Verschlüsselung der Kundendaten

Status
Es sind keine weiteren Antworten möglich.

Bremer

Aktives Mitglied
10. September 2010
121
0
Hallo JTL-Team,

nach dem in letzter Zeit einige Kundendaten online gestohlen wurden und das ja theoretisch jedem passieren kann wollte ich einmal Fragen...
1. Nach welchem Verfahren die Kundendaten verschlüsselt sind (z.B MD5)?
2. Ob etwas zur Verstärkung der Entschlüsselung gemacht wurde (z.B. Salt anreichern)?
3. Und wie stark das ganze Verschlüsselt ist bzw. wie hoch der Aufwand ist das zu entschlüsseln?

VG

Bremer
 

martinwolf

Offizieller Servicepartner
SPBanner
6. September 2012
3.695
350
AW: Verschlüsselung der Kundendaten

Zunächst einmal werden von den ganzen Kundendaten (tkunde) nur der Nachname und die Straße verschlüsselt in die Shopdatenbank gespeichert, meiner Meinung nach zu wenig. Es müssten eigentlich alle relevanten Kontaktdaten die auch nur ansatzweise darauf schließen lassen, wer sich hinter der Kundennummer XYZ befindet verschlüsselt werden. Das schließt natürlich die E-Mail und Webadresse, sowie Telefon und Fax mit ein. Weil wenn die Daten einmal gestohlen worden sind, ist es zumindest nicht ohne Aufwand möglich diese auch auszuwerten.
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
300
Köln
AW: Verschlüsselung der Kundendaten

hi,

Zunächst einmal werden von den ganzen Kundendaten (tkunde) nur der Nachname und die Straße verschlüsselt in die Shopdatenbank gespeichert, meiner Meinung nach zu wenig.
Die Verschlüsselung reicht unserer Meinung nach vollkommen aus. Kein anderes größeres Shopsystem verschlüsselt irgendwas in den Kundendaten. Gerät eine JTL-Shop3 Datenbank in fremde Hände, so kann er nicht viel damit anfangen.

1. Nach welchem Verfahren die Kundendaten verschlüsselt sind (z.B MD5)?
Nein, MD5 ist ein Hash, da kannst du nur in eine Richtung kodieren. Aber nicht mehr zurück.

Ob etwas zur Verstärkung der Entschlüsselung gemacht wurde (z.B. Salt anreichern)?
Salt wird bei Hashverfahren genutzt. Macht insbesondere Sinn, um z.B. gleiche Passwörter unterschiedlicher Kunden nicht zu erkennen.

Und wie stark das ganze Verschlüsselt ist bzw. wie hoch der Aufwand ist das zu entschlüsseln?
Wir nutzen ein Verschlüsselungsverfahren mit einem 128bit Schlüssel.
 

martinwolf

Offizieller Servicepartner
SPBanner
6. September 2012
3.695
350
AW: Verschlüsselung der Kundendaten

Kein anderes größeres Shopsystem verschlüsselt irgendwas in den Kundendaten. Gerät eine JTL-Shop3 Datenbank in fremde Hände, so kann er nicht viel damit anfangen.

Also entschuldige bitte. Nur weil es andere nicht machen heißt es nicht dass es nicht notwendig wäre. Beispiele wie die Einbrücke ins PlayStation Network und co. haben gezeigt dass es eben doch notwendig ist! Wie schwer wird es wohl sein anhand einer Telefonnummer oder des Vornamen und Wohnortes das fehlende Puzzelteil zu finden um einen kompletten Kundendatensatz zu erhalten? Wenn eine Internetadresse oder Firma angegeben hat man schon alles was man braucht. Man muss nur ins Impressum oder im entsprechenden Register nachschlagen.
 

ram1

Sehr aktives Mitglied
22. Juli 2009
1.116
7
AW: Verschlüsselung der Kundendaten

Andersrum... was wären denn die Nachteile, wenn man die Kundendaten komplett verschlüsseln würde?
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
300
Köln
AW: Verschlüsselung der Kundendaten

Also entschuldige bitte. Nur weil es andere nicht machen heißt es nicht dass es nicht notwendig wäre.
Wo habe ich das behauptet? Die Notwendigkeit haben wir vor einigen Jahren schon erkannt, deswegen verschlüsseln wir von Anbeginn des Shop3.

