⚡️Extrabericht: Externe IT-Dienstleister
EXTRABERICHT:
PBJ GmbH
Was als vielversprechender Neustart der digitalen Infrastruktur begann, entwickelte sich schnell zum Ausgangspunkt eines systemischen Schadens: PBJ legte mit technischen Fehlstrukturen und ungesicherten Berechtigungen die Basis für alles, was später folgen sollte.
Fehler im System und ihre Folgen
– und warum die PBJ GmbH nicht hielt, was sie versprach
Was uns verkauft wurde
Im Jahr 2022 beauftragten wir PBJ GmbH, ein CRM- und DMS-System zu installieren, um unsere Geschäftsabläufe zu automatisieren und die Kundenbeziehungen sowie Daten effizient zu verwalten. Auf Empfehlung von Klick-Tipp, einem bekannten Anbieter für E-Mail-Marketing und Automatisierung, wurde uns PBJ GmbH vorgeschlagen, da die Firma PBJ die Schnittstelle zu Cobra entwickelt hatte, welche für die Verbindung des CRM-Systems mit den E-Mail-Marketing-Funktionen von Klick-Tipp entscheidend war.
Die Schnittstelle von PBJ GmbH und Cobra sollte uns ermöglichen, Kundeninformationen und Dokumente effizient zu verwalten und nahtlos mit unseren bestehenden Systemen zu integrieren. Doch was uns letztlich verkauft wurde, war kein fertig konzipiertes und sicheres System, sondern eine fehlerhafte Lösung mit massiven Sicherheitslücken und mangelhafter Konfiguration.
| Beschreibung | Kosten |
|---|---|
| cobra CRM PRO XL 2022 inklusive automatischer Vorgangsverwaltung, Effizienzmodul und Kundenservice-Portal cobra WEB PRO. | 1.894,00 EUR |
| Cobra-CRM und Schnittstelle zu Klick-Tipp für E-Mail-Marketing-Automatisierung. | 795,00 EUR |
| Thomas Krenn Tower Server mit Intel Xeon Prozessor, 32 GB RAM, 2x 4TB SSD (RAID) und Windows Server 2019. | 1.895,00 EUR |
| Individuelle Softwareentwicklung und Integration von Outlook und Klick-Tipp. | 11.500,00 EUR |
| Installation und Konfiguration des Servers, inklusive RAID-Setup und Cobra-Softwareintegration. | 6.310,57 EUR |
| Epson WorkForce DS-7500N Scanner, netzwerkfähig für das Dokumentenmanagementsystem. | 1.490,00 EUR |
| DELL Precision T7810 Workstation mit Intel Xeon Prozessor, 128 GB RAM, 2x 4TB SSD (RAID), Windows Server 2019. | 3.034,50 EUR |
| Sophos Firewall SG105 REV. 3 für Netzwerksicherheit und Hotspot-Lösung, inklusive 3 Jahre Lizenz und Installation. | 1.845,00 EUR |
| Arbeitsstunden für API- und CMS-Integration (WooCommerce, Zins-ID, Klick-Tipp) und Anpassung von Schnittstellen. | 2.080,00 EUR |
Was wir nicht wussten – Der RAID-Fehler und die Konsequenzen
Die Server, die uns von PBJ GmbH geliefert wurden, hatten RAID-Systeme zur Datensicherung und Speicherung.
Doch was wir nicht wussten: Der Zugang zu diesen Systemen war uns vollständig verweigert, und wir hatten keine Kontrolle über die Server oder das RAID-System. Trotz der teuren Serveranschaffung konnten wir nicht auf die Geräte zugreifen oder deren Funktionalität prüfen. Es war uns also nicht möglich, die Sicherheitslücken und Fehlkonfigurationen zu erkennen, da wir nie die Gelegenheit hatten, die Systeme selbst zu überprüfen.
