Hallo Admidio Team,
wir setzen admidio nun seit einigen Wochen als Verwaltung unserer Vereinsmitglieder ein und ich als Admin berichte natürlich von den Mitgliederbetreuern die admidio hauptsächlich nutzen um mit Ideen aus der täglichen Arbeit damit Vorschläge zu unterbreiten damit admidio in seiner Funktionalität immer besser wird. Zwei Anregungen zum Thema Datensicherheit.
1. Backup Funktion
Ich denke es sollte im Adminbereich eine Funktion geben die es Admins die über keinen Rootserver verfügen die Möglichkeit geben ihre DB zu sichern und herunterzuladen.
2. Datensicherheit
Ich habe als Rootserverbetrieber noch etwas mehr Möglichkeiten die DB und auch den Zugang abzusichern. Was ist aber mit Admins die admidio nur auf einem Space betreiben? In der heutigen Zeit ist Datenschutz und -sicherheit eines der tagesaktuellsten Themen überhaupt. Da admidio mit Personendaten umgeht sollte hier ein besonderes Augenmerk auf Datensicherheit gelegt werden. Ich kann nun nicht sagen wie admidio sich verhält wenn man mehrere Felder auf der DB verschlüsseln würde. Ich würde nach dem Prinzip vorgehen das die Felder verschlüsselt werden die eine Zuordnung möglich machen. Dazu gehören für mich Name, Geburtsdatum sowie Geschlecht. Weiterhin sollte dem Admin auch die Verschlüsselung selbst angelegter Felder optional angeboten werden.
Wie sieht man diese Denkweise im Team?
Datensicherheit und-schutz
Hallo Mgx,
zu deiner ersten Anregung:
Ab Version 2.1 wird es in Admido eine Backup funktion gegeben. Allerdings gibt es jetzt bereits Tools mit denen man auch ohne Rootserver ein Datenbank Backup durchführen kann (MysqlDumper, PhpMyAdmin).
zu deiner zweiten Anregung:
Welchen Grad von Sicherheit möchtest du denn damit erreichen?
Eine einfache Datenverschleierung ohne Schlüssel, würde ja schon dafür sorgen das jemand etwas Aufwand treiben müsste um die Daten zu entschleiern. Wie das ging wäre aber Aufgrund des offenen Quelltexts von Admidio kein Problem.
Die nächste Stufe wäre die Ver- und Entschlüsselung Anhand eines zentralen konfigurierbaren Schlüssels. Der Schlüssel wäre dann aber auch auf dem Server hinterlegt. D.h. wenn jemand Zugang zur Datenbank erlangt hat, ist die Warscheinlichkeit recht hoch, das er auch an den Schlüssel kommt.
Die einzig halbwegs Sichere Stufe wäre es, die Daten z.B. mit einem Userabhängigen Passwort zu verschlüsseln. Das wäre dann nirgendwo gespeichert. Würde aber die Funktionalität von Admidio zu sehr einschränken, da kein anderer Nutzer, noch nicht mal der Administrator die Daten entschlüsselt sehen könnte.
Gruß
Roland
zu deiner ersten Anregung:
Ab Version 2.1 wird es in Admido eine Backup funktion gegeben. Allerdings gibt es jetzt bereits Tools mit denen man auch ohne Rootserver ein Datenbank Backup durchführen kann (MysqlDumper, PhpMyAdmin).
zu deiner zweiten Anregung:
Welchen Grad von Sicherheit möchtest du denn damit erreichen?
Eine einfache Datenverschleierung ohne Schlüssel, würde ja schon dafür sorgen das jemand etwas Aufwand treiben müsste um die Daten zu entschleiern. Wie das ging wäre aber Aufgrund des offenen Quelltexts von Admidio kein Problem.
Die nächste Stufe wäre die Ver- und Entschlüsselung Anhand eines zentralen konfigurierbaren Schlüssels. Der Schlüssel wäre dann aber auch auf dem Server hinterlegt. D.h. wenn jemand Zugang zur Datenbank erlangt hat, ist die Warscheinlichkeit recht hoch, das er auch an den Schlüssel kommt.
