Ausgangslage:

Die Firma, für die ich in der IT Abteilung arbeite, hat ein sogenanntes erhöhtes Sicherheitsbedürfnis.
Aus diesem Grund wurde ein zentrales Leitsystem für alle möglichen Warnungen gekauft.
Dieses sammelt alle möglichen Informationen von Kameras, Türmeldern und sonstigen Sensoren ein,
verarbeitet sie und leitet sie gegebenenfalls an den Sicherheitsdienst weiter.
Da das so toll funktionierte und das System eine SMTP-Schnittstelle hat wurde beschlossen auch die IT (sprich: mein Nagios)
an das Sicherheitssystem anzubinden.
Wer/wann/wie benachrichtigt wird, lässt sich sehr genau einstellen.
Hat z.B. einer der Server ein ernstes Problem, bekomme ich eine SMS mit einer kurzen Fehlerbeschreibung
während bei einem Drucker mit leerem Papierfach lediglich unser Azubi eine Mail geschickt wird.

Mein Urlaub:

Nun war ich mit meiner Angetrauten für zwei Wochen in Algerien im Urlaub.
Plötzlich kommt eine der besagten SMS von unserem Sicherheitssystem.
Eigentlich immer ein Grund zur Sorge, die Meldung „Türsensor Gebäude … Kurzalarm P2“ hatte aber irgendwie so gar nichts
mit meinen schnurrenden Kästen zu tun (Nein, die Tür ist nicht mal in der Nähe der Server).

Da mein Arbeitgeber über ein relativ großes Firmengelände verfügt und da immer wieder irgendein Sensor anschlägt,
dauerte es nicht lange bis zur nächsten SMS.
Dann das beste: um sicher zu gehen, dass ich die Meldungen bekomme, hätte ich auf jede SMS antworten müssen.
Da ich das nicht tat, bekam ich alle SMS nach einer gewissen Zeit nochmal zugeschickt.
Das ganze ins Ausland mit entsprechenden Gebühren für mich.

In knapp zwei Stunden kamen dann gut 50 Nachrichten an.
Ein Anruf in der Firma ergab „Probleme mit der Benachrichtigungssystem ... keine Ahnung … einfach die SMS ignorieren.
Handy ausmachen ging leider nicht. Gute zwei Tage später ließ die Flut an Meldungen dann nach.
Waren auch nur lächerliche 2700 Stück (Deren Abruf dann mehrfach mein Handy zum Abschmieren gebracht hat).

Der Grund:

Ein neuer Manager war im Benachrichtigungssystem falsch eingetragen worden.
Daraufhin erhielt er einige Nachrichten, die für ihn uninteressant waren.
Das Problem war schnell behoben, aber er wollte danach unbedingt einen Zugang zum Konfigurationsinterface haben.

Jetzt frag ich mich wer der größere DAU ist:

Der Typ, der ihm den Zugang eingerichtet hat.
Der Designer, der im Interface die Nachricht „Sicherheitswarnung: nicht alle Nutzer erhalten alle Sicherheitsrelevanten Nachrichten“
anzeigen lässt, verbunden mit einem „Hier klicken um das Problem zu lösen“.
Dazu dann noch einen weiteren Knopf der allen alles zustellt.

Der Manager der auf diesen Knopf drückt.
Der Manager, der im Büro damit prahlt, den Knopf gedrückt zu haben.
Der Manager der, nachdem er den Knopf drückt sicherheitshalber das Zugangspasswort ändert und dann nach Hause fährt.
Der Idiot, der nur einen Konfigurationsaccount angelegt hat mit nur einem Passwort, der nach der Passwortänderung für alle
anderen nicht mehr nutzbar war (natürlich wären mehrere Accounts gegangen)
Der Manager, der das neue Passwort zwar zweimal eingegeben, aber trotzdem vergessen hatte.

Insgesamt wurde an diesen denkwürdigen Tagen rund 700.000 SMS verschickt,
teilweise auch an ehemalige Mitarbeiter und Praktikanten.
Dass es nicht mehr waren lag wohl nur an unserem Provider, der hat nämlich irgendwann die SMS Weiterleitung gedrosselt.
Wie viel sicherheitsrelevante Information raus gegangen ist wird überprüft.
Ich habe eine nette Gutschrift bekommen für die angefallenen Roaming Gebühren.

Den neuen Manager hat man vor die Tür gesetzt.

Quelle: daujones.com