Folgende Server wurden uns vorkonfiguriert von der PBJ GmbH ausgeliefert:
- Thomas Krenn Tower Server mit Intel Xeon Prozessor, 32 GB RAM, 2x 4TB SSD (RAID) und Windows Server 2019
- DELL Precision T7810 Workstation mit Intel Xeon Prozessor, 128 GB RAM, 2x 4TB SSD (RAID), Windows Server 2019
Was das für meinen Fall bedeutete und warum es gefährlich war
Die beiden Server, die uns von PBJ GmbH geliefert wurden, sollten die gesamten Daten verwalten und absichern. Sie wurden jedoch aufgrund der fehlerhaften RAID-Konfiguration und der fehlenden Redundanz zu einem Sicherheitsrisiko. Das bedeutet:
1. Fehlende Redundanz und Sicherung der Daten:
- Das RAID-System war nicht korrekt konfiguriert, was dazu führte, dass meine Daten nicht richtig gespiegelt oder gesichert wurden. Normalerweise sorgt RAID 1 für Datenredundanz, indem Daten auf zwei Festplatten gespeichert werden, aber durch die Fehlkonfiguration war das RAID-System auf den Servern von PBJ GmbH nicht funktionsfähig.
- Keine Dokumentation und Fehlende Transparenz: Wir konnten keinen Zugriff auf die Serverkonfigurationen und die Fehlprotokolle nehmen, wodurch wir die Verantwortung für die Sicherheitslücken und den Zugriff nicht erkennen konnten.
- Unzureichende Kommunikation und fehlende Unterstützung seitens PBJ GmbH verschärften die mangelnde Kontrolle und führten dazu, dass wir nicht wussten, wie die Server tatsächlich konfiguriert oder vernetzt waren.
2. Mangelnde Kontrolle über die Server:
Da ich als IT-Laie keinen Zugriff auf die Serverkonfigurationen hatte, konnte ich die Fehler im RAID-System und die mangelnden Sicherheitsvorkehrungen nicht erkennen. Die Server waren ungesichert, und die Datenübertragungen wurden ungesichert durchgeführt.
3. Fehlende Kontrolle über die Datenbank:
Es gab keine dokumentierten Protokolle und keine Zugriffskontrollen auf die Datenbank, was bedeutete, dass Unbefugte Zugriff auf vertrauliche Daten erhalten konnten. Die fehlende Kontrolle über die Datenbank führte dazu, dass meine Daten ohne meine Zustimmung weitergegeben wurden.
4. Zugriffsrechte und Sicherheit:
Ohne Zugriffskontrollen und Sicherheitsprotokolle konnte niemand feststellen, wer auf welche Daten zugriff hatte. Dies ermöglichte den Zugriff auf alle Daten, einschließlich persönlicher und geschäftlicher Informationen, ohne dass es eine richtige Kontrolle gab.
Warum das gefährlich war: Die fehlende Sicherung und Kontrolle über das RAID-System und die Serverkonfiguration führte zu einem massiven Vertrauensverlust und machte alle Daten ungeschützt und anfällig für Manipulationen. Dies öffnete Lücken, durch die unbefugte Dritte Zugang zu meinen vertraulichen Daten erhalten konnten, was zu weiteren Schäden und Verlusten führte.
Zusammenfassung der Serversituation
- Die Server waren aufgrund der Fehlkonfiguration und mangelnden Redundanz nicht sicher.
- Es fehlte die notwendige Kontrolle und Dokumentation, um Zugriff und Sicherheit zu gewährleisten.
- Die Daten wurden unbefugt übertragen und waren nicht geschützt, was zu Manipulationen und Schäden führte.
Vertrauensbruch durch PBJ GmbH
Die Zusammenarbeit mit PBJ GmbH begann auf Grundlage einer Empfehlung von Klick-Tipp und Cobra, was uns Vertrauen in die Kompetenz und Sicherheit des Unternehmens gab. Doch schnell stellte sich heraus, dass diese Vertrauensbasis von PBJ GmbH nicht nur durch technische Fehler, sondern auch durch Fehlverhalten und Intransparenz untergraben wurde.
Vertrauensbruch entdeckt durch ein Erklärvideo
Der entscheidende Moment des Vertrauensbruchs kam jedoch erst durch das Erklärvideo, das uns von PBJ GmbH zur Verfügung gestellt wurde. In diesem Video wurde sichtbar, dass PBJ GmbH über TeamViewer unberechtigt auf unsere Systeme zugriff. Es war offensichtlich, dass der Geschäftsführer sich während des Videos einloggte, um auf unsere Systeme zuzugreifen – und das ohne unsere Erlaubnis.