Die einzig halbwegs Sichere Stufe wäre es, die Daten z.B. mit einem Userabhängigen Passwort zu verschlüsseln. Das wäre dann nirgendwo gespeichert. Würde aber die Funktionalität von Admidio zu sehr einschränken, da kein anderer Nutzer, noch nicht mal der Administrator die Daten entschlüsselt sehen könnte.
Gruß
Roland
Vielen Dank, das es backup Tools gibt ist mir bekannt. Eine Funktion in Admidio selbst sehe ich auch nur als Service für Admins die nur nen Webspace betreiben.
Was die Verschlüsselung angeht so habe ich gedacht das im Falle des "Abhanden" kommens der DB es nicht möglich sein sollte Namen den Adressen oder persönlichen Daten zuordnen zu können.
War auch nur ein Gedanke zumal es dann auch an die Performance geht wenn unentwegt ver- und entschlüsselt wird auf der DB.
Was die Verschlüsselung angeht so habe ich gedacht das im Falle des "Abhanden" kommens der DB es nicht möglich sein sollte Namen den Adressen oder persönlichen Daten zuordnen zu können.
War auch nur ein Gedanke zumal es dann auch an die Performance geht wenn unentwegt ver- und entschlüsselt wird auf der DB.
Gute Verschlüsselungsalgorithmen halten sich immer ans Kerkhoffsche Prinzip, denn in der Praxis hat Security through Obscurity schon vielfach versagt. Bekannte Beispiele: MiFare-Chip und CSS bei der Film-DVD.milkaman hat geschrieben:Eine einfache Datenverschleierung ohne Schlüssel, würde ja schon dafür sorgen das jemand etwas Aufwand treiben müsste um die Daten zu entschleiern. Wie das ging wäre aber Aufgrund des offenen Quelltexts von Admidio kein Problem.
Zu diesem Thread allgemein: In Firmen stellt dies ebenfalls ein ernsthaftes Problem dar: Systemmanager haben aufgrund ihrer Domänenadminrechte in der Regel auf alle Geschäftsdaten Zugriff, auch wenn ihnen ein Beschluss der Geschäftsleitung nichts angeht. Es gibt daher ebenfalls schon Ansätze, Firmendaten mit Benutzerschlüsseln zu verschlüsseln. Das Ganze ist aber ebenfalls nicht ganz unproblematisch, denn zum einen könnte ein Mitarbeiter als alleiniger Schlüsselkenner die Firma verlassen und niemand kommt mehr an dessen Daten, zum anderen kann ein Systemmanager auch nicht mehr die volle Verantwortung übernehmen, weil ihm ja der Mitarbeiterschlüssel zur Durchführung einer Funktionskontrolle fehlt. Und sobald man ein System mit Masterschlüssel wählt, verlagert sich das Missbrauchspotenzial einfach auf diejenigen Personen, die den Masterschlüssel besitzen...
Von daher denke ich eher: Auf einer Anwendung wie Admidio (Ort: öffentlich zugänglicher Webserver!) bewusst nicht zuviele Informationen über die Mitglieder speichern, sondern im Idealfall nur gerade soviel, dass die angestrebte Vereinsverwaltung erfüllt werden kann, andererseits der Schaden bei einem Datendiebstahl minim bleibt.
Konkretes Beispiel aus meinem Umfeld als Vereinskassier eines Turnvereins: Ich selber besitze für die Vergütung von Vereinsauslagen mittlerweilen von den meisten die Bankverbindung. Diese wird jedoch bewusst nicht im Vereinsadmintool erfasst (die Feld für Konto-Nr. und Clearing-Nr. [entspricht BLZ] wären vorhanden), da uns bei dieser Closed Source-Anwendung die Einbruchsicherheit überhaupt nicht bekannt ist, ebenso wenig, wer bei dieser zentralen Lösung so alles drin herumschnüffelt. Selbst die Geburtsdaten würde ich daher dort lieber weglassen...
Teste die PC-Sicherheit mit www.sec-check.net
