Sicherheit


Die Sicherheit der Anwendung hat zwei Aspekte:
  1. Datenschutz
    Unter dem Begriff Datenschutz können alle Maßnahmen verstanden werden, die einen Zugriff von unbefugten Personen auf die Daten verhindern. Im System wurden folgende Maßnahmen hierfür getroffen:
    1. Speicherung der Daten in einem zertifizierten Rechenzentrum
      Die Daten werden auf einem Datenbankserver in einem Rechenzentrum der Firma Domainfactory gespeichert. Das Rechenzentrum verfügt über folgende Eigenschaften:
      • Vollklimatisierte Räume mit modernsten Luftzirkulationseinrichtungen
      • Brandschutz / Feuerüberwachung
      • Unterbrechungsfreie Videoüberwachung
      • Zutrittskontrolle durch Kennkarten und Handflächen-Scanner
      • Unterbrechungsfreie Stromversorgung / Generatoren
      • Netzwerküberwachung rund um die Uhr
      • Betrieb der Rechenzentrums-Firewall durch speziell geschultes Personal

    2. Verschlüsselte Datenübertragung
      Die Anwendung ist nur über HTTPS (SSL) aufrufbar. Dabei wird zwischen dem Endgerät, was in der Regel ein PC ist, und dem Webserver eine verschlüsselte Datenverbindung aufgebaut und sämtliche Daten werden somit für Unbefugte, die eventuell den Datenverkehr abhören könnten, nicht lesbar übertragen.
    3. Zugriffsschutz
      Der Zugang zum System ist durch einen Login geschützt. Der Login besteht aus der Angabe eines Namens und eines Passworts, das bestimmten Mindestanforderungen genügen muss. Alle Programme des Systems überprüfen, ob der Login erfolgreich durchgeführt wurde. Login-Fehlversuche werden protokolliert und der Benutzer nach einer bestimmten Anzahl Fehlversuche gesperrt.
      Eine Zwei-Faktor-Authentifizierung (2FA) kann wahlweise eingeschaltet werden.
    4. DVS-Dokumentenspeicherung in einem gesicherten Bereich
      Dokumente, die über das DVS hochgeladen werden, speichert das System in einem Bereich auf der Festplatte, der nicht über HTTP (direkter Internetzugriff) erreichbar ist. Das hat zur Konsequenz, dass die Dokumente nicht über einen Link zur Verfügung gestellt und der Zugriff über die einstellbaren Berechtigungen geregelt werden können.

  2. Datensicherheit
    Der Begriff Datensicherheit steht für die Maßnahmen, die einem möglichen Datenverlust entgegen wirken. Hier bietet der Betrieb des Systems in einem Rechenzentrum unschätzbare Vorteile gegenüber einer Speicherung auf einem einzelnen PC, selbst wenn die zuständigen Personen beteuern, dass Datensicherungen angelegt worden sind. Oft sind diese Sicherungen veraltet, lassen sich nicht wieder zurückspielen oder werden in der Nähe des PCs aufbewahrt, so dass beispielsweise schon ein kleiner Brand alle Daten unwiederbringlich zerstören würde.
    Folgende Vorkehrungen wurden in bezug auf das MGVO Systems getroffen:
    1. Verwendung von gespiegelten Festplatten
      Die Speicherung der Daten erfolgt mittels des RAID-1 Verfahrens auf zwei Festplatten parallel. Selbst bei Ausfall einer Festplatte sind alle Daten weiterhin verfügbar. Den Austausch einer defekten Festplatte würde man noch nicht einmal bemerken.
    2. Tägliche Datensicherung
      Die Festplatten werden täglich im Rechenzentrumsbetrieb komplett durch ein Backup-System gesichert, so dass selbst nach einem Totalausfall innerhalb kürzester Zeit ein Reservesystem aufgebaut werden könnte.
      Daneben wird die MGVO-Datenbank nochmals separat täglich gesichert, so dass auftretende Datenverluste, zum Beispiel durch Fehlbedienung, jederzeit wieder rekonstruierbar sind.
    3. Physischer Schutz
      Wie bereit weiter oben erwähnt, befindet sich der Server in einem Hochleistungsrechenzentrum, das über Zutrittskontrollen und Brandschutzeinrichtungen verfügt, so dass der physische Schutz des Servers gewährleistet ist.

Daneben muss aus Sicht des Vereins die Einhaltung des Datenschutzes betrachtet werden. Alle Personen, die Zugriff auf personenbezogene Daten haben, müssen laut Datenschutzgesetz auf Einhaltung des Datengeheimnisses verpflichtet werden. Dabei ist nicht nur der Zugriff auf das System, sondern auch und ganz besonders der Umgang mit Drucklisten zu beachten, da oftmals nicht sorgfältig genug mit den Listen umgegangen wird.
Als Hilfestellung für Sie haben wir eine Vorlage erstellt, mit der Sie die in Betracht kommenden Personen in Ihrem Verein zum Datengeheimnis verpflichten können.