Thread "Verschlüsselung der Daten nach DSGVO"

Tabs

  • Deleted
    Deleted | 25. Jan 2019, 18:12
    Verschlüsselung der Daten nach DSGVO
    Liebes Forum,

    möglicher Weise ist dieses nicht der richtige Platz für die Anfrage, aber die anderen Foren passen auch nicht richtig.
    Problemstellung:
    Die DSGVO fordert einen Schutz der personenbezogenen Daten. Dazu wird auch eien Verschlüsselung des Datenbestandes gefordert, damit bei einem Einbruch ins System die Daten nicht abgezogen werden. Fast alle Installationen dürften in den Datenbanken Identifikationsdaten in Klarschrift enthalten. Zummindest die, die die iliaseigene Nutzterverwaltung nutzen.

    Folgende Fragen:
    1. wer nutzt einen exteren Serveranbieter zum Hosting?
    1.1. wenn 1. ja, wie ist die Sicherheit geregelt?
    1.2 wie wird dieses DSGVO konform geregelt, oder ggf. in dem Auftragsdatenverarbeitungsvertrag formuliert?
    2. hat jemand eine Form der Absicherung gefunden?
    3. gibt es schon Entwicklungen, die dieses Problem technisch lösen (Datenbank müsste verschlüsselt sein, Scripte müssten zur Laufzeit entschlüsseln)
    4. Argumente
    5. wie lösen dieses Anbieter mit einem großen Nutzerpool (Schulen, Universitäten, etc.)
    6. wer hat spezielle Maßnahmen zum Einbruchschutz getroffen, welche?

    Danke für mögliche Antworten und Sorry, wenn die Stelle für den Post hier verkehrt ist.

    Grüße

    Thomas
  • wolfganghuebsch
    wolfganghuebsch | wolfganghuebsch (Moderation) | 4. Feb 2019, 08:38
    Re: Verschlüsselung der Daten nach DSGVO
    Moin Thomas!
    Ich nutze vServer bei Hosteurope. Verschlüsselte Laufwerke, die gibt es bei Servern nicht, behaupte ich jetzt mal. Also Verschlüsselung im Sinne von Veracrypt oder Bitlocker. Eine Zugangsbechränkung natürlich schon. Die Passwörter sind in ILIAS md5-verschlüsselt und zusätzlich noch mit einem langen Salt-Key, was in meinen Augen Stand der Technik ist. 

    Wenn es eine Verschlüsselung von Daten geben würde: Im Betrieb sind diese ja zwangsläufig entschlüsselt. Solange nichts mobil ist, muss nichts verschlüsselt sein, lautet daher mein Fazit.

    Beste Grüße

    Wolfgang
  • Deleted
    Deleted | 4. Feb 2019, 18:54
    Re (2): Verschlüsselung der Daten nach DSGVO
    Hallo Wolfgang,

    Danke für Deine Antwort. In gewisser Weise beruhigt er mich.

    Musste mich mit den Gesetzen im Rahmen eines Vertragswerks auseinandersetzen. Als schützenswert werden ja Name, Vorname, ... angesehen.
    Das Passwort spielt keine Rolle mehr, wenn der Server in fremde Hände gefallen ist. Geklaut werden dann "persönliche Daten", für deren Verlust der Serverbetreiber haftbar gemacht werden kann - siehe die fast wöchentlichen Berichte in den Medien. Technisch ist mir allerdings auch unklar, wie ein solcher Schutz realisiert werden sollte. Die Installation muss ja irgendwie auf die Daten zugreifen können. Wenn Du Interesse hast lies Dir mal den Mustervertrag zur Auftragsdatenverarbeitung durch (https://www.activemind.de/datenschutz/dokumente/). Anhang technische Vorkehrungen. Die Ausführungen dort haben mich etwas aufgeschreckt.

    Verbindliche Grüße
    Thomas
  • rbaumgartner
    rbaumgartner | rbaumgartner | 5. Feb 2019, 08:40
    Re (2): Verschlüsselung der Daten nach DSGVO
    Quote (Wolfgang Hübsch (wolfganghuebsch))
    [...]Die Passwörter sind in ILIAS md5-verschlüsselt und zusätzlich noch mit einem langen Salt-Key, was in meinen Augen Stand der Technik ist.

    Ich möchte das kurz klarstellen: MD5 ist schon lange nicht mehr Stand der Technik und ILIAS nutzt seit Version 5.0 bcrypt zum hashen der Passwörter. Siehe den folgenden Feature Wiki Eintrag: https://docu.ilias.de/goto_docu_wiki_wpage_4198_1357.html

    Die Grundaussage ist aber richtig, ILIAS speichert (natürlich) keine Passwörter im Klartext.