Hallo liebe Macher von Admidio,
auch von mir ein dickes Lob für Euer Programm. Die Version 2 ist noch einmal ein richtiger Schritt nach vorne. Weiter so!
Wenn ich jetzt Admidio bei uns einführen möchte, stellen sich für mich folgende Fragen:
Wie sicher sind die Daten? Mit wie viel Aufwand kann kann man an die Daten gelangen?
Wie sieht es rechtlich aus? Müssen alle Mitglieder ein schriftliches Einverständnis geben, wenn Ihre Daten in dieser Form gespeichert werden?
Ich denke, das sind die Fragen, die mir gestellt werden, wenn ich dieses tolle Programm vorstellen werde.
Vielleicht können die Fachleute unter Euch etwas zu der Sicherheit sagen und die, die es bereits anwenden, Ihre Erfahrungen mit der Zustimmung der Mitglieder mitteilen.
Für Euer Feedback schon jetzt vielen Dank.
Admidio, Rechtliches und Sicherheit
Zuerst einmal müsste man noch nach Land (Deutschland, Schweiz und Österreich) unterscheiden, ich könnte daher höchstens zur Situation bei mir in der Schweiz etwas dazu schreiben.
Allgemein sieht es so aus, dass es keine Probleme gibt, wenn ein Mitglied von sich auch sich registriert und die Profilfelder mit den zusätzlichen Angaben ausfüllt. Heikler sieht es dagegen aus, wenn dies ein Dritter (Mitgliederlistenverwalter im Vorstand) macht, speziell wenn keine Zustimmung vom Mitglied vorliegt.
Sonst ein Gesetzesartikel dazu:
http://www.admin.ch/ch/d/sr/235_1/a7.html
d.h. dass personenbezogene Daten grundsätzlich geschützt sein müssen.
Selbstverständlich sollen sich doch bitte noch je ein Deutscher und ein Österreicher zu diesem Thema hier äussern, damit wir die Rechtslage für den deutschsprachigen Raum hier komplett haben!
Allgemein sieht es so aus, dass es keine Probleme gibt, wenn ein Mitglied von sich auch sich registriert und die Profilfelder mit den zusätzlichen Angaben ausfüllt. Heikler sieht es dagegen aus, wenn dies ein Dritter (Mitgliederlistenverwalter im Vorstand) macht, speziell wenn keine Zustimmung vom Mitglied vorliegt.
Sonst ein Gesetzesartikel dazu:
http://www.admin.ch/ch/d/sr/235_1/a7.html
d.h. dass personenbezogene Daten grundsätzlich geschützt sein müssen.
Selbstverständlich sollen sich doch bitte noch je ein Deutscher und ein Österreicher zu diesem Thema hier äussern, damit wir die Rechtslage für den deutschsprachigen Raum hier komplett haben!
Teste die PC-Sicherheit mit www.sec-check.net
-
matzman2000
- Former team member
- Beiträge: 1087
- Registriert: 2. Sep 2007, 17:12
- Wohnort: Itzstedt
- Kontaktdaten:
Rechtliches
In Deutschland regelt das Bundesdatenschutzgesetz (BDSG) u.a. den Umgang mit personenbezogenen Daten. In §4 Absatz 1 BDSG schreibt klar vor, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur zulässig ist (...), wenn der Betroffene eingewilligt hat.
D.h. dass für die Datenhaltung mit Admdio eine Einwilligung jeden einzelnen notwnedig ist. Diese kann - abhängig von der Art der Daten - online oder schriftlich erfolgen. Auf jeden Fall dürfen die Daten nur mit Zustimmung des einzelnen genutzt werden!
Details finden sich im Gesetzestext: http://bundesrecht.juris.de/bdsg_1990/
-> Für unsere Feuerwehr habe ich z.B. einen Vordruck erstellt, den jeder einzelne ausgefüllt und unterschrieben hat und auch dem darauf hingewiesen wurde, wofür und in welchem Umfang die Daten genutzt werden sollen. Zudem habe ich dort darauf verwiesen, dass es jederzeit möglich ist, auf Anforderung die Daten zu entfernen.
