Vom Kunden gezwungen, Sicherheitsfunktionen zu entfernen, beschuldigt mich der Kunde jetzt des Datendiebstahls

In den letzten Monaten hat der Projektmanager (PM) eines Kunden viele Male darum gebeten, einige Sicherheitsfunktionen zu entfernen, die wir auf seinem Webportal installiert haben, um „unseren täglichen Betrieb zu erleichtern“ (ihre eigenen Worte).

Anfangs waren diese Anfragen ruhig und wir haben es geschafft, sie zu stoppen. Nach einer Weile wurde PM immer dringlicher, also schrieb ich (als Teamleiter des Projekts) eine ausführliche E-Mail mit klaren Hinweisen auf die Gefahren, die durch die Erfüllung ihrer Anforderungen entstehen könnten (ich kopierte meinen Chef, mein Team, unsere IT-Sicherheitsabteilung , unsere Test-/QA-Abteilung und deren Chef). Nach ein paar Tagen antwortete PM mir nur (alle anderen Empfänger entfernt) in sehr unprofessioneller Weise (alle Großbuchstabensätze, direkte und persönliche Beleidigungen, Androhung von Klagen wegen Inkompetenz usw.) und forderte mich auf, ihre Anträge zu stellen oder „vorbereitet zu sein mit sehr ernsten Konsequenzen konfrontiert werden“ (wieder ihre eigenen Worte, Großbuchstaben von mir entfernt). Ich habe das Thema sofort mit meiner Chefin besprochen und sie schlug vor, das zu tun, was PM verlangt hatte, und sie hätte eine E-Mail (mit allen vorherigen Empfängern kopiert) geschickt, in der sie sagte, wir hätten alle Anfragen erledigt, aber noch einmal unsere Bedenken betont. Also entfernte ich die Sicherheitsmerkmale und sie schrieb die E-Mail.

Von diesem Tag bis gestern absolute Stille. Gestern Morgen schrieb mir PM, dass ihr Sicherheitsteam herausgefunden hat, dass jemand illegal in das Portal eingegeben wurde und einige private Daten ihrer Kunden online gefunden wurden. PM sagte auch, dass dies „alles meine Schuld“ sei, weil sie sich der möglichen Folgen „Ihrer Entscheidung, unsere Portal-Sicherheitsfunktionen zu deaktivieren“ nicht bewusst waren. Als ich mir ansah, wie PM beschrieb, was passiert war, bemerkte ich, dass dies (buchstäblich Schritt für Schritt) eines der Szenarien war, die ich als potenzielle Sicherheitsbedrohung hervorgehoben hatte. Ich ging wieder zu meiner Chefin und sie entschied, dass wir genug von PM hatten. Also wird sie für nächste Woche einen Anruf organisieren, um die Situation mit mir zu besprechen, sie, unsere Abteilungsleiterin (2 Ebenen über meinem Chef, also 3 über mir), eine leitende Mitarbeiterin unserer Sicherheitsabteilung, PM und ihr Chef.

Obwohl ich denke, dass ich nichts falsch gemacht habe und ich mich auf meinen Chef verlassen kann, habe ich auch Angst, dass es Konsequenzen für mich geben könnte. Wie kann ich mich auf diesen wichtigen Anruf umfassend vorbereiten und meinen Rücken freihalten? Wie soll ich mich dabei verhalten?

