Verschlüsselte Kommunikationsmöglichkeit mit dem Support erwünscht

[Tronde]

Hallo Community,

lasst mich bitte kurz erklären, welche Gründe mich bewogen haben dieses Thema zu eröffnen.

Im allgemeinen bin ich mit dem E-Mail-Support von Synology im großen und ganzen zufrieden. Die überwiegende Zahl meiner Support-Anfragen konnten zu meiner Zufriedenheit gelöst werden. Leider gibt es einen Punkt, der in meinen Augen nicht zufriedenstellend gelöst ist.

Ich wurde während der Fehleranalyse häufig vom Support aufgefordert, den Fernzugriff auf meine Diskstation zu aktiveren und den "Support Identification key" sowie den Benutzernamen eines administrativen Kontos inklusive Passwort an den Support zu übermitteln. Als einzige Übertragungsmöglichkeit für diese sensiblen Informationen wird die unverschlüsselte E-Mail angeboten. Diesen Zustand finde ich zurückhaltend ausgedrückt unmöglich. Aus diesem Grund habe ich die Support-Anfrage auch abgebrochen, wie in diese Thread nachzulesen ist.

In der heutigen Zeit muss man kein IT-Sicherheits-Experte sein, um zu wissen, dass man sensible Informationen wie Passwörter, Zugangsdaten, Access-Token, etc. nicht per E-Mail übermittelt. Dies wäre ja gerade so, als würde mir meine Bank die Zugangsdaten für das Online-Banking auf einer Postkarte zusenden.

Unzufrieden mit diesem Zustand habe ich mich direkt an Synology gewandt, um das Thema direkt zu adressieren und einen Verbesserungsvorschlag zu unterbreiten. Dies war am 12.08.2015. Man versprach mir, meinen Vorschlag an die entsprechende Stelle weiterzuleiten und dort zu diskutieren. Seitdem habe ich immer wieder nachgefragt, um mich nach dem aktuellen Status zu erkundigen. Und zwar im Oktober 2015 und zuletzt im Januar 2016. Als Antwort erhielt ich jedes Mal die Aussage, dass zu diesem Thema noch keine neuen Informationen vorliegen. Man versprach mir, das Thema aber erneut ansprechen und an die entsprechende Abteilung weiterleiten zu wollen.

Stand heute ist es es immer noch nicht möglich, dem Support Informationen auf einem gesicherten Übertragungsweg übermitteln zu können.

Nun habe ich als ein einziger Privatkunde bei Synology vorgesprochen und weiß aus beruflicher Erfahrung, dass die Meinung eines Einzelnen in einem Unternehmen schnell untergeht, vergessen oder ausgesessen wird. Vielleicht bin ich ja tatsächlich der Einzige, der die Zugangsdaten zu seinem NAS, auf welchem viele private Dinge wie z.B. die Familienfotos, Dokumente usw. gespeichert sind, nicht via E-Mail übermitteln möchte. Um dies herauszufinden, habe ich dieses Thema eröffnet.

Ich wünsche mir, dass Synology eine Möglichkeit bietet, dem Support Informationen auf einem gesicherten Übertragungsweg zu übermitteln. Dies kann zum Beispiel in Form

• einer mit OpenPGP oder S/MIME verschlüsselten E-Mail,
• Upload auf einen SFTP-Server oder
• Upload über eine HTTPS-Seite in ein Ticketsystem

erfolgen.

Falls es euch ebenso geht und ihr euch diese Möglichkeit wünscht, bitte ich euch, diesen Wunsch in diesem Thema kund zu tun. In der Hoffnung, dass ein genügend großes Interesse daran besteht, dass Synology mit der notwendigen Priorität an einer Lösung arbeitet.

Viele Grüße
Tronde

PS: Mir ist dies ein wichtiges Anliegen. Daher bitte ich euch darum, euch ausschließlich sachlich zu äußern und dieses Thema nicht zu missbrauchen, um über den Support zu schimpfen. Unsachliche Diskussionen werden nicht ernst genommen und das Thema unter Umständen geschlossen.

 

[Puppetmaster]

Interessanter Punkt.

Bei mir bricht es allerdings bereits viel früher ab: ich würde keinem im Taiwan sitzenden Techniker Zugriff auf meine DS gewähren. D.h., ich würde hier auch kein Passwort übermitteln bzw. einer Anmeldung Fremder auf meiner DS zustimmen.

Was ich allerdings jetzt auch noch im Ohr habe ist, dass es doch mittels der Möglichkeit im DSM, den Support zu kontaktieren, auch die unglaubliche Möglichkeit zu geben scheint, dass man gar kein Passwort mehr aktiv übermitteln muss...
Es gab zumindest neulich einen Thread dazu, der zumindest offenlegte, dass Synology sich auf die DS geschaltet hatte, ohne dass der Benutzer explizit etwas übermittelt hätte (also aktiv). Hier wurde vielmehr ein Ticket über den DSM eröffnet und dort wohl auch (per Häkchen setzen) die Zustimmung erteilt, auf die DS zugreifen zu dürfen. Es musste nicht einmal ein Port im Router geöffnet sein.