Sicherheit
Das Thema Sicherheit ist von mehreren Faktoren abhängig. Dabei ist vordergründig neben den offensichtlichen Zugangsmöglichkeiten (Benutzername und Passwort) sicherlich die richtige Konfiguration des verwendeten Webservers zu bertrachten. Ein ganz banales Beispiel: Kann ich unter Verwendung eines Scriptes mit Bezug auf die Admidioinstallation auf dem eigenen Server von einem fremden Server aus zugreifen?
An dieser Stelle muss man sich die Frage stellen, wie weit die Daten tatsächlich abgesichert sind. Wird eine Verschlüsselung eingesetzt? Welche Datenbankversion wird verwendet? Was erlaubt die Serverkonfiguration? Wie "schlau" sind meine Zugangsdaten gewählt?
Aus den Antworten dieser Fragen ergibt sich die Antwort zum Thema Sicherheit. Pauschal würde ich sagen, dass die Daten schon geschützt sind, es gibt aber u.U. Möglichkeiten (Aufwand = ?) an sie zu gelangen.
-> Vielleicht kann dreael zu diesem Thema etwas genaueres sagen, er ist auf dem Sektor m.E. ziemlich fit!
In Deutschland regelt das Bundesdatenschutzgesetz (BDSG) u.a. den Umgang mit personenbezogenen Daten. In §4 Absatz 1 BDSG schreibt klar vor, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur zulässig ist (...), wenn der Betroffene eingewilligt hat.
D.h. dass für die Datenhaltung mit Admdio eine Einwilligung jeden einzelnen notwnedig ist. Diese kann - abhängig von der Art der Daten - online oder schriftlich erfolgen. Auf jeden Fall dürfen die Daten nur mit Zustimmung des einzelnen genutzt werden!
Details finden sich im Gesetzestext: http://bundesrecht.juris.de/bdsg_1990/
-> Für unsere Feuerwehr habe ich z.B. einen Vordruck erstellt, den jeder einzelne ausgefüllt und unterschrieben hat und auch dem darauf hingewiesen wurde, wofür und in welchem Umfang die Daten genutzt werden sollen. Zudem habe ich dort darauf verwiesen, dass es jederzeit möglich ist, auf Anforderung die Daten zu entfernen.
Sicherheit
Das Thema Sicherheit ist von mehreren Faktoren abhängig. Dabei ist vordergründig neben den offensichtlichen Zugangsmöglichkeiten (Benutzername und Passwort) sicherlich die richtige Konfiguration des verwendeten Webservers zu bertrachten. Ein ganz banales Beispiel: Kann ich unter Verwendung eines Scriptes mit Bezug auf die Admidioinstallation auf dem eigenen Server von einem fremden Server aus zugreifen?
An dieser Stelle muss man sich die Frage stellen, wie weit die Daten tatsächlich abgesichert sind. Wird eine Verschlüsselung eingesetzt? Welche Datenbankversion wird verwendet? Was erlaubt die Serverkonfiguration? Wie "schlau" sind meine Zugangsdaten gewählt?
Aus den Antworten dieser Fragen ergibt sich die Antwort zum Thema Sicherheit. Pauschal würde ich sagen, dass die Daten schon geschützt sind, es gibt aber u.U. Möglichkeiten (Aufwand = ?) an sie zu gelangen.
-> Vielleicht kann dreael zu diesem Thema etwas genaueres sagen, er ist auf dem Sektor m.E. ziemlich fit!
Vielleicht hier auch noch ein Hinweis zur Sicherheit:
Wir könnten niemals die Hand dafür ins Feuer legen, dass Admidio abslolut sicher ist. Letztens hatten wir einen ziemlich dicken Klopper in der Version 1.4.8... Wer weiss, ob bei uns nicht noch irgendwo etwas anderes schlummert.