Ich verstehe nicht, wo Sie von Ihrem Chef für den Datenverlust verantwortlich gemacht werden? Wer gibt dir eigentlich die Schuld? Scheint Ihr IT-Kollege zu sein? Warum sind Sie besorgt über ihre Aussage? Haben sie die Macht, dich zu feuern?
@Donald PM macht mich für das Problem verantwortlich. Ich vertraue meinem Chef und meinem Unternehmen. Ich habe keine Angst vor einer Kündigung. Ich möchte nur 100% sicher sein, dass ich alles richtig gemacht habe und ich möchte wissen, ob ich mich auf den Anruf besonders vorbereiten muss
Ich weiß nicht, ob sich das auf irgendetwas auswirken würde, aber gibt es einen standardmäßigen Überprüfungsprozess für das Ändern von Funktionen? Besteht zum Beispiel die Möglichkeit, dass sie behaupten könnten, dass Sie das richtige Verfahren zur Implementierung der Änderung nicht befolgt haben? (Vielleicht ist es an der Zeit, das auch mit dem Unternehmen zu besprechen?) Ein Szenario, das ich mir vorstelle, ist, dass jemand anderes Zugriff auf die E-Mail erhält und die Entfernung der Funktion für schändliche Zwecke anfordert. Ich kenne mindestens eine Situation, in der jemand versucht hat, dies mit seiner Vertragsrechnungsadresse zu tun; aber der Kunde dachte, dass etwas nicht stimmte, und rief zuerst an, um es zu überprüfen.
Gibt es Zweifel oder Streitigkeiten darüber, dass diese "sehr unprofessionelle" E-Mail echt und legitim ist (dh per PM gesendet)? E-Mails sind leicht zu fälschen.
@JMac Wenn eine Änderung der Funktionen im Projekt eine Codeänderung erfordert, ist ein Dokument erforderlich, um mit der Anfrage fortzufahren. Wenn eine Konfigurationsänderung erforderlich ist, reicht eine E-Mail mit den richtigen Empfängern aus. Hier waren wir im zweiten Szenario, also war die E-Mail der geeignete Weg, um zu fragen, es wurde das Standardverfahren befolgt
@fraxinus kein Streit, E-Mail ist echt, keine Zweifel
Haben Sie die E-Mail an Ihren Chef weitergeleitet, bevor oder nachdem Sie die Änderungen vorgenommen haben?
@EJoshuaS-ReinstateMonica Ich habe die E-Mail weitergeleitet, bevor ich Änderungen vorgenommen habe, und ich habe die Änderungen erst nach Rücksprache mit meiner Chefin vorgenommen und erst nachdem sie die Bestätigungs-E-Mail geschrieben hatte
@JackJack Gut, das war der schlaue Weg, es gibt also absolut keinen Grund, warum Sie hier in Schwierigkeiten geraten sollten. Es klingt, als hättest du alles richtig gemacht für mich.
Aus Neugier, wie ging es später weiter?
@frarugi87 Zum ersten Mal in meinem Leben sehe ich, wie eine Person auf der Stelle gefeuert und von ihren Chefs angeschrien wird (die behaupteten, sie hätten den Premierminister verklagt, weil sie ihrem Unternehmen und ihren Kunden absichtlich Schaden zugefügt hätten). Danach entschuldigten sie sich viele Male für das PM-Verhalten und baten darum, alle Sicherheitsfunktionen wieder zu aktivieren (ich tat dies, bevor der Anruf beendet wurde). Alle waren zufrieden und wir haben keine weiteren Probleme mit diesem Kunden

Antworten (5)

Wie kann ich mich auf diesen wichtigen Anruf umfassend vorbereiten und meinen Rücken freihalten? Wie soll ich mich dabei verhalten?

Klingt, als hätte Ihr Chef es abgedeckt.

Besprich es mit deinem Chef. Fragen Sie sie, ob Sie noch etwas zur Vorbereitung tun sollten. Dann folge ihrer Führung.

Bringen Sie Ihre Notizen zu jedem Meeting mit. Verwenden Sie sie nur, wenn Ihr Chef Sie darum bittet.

Seien Sie nicht defensiv. Tu so, als hättest du trotz deiner professionellen Empfehlungen alles getan, was von dir verlangt wurde – denn genau das ist passiert. Zeigen Sie, dass Sie weiterhin gerne tun, was verlangt wird.

Denken Sie darüber nach, wie Sie die Sicherheitsfunktionen, die Sie entfernen sollten, erneut implementieren können. Erstellen Sie hierfür Kostenvoranschläge.

