Da wir im Unternehmen fuer die Zukunft die ein oder andere Erweiterung fuer unser Netzwerk geplant haben, bin ich aktuell auf der Suche nach einem Dienstleiser fuer Security im Raum Koeln/Bonn. In diesem Zusammenhang kam unter anderem die Firma XYZ ins Gespraech, wo ich gefragt wurde, was ich denn von denen halten wuerde…
XYZ war vor einigen Monaten hier um die Sicherheit unserer Notebooks zu pruefen. Nachdem dort 1-2 Tage nach moeglichen Luecken geschaut wurde, habe ich zufaellig mit einem der zustaendigen Techniker telefoniert. Ich habe natuerlich auch nach dem Stand des Tests gefragt und war relativ ueberrascht, als man mir mitteilte, dass man bis dato noch keine Luecke gefunden habe. *Eigentlich* war ich davon ausgegangen, dass man zumindest, als lokal angemeldeter Standardbenutzer, seine Rechte entsprechend erweitern kann. Also habe ich mir nach dem Telefonat ein identisches Notebook besorgt, ein paar Minuten geschaut, eine moegliche Luecke gefunden (Eine fuer einen Dienst eingetragene EXE konnte von Standardbenutzer ueberschrieben werden), ein kleines Stueck C-Code geschrieben und war nach dem Neustart des Geraetes in der gluecklichen Situation Admin zu sein. Da es natuerlich etwas mehr hermacht, wenn der Tester die Luecke praesentiert, habe ich noch mal mit einem der Tester telefoniert und auf das Problem hingewiesen. Parallel hierzu habe ich auch mit unserem Sicherheitsbeauftragen ueber diese Luecke gesprochen. Wie gross war dann die Ueberraschung, als bei der Abschlusspraesentation nicht auf das Problem eingegangen wurde. Auf Rueckfrage von unserem Sicherheitsbeauftragten hiess es dann, dass dies ja eine Luecke waere, die kaum jemand ausnutzen koennte, da der Aufwand eigentlich viel zu hoch sei.
Ja, was halte ich wohl von XYZ?