dann wird wohl eine sehr lange und detaillierte Liste von Erfahrungen in anonymisierter Form folgen...
Also, ich habe mal ein Projekt gehabt bei einem Medizingerätehersteller wo man eigentlich meinen müsste, dass dort mit größter Sorgfalt gearbeitet wird. Ausgangslage war folgende. Der Webshop und damit verwandte Applikationen wurden auf Servern gehostet, auf denen man seit ca. 10 Jahren keinerlei Updates mehr gefahren hat. Auch nicht zur Sicherheit. Also quasi ein Windows das 10 Jahre kein Security-Update geshen hat. Der Grund war, dass die Software so schlecht geschrieben war, dass jegliche kleine Änderung in der Softwarekonfiguration wohl das ganze System gefährdet hätte. Überall hardcodierte Pfade eine saumäßige Programmierung von Leuten, die kein PHP konnten und darum mindestens 500 Fehler eingebaut hatten. Jegliche kleine Veränderung in der automaitschen PHP-Fehlerkorrektur bedingt durch einen neue Version, hätte das System sofort zum Stillstand gebracht. Und weil die auch noch das System auf Linux gehostet haben obwohl dort eigentlich niemand sich wirklich mit Linux auskennt war wohl alles was über ein automatisches Paketupdate hinausgeht außerhalb der Kompetenz der dortigen Mitarbeiter.
So kam es auch, dass es nicht wirklich ein Entwicklungssystem gab. Es gab keine Möglichkeit in der Dev-Umgebung was zu testen und es dann live zu stellen. Da wurde quasi immer direkt am offenen Herzen operiert. Natürlich wurden dann auch für Entwicklugnszwecke immer Live-Kunden-Daten verwendet weil, es gab ja nicht mal ein Entwicklungs- oder Testsystem somit natürlich auch keine Möglichkeit Kundendaten für Entwicklungszwecke zu anonymisiern. Es war sogar so, dass Administratorenpassworte einfach weitervererbt wurden. Da gab es mal eine Dame, die das betreut hat. Aber die hatte die Nase irgenwann mal voll. Nachdem die aufgehört hat wurde das Admin-Passwort einfach an jeden weitergegeben, der damit zu tun hatte. Und natürlich auch nicht geändert. Das Passwort bestand aus dem Vornamen der Administratorin, gefolgt von dem Namen eines sehr, sehr, sehr bekannten Maus-Events. Hahahahahahahahahahaha. Damit hatte man dann Zugriff auf wirklich alles in dem Bereich. Und natürlich standen die Passworte für das Adminsitrationssystem für viele User im Klartext in der Datenbank. Postgres 9. Natürlich wurden im Laufe des Projekts sämtliche Vorschläge zur Verbesserung der Datenschutzkonformität und Sicherheit konsequent ignoiert mit dem völlig bekloppten Hinweis, dass das gar nicht nötig wäre weil für viele User wären die Passworte ja geheim und Datenschutz beinhaltet ja nicht dass man Daten für Entwicklugnszwecke anonymisieren müsste.
Es war so dass die für die Versionskontrolle ein System verwendet haben das Mercurial heist. Nur keiner dort hat sich in der ganzen Zeit selber beibringen können wie das funktioniert. Weil die nicht wussten dass man ein Versionskontrollsystem dazu verwenden kann um Softwareänderungen zu tracken haben die die gesamte Änderungshistorie des Quelltextes in den jeweiligen Quelltextdateien als Kommentare hinterlegt und das über 14 Jahre. Hahahahahahahahaha. Und als ich denen erzählt habe dass ein Versionskontrollsystem nicht so funktioniert, dass man in die Datendateien dieses Systems reingeht und manuell Dateien reinkopiert und modifiziert, damit man eine Spiegelung des aktuellen Systems hat, war das für die total neu. Hahahahahahaha.
Keine Sorge es ist noch genug Material für einen Artikel pro Tag bis etwas Februar da und es wird nicht besser.
Keine Kommentare:
Kommentar veröffentlichen