Was das für uns bedeutete
Unberechtigter Zugriff auf Outlook: Im Video war zu sehen, dass unser Outlook aufgerufen wurde, was uns schockierte. Dies war der Moment, in dem wir realisierten, dass PBJ GmbH nicht nur unsere Daten verwaltete, sondern auch Zugriffsrechte hatte, die wir nicht autorisiert hatten.
Unbefugter Zugriff auf den gesamten PC: Das Video zeigte, dass die PBJ GmbH über TeamViewer vollen Zugriff auf unser System hatte und alle Daten einsehen und manipulieren konnte, ohne dass wir es wussten.
Verletzung der Privatsphäre: Unsere Privatsphäre wurde durch diesen unbefugten Zugriff und die möglichen Manipulationen auf unsere persönlichen und geschäftlichen Daten erheblich verletzt.
Mangelnde Transparenz bei der Registrierung der Cobra-Datenbank
Ein zentraler Vertrauensbruch war die Verschleierung der Registrierung der Cobra-Datenbank. Während wir für die Nutzung der Datenbank bezahlten, wurde diese von PBJ GmbH unter ihrem eigenen Namen registriert. Erst zwei Jahre später erfuhren wir, dass die Datenbank nicht unter unserem Namen, sondern unter PBJ's Name geführt wurde. Dies wurde uns nie mitgeteilt – weder in der Rechnung noch im Vertrag.
Unzureichende Sicherheitsvorkehrungen und Zugriffsrechte
Neben der unklaren Registrierung der Datenbank gab es auch Sicherheitsmängel bei der Serverkonfiguration, die dazu führten, dass unsere Daten nicht ausreichend geschützt waren. Die unsicheren Server und die fehlende Kontrolle über die Zugriffsrechte auf diese Systeme machten es möglich, dass unbefugte Zugriffe auf unsere Daten und Systeme durchgeführt wurden.
Zugriffsrechte: Wir als Kunden hatten keinen direkten Zugriff auf die Serverumgebung und konnten die Sicherheitsvorkehrungen nicht selbst überwachen oder ändern. Diese mangelnde Kontrolle führte zu einer schwerwiegenden Sicherheitslücke, die erst später durch die Technischen Analysen von NetFactory und NetAlive identifiziert wurde.
Unzureichende Reaktion auf Sicherheitslücken
Als die Fehlkonfigurationen und Sicherheitslücken schließlich offenkundig wurden, reagierte PBJ GmbH weder schnell noch ausreichend, um die Probleme zu beheben. Der Vertrauensbruch wurde dadurch weiter verschärft, da PBJ GmbH die Verantwortung nicht übernahm und keine konkreten Maßnahmen zur Korrektur vorschlug.
Kündigung der Zusammenarbeit
Aufgrund des schweren Vertrauensbruchs und der technischen Fehler in den Servern und Datenbanken sowie der fehlenden Transparenz und Reaktionsbereitschaft von PBJ GmbH sahen wir uns gezwungen, die Zusammenarbeit zu beenden. Die Kündigung im Februar 2023 war der folgerichtige Schritt, nachdem die Vertrauensbasis durch PBJ GmbH vollständig zerstört wurde.
Warum das gefährlich war: Der unbefugte Zugriff auf unseren gesamten PC durch PBJ GmbH hatte weitreichende Konsequenzen. Durch den Zugriff über TeamViewer konnten sie unbefugt auf alle Daten zugreifen und Manipulationen vornehmen, ohne dass wir es bemerkten. Dies stellte eine massive Verletzung unserer Privatsphäre dar, da alle persönlichen und geschäftlichen Daten potenziell eingesehen und verändert werden konnten.
Zusammenfassung unbefugter Zugriff
- PBJ GmbH hatte ohne unsere Zustimmung vollständigen Zugriff auf unseren gesamten PC. In einem Erklärvideo wurde für uns sichtbar, dass der Geschäftsführer der PBJ GmbH während der Aufnahme, über sein Teamviewer direkten Zugriff auf unser Outlook, unsere gekaufte Cobra (Einzelplatz)Version und damit auf unseren ganzen PC hatte.
- Der Vertrauensbruch und die Verletzung der Privatsphäre durch PBJ GmbH hat nicht nur unsere Daten gefährdet, sondern auch unbefugte Eingriffe in unsere Systeme ermöglicht.