Dazu kommt, dass Sicherheitslücken auch in anderer Software auf dem gleichen Webspace enthalten sein können. Zum Beispiel Joomla, phpBB etc. oder auch im eigenen Code, wodurch man an die Zugangsdaten der DB gelangen könnte...
Daher würde ich keine besonders sensiblen Daten auf einem normalen Webserver im Internet abkippen!
Und jetzt mal ganz offiziell der Hinweis:
Wir können natürlich nicht für die Sicherheit auf Euren Systemen garantieren und jeder von Euch ist selbst für die Daten verantwortlich die Ihr auf Euren Servern speichert!
Gruß
Elle
Wir könnten niemals die Hand dafür ins Feuer legen, dass Admidio abslolut sicher ist. Letztens hatten wir einen ziemlich dicken Klopper in der Version 1.4.8... Wer weiss, ob bei uns nicht noch irgendwo etwas anderes schlummert.
Dazu kommt, dass Sicherheitslücken auch in anderer Software auf dem gleichen Webspace enthalten sein können. Zum Beispiel Joomla, phpBB etc. oder auch im eigenen Code, wodurch man an die Zugangsdaten der DB gelangen könnte...
Daher würde ich keine besonders sensiblen Daten auf einem normalen Webserver im Internet abkippen!
Und jetzt mal ganz offiziell der Hinweis:
Wir können natürlich nicht für die Sicherheit auf Euren Systemen garantieren und jeder von Euch ist selbst für die Daten verantwortlich die Ihr auf Euren Servern speichert!
Gruß
Elle
Zur Thematik Webserver-Sicherheit: Damit bin ich täglich mit meinem kleinen Kundenwebserver ebenfalls konfrontiert. Tatsache ist die: Der Apache läuft üblicherweise als "wwwrun"-Benutzer mit niedrigen Rechten und muss daher Zugriff auf sämtliche gehosteten Sites haben, was bei Shared Hosting tatsächlich ein Problem werden kann.
Eine Abhilfe könnte ein Stück weit eine SuExec-Umgebung sein, d.h. PHP-Scripte werden vom Apache-Prozess unter demselben Linux-Benutzer ausgeführt wie der FTP-Benutzer des Webmasters. Ist natürlich auch nicht ganz ohne: Dafür bekommt jetzt der Apache-Daemon die Möglichkeit, sämtliche Teile einer Site verändern zu können, weil als Dateieigentümer ein aufsperrendes "chmod" möglich ist, dafür sind Übergriffe zu "benachbarten" Internet-Auftritten nicht mehr so ohne Weiteres möglich.
Es gibt inzwischen auch Ansätze, für jeden virtuellen Host die benötigten Prozesse in einer chroot()-Umgebung als eine Art Mini-Linuxumgebung auszuführen (vserver-Projekt) ähnlich wie Guest-Systeme in VMware, so dass sich ein erfolgreicher Angreifer nur innerhalb des einen Internet-Auftritt "austoben" kann.
Eine Abhilfe könnte ein Stück weit eine SuExec-Umgebung sein, d.h. PHP-Scripte werden vom Apache-Prozess unter demselben Linux-Benutzer ausgeführt wie der FTP-Benutzer des Webmasters. Ist natürlich auch nicht ganz ohne: Dafür bekommt jetzt der Apache-Daemon die Möglichkeit, sämtliche Teile einer Site verändern zu können, weil als Dateieigentümer ein aufsperrendes "chmod" möglich ist, dafür sind Übergriffe zu "benachbarten" Internet-Auftritten nicht mehr so ohne Weiteres möglich.
Es gibt inzwischen auch Ansätze, für jeden virtuellen Host die benötigten Prozesse in einer chroot()-Umgebung als eine Art Mini-Linuxumgebung auszuführen (vserver-Projekt) ähnlich wie Guest-Systeme in VMware, so dass sich ein erfolgreicher Angreifer nur innerhalb des einen Internet-Auftritt "austoben" kann.
Teste die PC-Sicherheit mit www.sec-check.net