Und mach dir nicht so viele Sorgen. Sie haben das professionell gehandhabt. Es war klug, die Optionen und Ihre professionellen Empfehlungen darzulegen. Es war vollkommen angemessen, es dem Management zu melden, als Ihre Warnungen außer Kraft gesetzt wurden. Es war richtig, das zu tun, was der gut informierte PM verlangte. Und klar, Ihr Chef steht hinter Ihnen. Das ist alles gut.

@PatriciaShanahan Da dieses Portal hochgradig konfigurierbar ist, ist die Wiederherstellung eine einfache Änderung der Konfigurationsdatei und ein Neustart der Anwendung
@JackJack das ist vielleicht so, aber (a) der Kunde muss das nicht wissen und (b) sollte aber trotzdem abrechenbar sein.
Ich würde auch hinzufügen, dass zukünftige solche Anfragen mit einem "Wir brauchen eine formelle Anforderungsänderungsanfrage und eine Abmeldung" beantwortet werden sollten, im Gegensatz zu einer einfachen E-Mail. Dies hilft der Papierspur und jedem, der es braucht, wird sich dessen bewusst.

Sie haben die Sicherheitsbedenken hervorgehoben. Jeder war sich bewusst, was passieren würde. Sie haben eine Papierspur.

Und was am wichtigsten ist, Ihr Chef wird hinter Ihnen stehen. Entspannen Sie sich also und drucken Sie die Dokumente jetzt aus und markieren Sie Ihre Warnungen, wie sie von TheoreticalMinimum in den Kommentaren erwähnt werden. Bringen Sie diese als Beweis mit, wenn Sie danach gefragt werden. Dabei sind Sie absolut sicher.

Drucken Sie insbesondere die Droh-E-Mail aus, die der PM nur an den OP gesendet hat. Das ist der Beweis dafür, dass es die Entscheidung des Premierministers ist, die Funktionen zu entfernen.
Drucken Sie auch alle Kopfzeilen dieser Mails.
OP ist sicher, solange sein Unternehmen den Streit mehr "gewinnen" will, als den Kunden als Kunden zu behalten. OP sollte mit der Erstellung seines Lebenslaufs beginnen
Beachten Sie "alle Header" im Kommentar von @fraxinus. Viele E-Mail-Reader zeigen standardmäßig nur eine Zusammenfassung an. Sie sollten eine Reihe von Zeilen mit der Aufschrift "Received from X by Y..." sehen, wobei X und Y Server in einer Kette vom sendenden Computer zu Ihrem Mailserver sind.

Bereits gute Antworten, aber eine Sache muss hinzugefügt werden

Wie kann ich mich optimal auf diesen wichtigen Anruf vorbereiten?

Wie genau dieses Meeting ablaufen soll, sollten Sie mit Ihrem Chef besprechen, vor allem, wenn Sie damit noch nicht viel Erfahrung haben

  1. Was ist das Ziel und das gewünschte Ergebnis des Meetings?
  2. Was ist die Agenda und wer wird fahren?
  3. Was ist Ihre Rolle, wann sollten Sie sprechen und wann sollten Sie die Klappe halten?
  4. Was genau sind die Belege, die Sie haben sollten. In welcher Form sollten sie sein und wann und wie sollten sie präsentiert werden? Überprüfen Sie sie im Voraus
  5. Welche Schlüsselphrasen sollten Sie verwenden? Schreiben Sie sie auf und merken Sie sie sich.
  6. Besprechen Sie, welche möglichen Reaktionen/Argumente die andere Partei haben könnte und wie Sie darauf antworten/reagieren werden

Wenn Sie in ein potenziell kontroverses und stressiges Meeting gehen, ist es hilfreich, gut vorbereitet zu sein. Je mehr Sie vorhersehen können, was genau passieren wird, desto besser können Sie reagieren, desto entspannter werden Sie sein und desto wahrscheinlicher ist es, dass Sie das gewünschte Ergebnis erzielen.

Eine der möglichen Strategien für Meetings besteht darin, die schwächste Person auf der anderen Seite des Tisches zu finden und sie zu hacken: Versuchen Sie, sie aus der Fassung zu bringen, aufzuregen oder zu verwirren, damit sie etwas Falsches oder Unangemessenes sagt. Stellen Sie sicher, dass Sie das nicht sind.

