support versehen hätte und das die Sicherheitslücke in kürzester Zeit geschlossen wurde. So fand der Test, den Sie ab Seite 19 lesen können, letztendlich seinen Weg ins Heft. Welche Schlüsse Sie aus diesen Daten für sich ziehen, bleibt – wie so oft im Monitoring, dem Schwerpunkt dieser Ausgabe – Ihnen überlassen.

Viele nützliche Einsichten beim Lesen wünscht

John Pardey
Chefredakteur
August 2021 / John Pardey
[Rubrik: Editorial]

Den vollständigen Beitrag finden Sie in der Ausgabe August 2021 des IT-Administrator von Seite 3 bis 3.

Einzelne Ausgaben des IT-Administrators können Sie in unserem Online-Kiosk als Print- oder E-Paper-Exemplar bestellen. Ein Schnupperabo mit 6 Ausgaben zu 50% Rabatt – mit Lieferung ab der aktuellen Ausgabe – erhalten Sie im Aboshop.