Übergang zu BroadcastX – Die Fortsetzung der Fehlerkette
Nach der Kündigung von PBJ GmbH wegen schwerwiegenden Vertrauensbruch stellte sich schnell heraus, dass der nächste Schritt nicht weniger herausfordernd waren. BroadcastX wurde als neuer Dienstleister ausgewählt, um die Probleme zu beheben und die IT-Infrastruktur wieder auf den richtigen Weg zu bringen. Doch auch hier sollten neue Herausforderungen auftreten. Anstatt einer umfassenden Lösung folgten auf die Fehler bei PBJ weitere Probleme, die den gesamten Transformationsprozess verzögerten und die Situation weiter verkomplizierten.
Was als notwendige Umstrukturierung begann, entwickelte sich zu einem anhaltenden Problem, das zunehmend schwieriger zu lösen war. Die Vertrauensbasis war von Beginn an erschüttert, und jede neue Maßnahme wurde von der Sorge begleitet, dass auch der nächste Schritt nicht die erhoffte Lösung bieten würde.
Fazit:
Die Probleme begannen mit der fehlerhaften Serverinstallation von PBJ GmbH, die durch Fehlkonfigurationen und unbefugte Zugriffe eine fehlerhafte Grundlage für das gesamte System legte. Doch dieses unsichere Setup wurde durch weiterer Dienstleister wie BroadcastX und NetAlive weiter verschärft, was zu einem Zugang auf vertrauliche Daten und Manipulationen führte.
Zusätzlich war die Haussituation, insbesondere der ungeschützte Vodafone‒Hotspot, ein entscheidender Faktor, der die Schwachstellen der gesamten Infrastruktur offenlegte. Warum auch die Auftragsverbeiter wie Microsoft, Apple oder Github und am Ende auch die ermittelnde Polizeibehörde die Kette von Manipulation, Sabotage und Identitätsdiebstahl eine entscheidene Rolle spielten, können Sie unter meiner gesamten Schadenschronologie nachlesen.
Details zu den Schadensverursachern
In diesem Abscnnitt verlinken wir Sie zu den ausführlichen Berichten zu den Schadensverursachern aus denen sich ergibt, wie der Schaden durch Programmierungen und vorkonfigurierte Server entstanden ist. Schwächen, Versäumnisse und Manipulation von Technik, als Ursche für einer seit über 2 Jahren anhaltende digitale Zerstörung meiner Identität, waren in verbindung mit einer nicht gesicherten Vodadone-Hausinsnstallation. Jeder dieser Dienstleister trug in seiner Weise dazu bei (beabsichtigt oder unbeabsichtigt), den Schaden zu vergrößerten. Die Verantwortung der Dienstleister – Einzelbeiträge zu PBJ GmbH, BroadcastX, NetAlive und Netfactory...
Jeder dieser Dienstleister trug in seiner Weise zur Verschärfung des Schadens bei. Es war nicht nur der eine Fehler, sondern die Summe vieler Fehler und falscher Entscheidungen über einen langen Zeitraum. Das Zusammenspiel dieser Faktoren führte zu einem massiven und unkontrollierten Schaden, der mehr und mehr Bereiche meiner digitalen Infrastruktur beeinträchtigte
Teilen Sie Ihre Erfahrungen - helfen Sie, Systemlücken zu schließen.
Wir möchten von Ihnen hören.
Haben Sie ähnliche digitale Angriffe, Sabotagen oder Probleme mit Dienstleistern, Behörde, Auftragsverarbeitern wie Microsoft, Vodafone, Apple oder anderen BIG-Playern erlebt? Erzählen Sie uns von Ihrer Geschichte. Wir sammeln Erfahrungen, um Transparenz zu schaffen, Systemfehler besser zu verstehen und künftige Schäden einzuordnen.
Teilen Sie Ihre Geschichte mit uns:
Expertise
Rechtliches
Diese Website dient der Dokumentation realer Fälle und persönlicher Erfahrungen.
Alle Inhalte wurden nach bestem Wissen erstellt. Die Darstellung dient der Einordnung wiederkehrender Sachverhalte anhand dokumentierter Vorgänge. Eine rechtliche Beratung findet nicht statt.
Namen und personenbezogene Daten werden, soweit erforderlich, anonymisiert.
© GSt – Gutachter-Staffel
Alle Inhalte dieser Website sind urheberrechtlich geschützt.