In meinem Augen ein totales NoGo, zumal ich gar nicht weiß, wie, wann, auf wessen Wunsch, etc. dort sensible Daten übertragen werden.

 

[raymond]

Sehe ich genauso. Bei mir wollte Synology auch schon auf meine NAS. Dies habe ich nicht gewährt. Ich glaub bei der Anleitung von denen war auch die Firewall Einstellung dabei welche IP-Adresse zugelassen werden soll. Wenn man nur diese für SSH zulässt ist es zwar schon etwas sicherer, aber mir immer noch zu unsicher.

Auch die dsdump Datei übertrage ich nicht. Kein Bock die vorher anzuschauen um diese denen mit gutem Gewissen auszuhändigen.

Glücklicherweise habe ich nicht so viele Probleme mit meiner NAS, dass das öfters vorkommt. Ich arbeite eher mit screenshots und Beschreibungen, damit man es reproduzieren kann. Ist viel sicherer, da man das zeigen kann, was man auch möchte.

Bei einer Test-NAS, wo keine Daten draufliegen, kann man das meiner Meinung nach machen.

Rege deine 3 Punkte doch wirklich mal bei denen an. Finde ich gut! Wobei: die Support-Seite mit dem Formular ist doch HTTPS.

 

[dil88]

Es geht ja um die Folgekorrespondenz per Email oder Ticketsystem, wenn ich es richtig verstanden habe. Du gibst ja normalerweise beim Erstellen des Tickets nicht gleich Username und Passwort mit.

 

[Puppetmaster]

So verstehst du das?
Ich dachte, es geht ihm um Zugangsdaten etc.

Die Kommunikation mit Synology an sich braucht meines Erachtens nicht verschlüsselt zu sein.

 

[dil88]

Es geht mir um diesen Punkt in Beitrag 1:

Ich wünsche mir, dass Synology eine Möglichkeit bietet, dem Support Informationen auf einem gesicherten Übertragungsweg zu übermitteln. Dies kann zum Beispiel in Form

• einer mit OpenPGP oder S/MIME verschlüsselten E-Mail,
• Upload auf einen SFTP-Server oder
• Upload über eine HTTPS-Seite in ein Ticketsystem

erfolgen.

 

[Tronde]

Rege deine 3 Punkte doch wirklich mal bei denen an. Finde ich gut! Wobei: die Support-Seite mit dem Formular ist doch HTTPS.

Das habe ich ja bereits mehrfach getan. Leider ist außer der wiederholten Aussage darüber nachzudenken nichts dabei herausgekommen. Und das seit über einem halben Jahr.

Was den Punkt Kommunikation angeht, habe ich nichts dagegen, dass diese prinzipiell per E-Mail erfolgt. Es steht jedoch fest, dass E-Mail kein geeignetes Mittel ist, um sensible Informationen zu übertragen. Hier eine Alternative zu bieten kann nicht so schwer sein. Schließlich sind Ticketsysteme und SFTP-Server bei anderen Unternehmen, die ihren Kunden Support anbieten bereits Standard. Darüber gibt es hierfür Lösungen aus dem Open Source Bereich, welche dem Support-System "E-Mail" überlegen und dennoch die Möglichkeit der verschlüsselten Übertragung bieten.

Was den Punkt betrifft, dass Techniker aus Taiwan auf mein NAS gucken, so möchte ich diesen Punkt etwas differenzierter betrachten. Mir gefällt es auch nicht, dass jemand auf mein NAS schaut ohne das ich Kenntnis davon habe, wann der Zugriff erfolgt und was diese Person dort macht. Deutlich lieber wäre es mir, wenn mich ein Support-Techniker anrufen würde, sich via Teamviewer oder ähnlicher Mittel auf einen meinen Rechner dazu schaltet und von diesem auf das NAS zugreift. So behalte ich die Kontrolle, kann sehen was der Techniker macht und jederzeit die Verbindung unterbrechen.

Beruflich bin ich dieses Vorgehen von vielen Herstellern gewohnt. Im Unterschied zu Synology bezahle ich diese jedoch auch für ihren Support. Synology hingegen leistet kostenlosen Support. Und dies sogar noch für Produkte, die bereits mehrere Jahre alt sind. Dies ist erstmal grundsätzlich positiv zu bewerten. Vor diesem Hintergrund kann ich mir nicht vorstellen, dass es wirtschaftlich ist eigene Testlabore mit der gesamten Produktpalette vorzuhalten, auf denen die Fehler der Kunden nachgestellt werden. Dieser Service dürfte wenn überhaupt den Unternehmenskunden vorbehalten sein.

Nichtsdestotrotz würde ich es zu schätzen wissen, wenn der Fernzugriff das allerletzte Mittel ist und man vorher sämtliche Möglichkeiten durch Abgleich von Konfigurationsdateien, Screenshots etc. ausgeschöpft hat.

