"Die Deko-Firewall oder "die Firewall auf der Ersatzbank"
Nachdem wir den IT-Support bei einem Neukunden übernommen haben, sind wir bei der ersten Sichtung des Netzwerkes auch an der Firewall vorbeigekommen:
Hochwertige, namhafte Firewall, welche von einem IT-Dienstleister über eine VM auf dem Hauptserver bereitgestellt wurde. Von daher erstmal in Ordnung…
Eine detaillierte Prüfung im Anschluss ergab dann allerdings folgende Punkte:
– der eingehende Netzwerkverkehr läuft nicht durch die Firewall
– der ausgehende Netzwerverkehr läuft ebenfalls nicht durch die Firewall
– das Kennwort des Admin-Accounts ist dem vorherigen Dienstleister nicht mehr bekannt und es gab diesbezüglich keinerlei Dokumentationen
Für den Kunden bedeutet dies, das er Lizenzen erworben und Dienstleistung zur Einrichtung der Firewall bezahlt hat, diese aber in der Folge überhaupt nicht am Netzwerk teilgenommen hat und somit nur zur Deko existierte. Ungefähr so, als wenn man eine Hardware-Firewall gekauft, diese dann aber im Karton gelassen hat… Da dem Kunden die „Administrator“-Daten des Netzwerkes bekannt sind, hält sich der Dienstleister natürlich schadlos, da somit die einzelnen Schritte und Konfigurationen von diesem Account keinen Personen zugeordnet werden können und die Schuldfrage somit praktisch unbeantwortet bleibt…
Was lernen wir daraus?
– Dienstleister sollten eigenen Benutzeraccounts bekommen und nicht den „Administrator“ oder andere, allgemeine Accounts nutzen können!
– IT Infrastruktur muss dokumentiert werden!
– IT / EDV ist Vertrauenssache und ein kleiner Fehler kann große Auswirkungen haben!
P.S. Der Kunde hat natürlich mittlerweile eine gut dokumentierte Firewall, durch welche sämtlicher Netzwerkverkehr läuft und gesteuert wird.