Denken Sie daran: Ihnen geht es gut. Sie haben alles richtig gemacht und haben Unterlagen, die dies belegen.

Ich denke, das ist ein sehr guter Rat. Machen Sie sich bewusst, wer die Teilnehmer des Meetings sind, was das Ergebnis ist, was Sie sagen sollten (und wie Sie formulieren), was Sie nicht sagen sollten und welche Phrasen Sie vermeiden sollten. Das OP erwähnte, dass „private“ Daten durchgesickert seien. Es ist nicht 100 % klar, was das bedeutet, aber wenn es sich um geschützte personenbezogene Daten handelt, kann sehr wohl eine rechtliche Schuld, sogar eine strafrechtliche, im Umlauf sein. Das OP hat nichts falsch gemacht, sollte also Sätze wie "Es tut mir leid" vermeiden, die als Übernahme von Verantwortung ausgelegt werden könnten.

Schon viele gute Antworten, aber ein weiterer Punkt, den ich über Ihr Verhalten während des Meetings nicht gut abgedeckt gesehen habe. Bleiben Sie ruhig.

Dem Ton der E-Mails nach zu urteilen, die Sie von diesem Kunden erhalten haben, sollten Sie darauf gefasst sein, dass er Sie anschreit, Ihnen die Schuld gibt und allgemein unangenehm ist. Lass sie. Lassen Sie sie alles sagen, was sie sagen müssen, und unterbrechen Sie sie nicht. Lass sie sich abnutzen und nimm es nicht persönlich. Wenn Sie dann an der Reihe sind, können Sie ruhig Ihre ausgedruckten E-Mails präsentieren, in denen Sie alle Risiken skizziert haben und die Änderungen trotzdem genehmigt wurden. Sie werden versuchen, dich in ein Geschrei-Match zu ziehen, aber es ist wirklich schwer, das mit jemandem zu tun, der sich nicht einmischt. Lassen Sie sich nicht von ihnen auf ihr Niveau ziehen.

Sie haben nichts falsch gemacht und haben die Dokumente, um es zu beweisen. Es ist wahrscheinlich, dass dieser Kunde tatsächlich weiß, dass er im Unrecht ist, aber versucht, es Ihnen anzuhängen, um sich selbst zu retten. Wenn du zulässt, dass sie dir unter die Haut gehen und sich aufregen, ist das ihre letzte Chance, dich mit ihnen in die Tiefe zu ziehen. Es wird nicht funktionieren, wenn Sie ruhig und professionell bleiben.

Nach ein paar Tagen antwortete PM mir nur (alle anderen Empfänger entfernt) in sehr unprofessioneller Weise (alle Großbuchstabensätze, direkte und persönliche Beleidigungen, Androhung von Klagen wegen Inkompetenz usw.) und forderte mich auf, ihre Anträge zu stellen oder „vorbereitet zu sein sehr ernste Konsequenzen zu tragen“

Wenn Sie dies noch nicht getan haben, exportieren Sie diese E-Mails an einen anderen Ort, falls Sie aus irgendeinem Grund nicht auf die E-Mails zugreifen können.

Als nächstes haben Sie es Ihrem Chef gesagt und die E-Mails gezeigt, in denen alles erklärt wurde, was passieren könnte, was passiert ist. Jetzt ist es ein Wartespiel. Sollten sie Sie unter den Bus werfen, können Sie darauf wetten, dass Ihre E-Mails auf mysteriöse Weise verschwinden und Sie gefeuert haben.

Alle E-Mails wurden bereits an meine Chefin weitergeleitet, sie hat sie redigiert. Auch die letzte E-Mail hat sie selbst geschrieben.
@JackJack Aus Neugier, hast du sie weitergeleitet, bevor oder nachdem du die Änderungen vorgenommen hast?
Vom Kunden gezwungen, Sicherheitsfunktionen zu entfernen, beschuldigt mich der Kunde jetzt des Datendiebstahls
AntwortenHierDatenschutz-Bestimmungen1y, 0v