Oft schon hab ich's runter geschluckt, aber jetzt muss es raus... Eigentlich mag ich
Mummert Consulting ja. Aberihr Pressenewsletter ist in meinem Augen grober Unfug, was die Form angeht – der Inhalt ist meist vorzüglich.
Kurzfassung: Man kann ganz, ganz einfach (praktisch) alle Mailadressen, die im Mummert Pressenewsletter eingetragen sind, auslesen. Hinweise auf Datenschutz –auch Mummerts eigene
Datenschutzhinweise– etc. spar' ich mir. Doch der Reihe nach, als nette Geschichte:
Die vorletzte Presseinfo, die ich aus dem Haus bekam, nach der Rückkehr aus dem Urlaub soeben gelesen, hat die Überschrift:
„Presseinfo: Ahnungslose Mitarbeiter gefährden die IT-Sicherheit“
Darin auch folgende Passagen:
„Die eigenen Mitarbeiter sind ein großes Risiko für die IT-Sicherheit. Versehentliche Fehler der Angestellten gefährden zunehmend die Informationssicherheit in deutschen Unternehmen. Nur drei von fünf Beschäftigten, so die Einschätzung von IT-Verantwortlichen, wissen, wie sie sicher mit ihren Daten umgehen.“
und
„Häufig können Externe auf vertrauliche Daten oder interne Systeme zugreifen, weil Firmenangestellte nachlässig mit Sicherheitsvorkehrungen umgehen oder diese nicht kennen.“
Beides trifft auf Mummert selbst zu.
Problem 1
Sicherheitsthemen wie diese beackert die Agentur
oft und gern, aber natürlich auch
viele weitere interessante Themen. Fazit: Die packen mir interessante Infos in die Inbox, mit denen ich aber nicht immer was anfangen kann. Aber ein Kollege, ein Freund vielleicht? Arbeitet der nicht gerade an dem Thema?
Was macht man mit einer Mail, die einen anderen interessiert, womöglich gar von nutzen ist? Richtig, man leitet sie weiter - wenn es sich nicht um Mummert-Mails handelt. Mummert schreibt nämlich folgendes in die Mail:
„Unter dieser Internetadresse können Sie Ihr Profil editieren oder löschen: HIERSTEHTDIEURL
Ihr Passwort lautet: JAWIRKLICHDASTEHTMEINPASSWORT“
Problematisch deshalb, da praktisch kein User für jeden Dienst ein neues Passwort nutzt. Also verschicke ich ggf. gleich mein Passwort für den Firmenrechner an einen Kollegen, wenn ich mir um IT-Sicherheit keine Gedanken mache. Mummert dazu in der Pressemitteilung:
„ Nur drei von fünf Beschäftigten, so die Einschätzung von IT-Verantwortlichen, wissen, wie sie sicher mit ihren Daten umgehen.“
Problem 2
Doch damit nicht genug. Unter HIERSTEHTDIEURL steht natürlich die URL. Klicke ich die an, lande ich auf einer Seite, die freundlicherweise gleich in der Eingabemaske meine Mailadresse zeigt.
Sie beinhaltet einen Parameter e=ZAHL. Verändere ich die Zahl, konnten nacheinander alle Mailadressen ausgelesen werden. Ein kleines Script und husch – alle Mailadressen des Mummert-Presseverteilers ... Nachdem ich Mummert am Dienstag gebeten habe, das wg. der Veröffentlichung am heutigen Donnerstag abzustellen, haben sie es freundlicherweise getan.
Nichtsdestotrotz:
„Presseinfo: Ahnungslose Mitarbeiter gefährdeten die IT-Sicherheit bei Mummert“
Vielleicht sollte Mummert mal die eigenen Experten vorbeugened auf die eigene Website schicken, auf der wie folgt geworben wird:
„Mummert Consulting verfügt über langjährige Erfahrung im Umfeld der IT-Sicherheit. Im Rahmen unserer Aufträge erstellen wir Konzepte, führen Sicherheitsanalysen oder Audits durch und realisieren die Anforderungen.“
Übrigens
Ganz neu und toll ist das ja nicht, was ich hier schreibe. Folgende nicht ganz nette Mail von mir zu Problem1 ging am 02.09.Zweitausendundzwei als Antwort auf "Betreff: Presseinfo: Grosse IT-Sicherheitsluecken in deutschen Unternehmen" an Mummert:
„
[...]
bitte leiten Sie die Mail an die betreffende Stelle in Ihrem Unternehmen weiter.
Soeben habe ich die Pressemitteilung bis zur allerletzten Zeile durchgelesen - und sofort fiel mir eine Überschrift für einen Artikel dazu ein:
Mummert + Partner gefährdet IT-Sicherheit in Firmen
Geärgert habe ich mich auch ziemlich, am meisten über mich selbst. Kurzer Blick in die archivierten Pressemitteilungen: Anscheinend schicken Sie seit dem 30.07. unter jedem Mailing das Passwort, mit dem sich der User bei Ihnen angemeldet hat, mit.
Einen derart laxen Umgang mit Passwörtern halte ich für sehr bedenklich. Sie ist mir bisher -aus gutem Grund wohl- auch noch nicht untergekommen. Außerdem kann ich mich an keinen Hinweis erinnern, dass Sie ab ... Ihre Praxis umstellen und Passwörter im Klartext durch die Gegend schicken.
Mich ärgert, dass mir das nicht früher aufgefallen ist, das ist meine Schuld. Ich hoffe, dass ich die Mail niemand weitergeleitet oder an niemand einen Ausdruck weitergegeben habe. Vielleicht haben Sie ja Erhebungen darüber, wieviele verschiedene Passwörter sich ein durchschnittlicher User merken kann - die Zahl ist jedenfalls definitv kleiner als die Zahl der Accounts, die man - gezwungenermaßen - einrichtet. Also darf man getrost davon ausgehen, dass das Passwort, das bei Mummert angegeben wurde, auch woanders verwendet wird - ist bei mir so, bei vielen anderen sicher auch, bei Ihnen vielleicht.
Deshalb halte ich es für unverantwortlich, dass Mummert + Partner das Passwort mitschickt, weil es eben nicht nur dazu dienen kann, in den Mummert-Account zu kommen. Bitte überdenken Sie ihre Praxis. Statt des Versendens des Passworts unter jeder Mail könnten Sie auf Ihrere Einlog-Seite eine Funktion anbieten, die ein neues Passwort generiert und an den User schickt, der seines vergessen hat.
mit freundlichen Grüßen
Christoph Maier“