Sensoren und Datenschutz: Heimlich ausgelesene E-Mailadresse

In unserem Rechenzentrum und den Büroserverräumen nutzen wir verschiedene Sensoren zur Messung von z.T. Temperatur, Luftfeuchtigkeit und eventuellen Wasseraustritt. Diese sind über das Netzwerk angeschlossen und somit adressierbar. Bei den Geräten lassen sich diverse Systemdetails konfigurieren, also z.B. wo das Gerät steht, wie es heißt und welche E-Mail Adresse dafür „verantwortlich“ ist .

Die E-Mail Adressen die wir dafür verwenden sind durchgehend intern, wir geben die euch keinen externen Personen/Firmen, bekannt sind diese also nur einigen Mitarbeitern von uns. Umso überraschender war es als wir kürzlich eine Werbe-E-Mail des Herstellers erhalten waren, welche genau an unsere interne Adresse gesendet worden ist.

Daraufhin haben wir überlegt, woher der Hersteller diese Adresse kennen könnte. Wir sind aber auch danach noch 100% sicher, dass wir diese weder dem Lieferant noch dem Hersteller gegeben haben. Wenn wir mit diesen kommunizieren, dann über unsere persönlichen Adressen. Somit bleibt eigentlich nur die Möglichkeit, dass die Geräte die Daten selbst an den Hersteller übertragen haben.

Von den fünf Geräten, die wir haben, hatten bis vor Kurzem noch zwei die Möglichkeit auch nach extern zu kommunizieren (also außerhalb unseres internen Netzes). Bei den anderen Geräten, die nicht nach außen kommunizieren können, sieht man im Logfiles Fehlermeldungen die einen weiteren Indiz für den unberechtigten Datentransfer darstellen: Die Geräte versuchen das Gateway des internen IP Netzes zu kontaktieren, was nur dann notwendig ist, wenn es externe Adressen erreichen möchte. Normalerweise hat das Sensorgerät aber gar keinen Grund das zu tun (wir fragen es nur ab, es meldet nicht selbst aktiv Messwerte irgendwohin). Diese Verbindungsversuche passieren alle 30-60 min.

Es ist fraglich was die Geräte noch so alles mit an den Hersteller übertragen (Sensorwerte, Zugangsdaten des Gerätes?), wir haben uns das bisher nicht genauer angeschaut (dafür müssten wir Netzwerkverkehr der Geräte mitschneiden). Als erste Maßnahme haben wir aber für alle der Geräte jegliche externe Kommunikation unterbunden. Den Hersteller und Lieferant haben wir auf die Thematik angesprochen, bisher aber noch keine Antwort erhalten. (mk)

End of article

DomainFactory

Über den Autor

DomainFactory

Als Qualitätsanbieter überzeugen wir mit HighEnd-Technologie und umfassenden Serviceleistungen. Mit mehr als 1,3 Millionen verwalteten Domainnamen gehören wir zu den größten Webhosting-Unternehmen im deutschsprachigen Raum.

6 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Odde23
    Odde23 - 20. November 2009 um 16:51 Uhr

    Das beunruhigt mich nun etwas, da ich bei einem Kunden zusammen mit der Herstellerfirma von Sensoren, gleicher Einsatzbereich, letzens ebenfalls Sensoren installiert habe. Da ich zugleich externer Datenschutzbeauftragter des Kunden bin, denke ich, dass ich hier nachhaken muß. Eine Frage von meiner Seite daher, der Name des Herstellers der Sensoren beginnt nicht zufällig mit T und endet mit o?

  • LeereDose
    LeereDose - 21. November 2009 um 13:12 Uhr

    Das gibt es eigentlich nur ein Mittel. – Geräte einpacken, zum Hersteller zurückschicken und ggf. noch für die entstandenen Mühen Schadenersatz verlangen.

    Ein Hersteller hat verflixt nochmal darüber Auskunft zu geben, wenn seine Geräte von sich aus irgendwohin kommunizieren möchten!

  • Odde23
    Odde23 - 21. November 2009 um 19:54 Uhr

    Sehe ich genau so. Raus mit dem Zeug. Sowas ist ein absoluter Vertrauensbruch. Das Selbe gilt auch für Software, die nachause telefoniert, ohne den Nutzer im Vorfeld umfassend darüber zu informieren.

  • Franken Stein
    Franken Stein - 24. November 2009 um 19:50 Uhr

    Hat sich der Hersteller inzwischen zu einer Stellungnahme herabgelassen, oder versucht er noch immer den Mantel des Schweigens als Kleidungsstück zu schneidern?

    Fände es doch sehr intressant wie das weitergeht.

  • Tobia Sara
    Tobia Sara - 25. November 2009 um 11:38 Uhr

    Odde23: Die Sensoren sind von einer anderen Firma.

    Frank Stein: Hier die Rückmeldung des zuständigen Abteilungsleiters: „Der Hersteller hat sich auf die Frage woher die unsere interne Mail Adresse haben gar nicht mehr geäußert. Der Lieferant wollte das mal mit den Geräten versuchen zu reproduzierne und auch nochmal den Hersteller darauf ansprechen. Allerdings hat der Lieferant die Vermutung das wir uns auf der Herstellerseite für ein Firmware Update angemeldet hätten, nur haben und würden wir dafür nicht die interene, spezielle Adresse verwenden.“