Über den Datenschutz unserer Cloud-Plattform

Der Schutz persönlicher Angaben ist in unserer Daten-getriebenen Welt ein sehr wichtiger Faktor. Nutzer verlassen sich darauf, dass der Verwalter ihrer Daten mit den hinterlassenen Inhalten sorgsam und verantwortungsvoll umgeht. Mit VIA-Cloud betreibt Stadt.Land.Netz eine Plattform, die mit enorm sensiblen Daten arbeitet und bei der die Daten-Inhaber (Schüler und Eltern) keinen direkten Einfluss auf die Erhebung und die Verarbeitung der Daten haben. Wir müssen also großes Augenmerk auf den Datenschutz legen.

Im folgenden Artikel beschreiben wir, welche Maßnahmen wir ergreifen, um unsere Cloud-Plattform so sicher wie möglich zu machen.

Wenn wir von Sicherheit von Daten reden, reden wir in erster Linie von Sicherheitslücken die existieren können und die erkannt und geschlossen oder von Anfang an verhindert werden müssen. Sicherheitslücken teilt man allgemein in technische und in menschliche Lücken.

Menschliche Sicherheitslücken

Erhoben und verarbeitet werden Daten in der Regel von Menschen – Mitarbeitern in den Behörden und bei den Dienstleistern. Sie stellen die unvorhersehbarste Sicherheitslücke dar, da man ihr Handeln nicht direkt kontrollieren und Fehler nicht unbedingt verhindern kann.

1. Unsichere Passwörter

Unsichere Passwörter sind die häufigste Sicherheitslücke. Mitarbeiter nutzen sehr häufig auf Arbeit die gleichen Passwörter wie zu Hause. Da sie aber privat meist sehr viel aktiver im Internet  sind, ist es durch den Arbeitgeber nicht kontrollierbar, ob sie sich auch nur auf sicheren Webseiten bewegen oder ob nicht irgendwo ihre Login-Daten „gestohlen“ werden.

Was viele ebenfalls nicht wissen: das Knacken eines Passworts, das aus persönlichen Daten besteht (Namen von Angehörigen oder Haustieren, Geburtsdaten, alte Adressen, etc.), ist sehr leicht und kann mit der entsprechenden Software manchmal nur Sekunden dauern.

Nicht ungewöhnlich ist auch, dass Mitarbeiter bekannte Passwort-Phrasen nutzen. Im Internet werden Passwort-Listen mit hunderttausenden persönlichen Passwörtern gehandelt. Verwendet man eines dieser Passwörter, kann der eigene Account auch binnen kurzer Zeit „geknackt“ werden.

Was Stadt.Land.Netz dagegen tut:
Unsere Software hat seit der Version 18 einen eigenen Passwort-Checker, der unsichere Passwörter nicht erlaubt. Was wir aber nicht verhindern können ist, dass Passwörter von Mitarbeiter aus persönlichen Angaben bestehen. Sie sollten aber auch selbst sehr sensibel bei der Passwortvergabe sein.

2. Nutzung unsicherer Software oder Plattformen

Nutzen Sie oder Ihre Kollegen Software oder Internet-Portale, bei denen Sie nicht 100%ig sicher sind, dass diese datenschutzkonform handeln, so erzeugen Sie ein weiteres Risiko.

Unsichere oder nicht konforme Plattformen sind bspw. die beliebten Dienste „Dropbox“, „GoogleDrive“, „OneDrive“ oder „iCloudDrive“. Diese Portale dienen dem Austausch von Dateien. Allerdings stehen deren Server zumeist in den USA. Ihre Daten verlassen also Europa, was mit deutschem Datenschutzrecht nicht vereinbar ist.

Ebenfalls nicht datenschutzkonform ist das Versenden von personen-bezogene Daten per E-Mail. E-Mails lassen sich mit Postkarten vergleichen. Sie können frei gelesen, umgeleitet und verändert werden. Das sollten Sie bedenken, wenn Sie das nächste Mal Schülerlisten per E-Mail an Schulen und Verkehrsunternehmen versenden.

Was Stadt.Land.Netz dagegen tut:
Gegen die Nutzung fremder Portale oder dem Versand schützenswerter Daten per E-Mail können wir leider nichts unternehmen. Wir bieten dafür aber individuelle Zugänge in unserer Software an. VIA besitzt neben den Funktionen für die Behörden-Mitarbeiter auch eigene Zugänge für Verkehrsunternehmen und Schulen. Da die Kommunikation von VIA verschlüsselt erfolgt und jeder nur Zugriff auf seine speziell zugeordneten Daten hat, müssen Daten nicht mehr per Mail oder Fremd-Plattform ausgetauscht werden.

3. Nutzung nicht aktueller Software

Der aktuellste Hack „WannaCry“ hat es gezeigt: selbst große Weltkonzerne mit riesigen IT-Sicherheits-Abteilungen sind anfällig. Dass ein Unternehmen wie die Deutsche Bahn, die äußerst kritische Infrastruktur betreibt, nicht in der Lage war sich zu schützen, lag an einem einfachen Problem: Nicht aktualisierte Software.

So wie der DB geht es vielen Behörden. Teils sind noch sehr alte Systeme im Einsatz, für die es schon lange keine Updates mehr gibt. Je älter diese Systeme werden, desto anfälliger werden Sie für neue Probleme und Angriffe. Davor kann man sich nur schützen, indem man seine IT immer aktuell hält. Das betrifft übrigens nicht nur das Betriebssystem, sondern auch installierte Programme wie Browser (und deren Plugins), Systemtreiber und jegliche Software, die auf das Internet zugreift.

Was Stadt.Land.Netz dagegen tut:
Natürlich können wir nicht Ihre PC updaten. Aber dadurch, dass VIA als Websoftware nicht auf dem PC der Nutzer installiert ist, sondern in unserer eigenen Infrastruktur, sind die Daten von VIA nicht anfällig für die Probleme der Anwender-PCs. Auftretende Sicherheitslücken können zudem durch uns schnell behoben werden, indem wir VIA auf unseren Servern updaten. Die Anwender müssen dann nicht noch zusätzliche Programme auf Ihrem eigenen PC updaten, da alle auf das gleiche Programm auf unseren Servern zugreifen.

Technische Sicherheitslücken

Technische Angriffsmöglichkeiten gibt es sehr viele. So viele, dass wir diese hier nicht auflisten wollen oder können. So viele, dass wir unmöglich allein für die Sicherheit unserer Cloud sorgen können, weil wir dafür sehr viel hochqualifiziertes Personal bräuchten. Darum haben wir die Pflege von sicherheitsrelevanten Inhalten unserem Rechenzentrum übergeben. Die Firma Claranet GmbH aus Frankfurt betreibt weltweit Rechenzentren mit teils hoch sicherheitsrelevanten Infrastrukturen. Sie sind absolute Profis in den Themen Hosting und Datenschutz und sorgen auch bei uns für ein hohes Maß an Sicherheit der anvertrauten Daten.

Wollen Sie mehr darüber erfahren, wie wir den Datenschutz sicherstellen oder wie konkrete Maßnahmen zum Schutz der Daten bei Claranet aussehen, dann senden Sie uns gern eine E-Mail an datenschutz@stadtlandnetz.de.

Zertifikate unseres Rechenzentrums

 

Über den Autor

Lars Lehmann
Lars Lehmann

Lars Lehmann ist Mitgründer und Geschäftsführer bei Stadt.Land.Netz. Er hat zehn Jahre in verschiedenen Positionen regionaler Behörden gearbeitet und verantwortet nun die Bereiche Produkt und Entwicklung bei SLN.