Und hier schließt sich der Kreis. Um diese Konfigurationsdateien und Screenshots, welche Informationen über mein System beinhalten, zu übermitteln wünsche ich mir ein sichereres Mittel als die gute alte E-Mail.

Gruß
Tronde

 

[whitbread]

Generell hast Du absolut recht; sensible Daten gehören verschlüsselt übertragen. Im konkreten Fall wäre mir aber die IP der Gegenseite deutlich wichtiger, da somit Missbrauch aus meiner Sicht ausgeschlossen ist. Gegen allzu neugierige Blicke des Supports würde ich dann im konkreten Fall meine verschlüsselten Ordner aushängen.

Achja, und btw habe ich das Thema verschlüsselte (Email) Kommunikation ad acta gelegt, da ich nicht mehr daran glaube, dass ich dies jemals sinnvoll umgesetzt erleben werde. Nehmt nur das abschreckende DE-Mail als Beispiel. Desto grösser die Organisation desto unsinniger und komplizierter die Lösung. Traurig aber wahr...

 

[Tronde]

Guten Morgen,

ich stimme dir zu, dass die IP-Adresse von denen der Fernzugriff aus erfolgen soll, von Interesse sind. So könnte man den Zugang in der Firewall des eigenen Routers nur für diese Adressen öffnen. Jedoch wage ich zu bezweifeln, dass die Supportmitarbeiter diese Adressen kennen und sie dem Kunden mitteilen können.

Die verschlüsselte E-Mail ist hier nur als ein Beispiel genannt. Ein einfaches Ticketsystem würde es ja auch tun. Prinzipiell denke ich, jede Möglichkeit der verschlüsselten Kommunikation ist besser als gar keine. Wer diese Möglichkeit nicht nutzen möchte, kann ja immer noch per E-Mail kommunizieren.

Mir geht es darum, dass überhaupt mal eine Möglichkeit angeboten wird. Aktuell scheint dies beim Hersteller kein Thema zu sein.

 

[Tronde]

Ok,

ich muss zugeben, dass es zu diesem Thema sehr wenig Resonanz gibt. Wenn das Interesse an sicheren Kommunikationskanälen so gering ist, kann ich verstehen, dass das Thema beim Hersteller keine Priorität genießt.

 

[dil88]

Vielleicht hast Du recht, vielleicht schreiben aber viele nicht, weil sie Deine Argumentation für logisch und völlig klar halten. Mir geht es jedenfalls so. Ist für mich nicht das Prio 1 Thema, aber wenn ich Synology ein root-Passwort per Email schicken sollte, würde ich das nur verschlüsselt tun.

 

[TanteEmma]

Auf jeden Fall ein wirklich interessantes Thema. Meine Logindaten würde ich wohl auch kaum rausrücken wollen. Via Mail (ohne PGP / SMIME) zu 100pro nicht und unkontrollierte Fernwartung würde ich auch kaum zustimmen.

Allerdings hatte ich bis heute - zum Glück (Klopf auf Holz) - keinen Defekte oder Ausfall, wo ich das hätte machen müssen. Bei defekten Platten habe ich keine Bauchschmerzen. Speichere eh alles nur verschlüsselt und kann die ohne Probleme an den Händler / Hersteller zurückschicken, wenn da noch was über Garantie / Gewährleistung zu machen ist.

 

[Windwusel]

Ich stimme der verschlüsselten Kommunikation voll und ganz zu. Zuvor allerdings wäre es sinnvoll wenn der Support überhaupt reagieren würde. Seit 3 Monaten versuche ich den Support mit verschiedenen Anfragen sowohl direkt aus meiner DS als auch über die Webseite zu erreichen. Eine Antwort kam nie. Was nutzt eine Verschlüsselte Kontaktmöglichkeit wenn ein Kontakt sowieso unmöglich ist?

 

[Tronde]

Hast du denn eine Eingangsbestätigung vom Support erhalten? Ich bekam in der Vergangenheit erst eine Eingangsbestätigung und einige Tage später hat sich der Support bei mir gemeldet.

Naja, ich hoffe, dass hier auch Mitarbeiter von Synology mitlesen und auf diesem Weg merken, dass ich nicht der Einzige bin, der sich eine gesicherte Kommunikation wünscht. Vielleicht schafft es das Thema ja dann irgendwann mal auf die ToDo-Liste.

 

[dil88]

Davon, dass hier Synology mitliest, kannst Du nicht ausgehen. Dies ist ein reines User-Forum.

 

[Tronde]

Dann kann ich nur hoffen, dass jeder, der sich einen verschlüsselten Kommunikationskanal wünscht, dies auch bei Synology kund tut. Sei es im Support oder als Verbesserungsvorschlag. Vielleicht wird es ja dann irgendwann mal was.

Davon ab wünsche ich jedem, dass man den Support möglichst gar nicht braucht und das Produkt einfach nur funktioniert. ;-)