Wie schwer wird es wohl sein anhand einer Telefonnummer oder des Vornamen und Wohnortes das fehlende Puzzelteil zu finden um einen kompletten Kundendatensatz zu erhalten?
Wie willst du das denn machen? Dann musst du mit einer DB abgleichen, die diese Daten enthält. Dann brauchst du aber nicht mehr die Infos, die bei uns verschlüsselt sind?!

Man muss nur ins Impressum oder im entsprechenden Register nachschlagen.
Wo ist der Sinn das Impressum zu Fuss abzugleichen? Dann schreibt man sich doch eher nen Crawler, der massig Daten aus dem Impressum abgrast.

Wenn eine Internetadresse oder Firma angegeben hat man schon alles was man braucht. Man muss nur ins Impressum oder im entsprechenden Register nachschlagen.
Die Firma wird ebenfalls verschlüsselt.

Die Emailadresse wird aber nicht verschlüsselt, das geht auch nicht, da es gleichzeitig der Login des Kunden ist. Auf verschlüsselten Daten in der Datenbank kann man nicht performant genug suchen, daher wird nicht alles verschlüsselt.
 

martinwolf

Offizieller Servicepartner
SPBanner
6. September 2012
3.695
350
AW: Verschlüsselung der Kundendaten

Wo habe ich das behauptet? Die Notwendigkeit haben wir vor einigen Jahren schon erkannt, deswegen verschlüsseln wir von Anbeginn des Shop3.

"Die Verschlüsselung reicht unserer Meinung nach vollkommen aus. Kein anderes größeres Shopsystem verschlüsselt irgendwas in den Kundendaten. Gerät eine JTL-Shop3 Datenbank in fremde Hände, so kann er nicht viel damit anfangen."

OK, habe mich vielleicht falsch ausgedrückt, ihr vreschlüsselt ja nur einen Bruchteil und nicht garnicht. Aber das was bisher verschlüsselt wird ist lächerlich. Da kann man das auch gleich lassen.

Wie willst du das denn machen? Dann musst du mit einer DB abgleichen, die diese Daten enthält. Dann brauchst du aber nicht mehr die Infos, die bei uns verschlüsselt sind?!
Was denn abgleichen? Wenn ich Zugang zur MySQL Datenbank habe, dann habe ich die komplette Struktur und kann sie mir exportieren. Reden wir hier aneinander vorbei?

Wo ist der Sinn das Impressum zu Fuss abzugleichen? Dann schreibt man sich doch eher nen Crawler, der massig Daten aus dem Impressum abgrast.
Du versteht mich scheinbar nicht. Meine Aussage bezog sich darauf, dass man anhand der Webadresse den Kunden schneller identifizieren kann. Denk doch nicht so kompliziert!

Stimmt, hab ich mich vertan.

Die Emailadresse wird aber nicht verschlüsselt, das geht auch nicht, da es gleichzeitig der Login des Kunden ist.
Na sicher geht das. Schonmal was von mcrypt_encrypt und mcrypt_decrypt gehört?

Fakt ist, wenn ein Unbefugter Zugriff auf die Shop Datenbank erhält, kann er einen vollen Export fahren und die Daten auch so ziemlich leserlich auswerten!
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
300
Köln
AW: Verschlüsselung der Kundendaten

Na sicher geht das. Schonmal was von mcrypt_encrypt und mcrypt_decrypt gehört?
Ohje, und bei 50000 Kunden soll der Shop dann alle Datensätze rausholen, jeweils decrypten und auf den eingegebenen Login prüfen, um den Kundendatensatz zu bekommen, der sich gerade einzuloggen versucht?

Sorry, damit hast du dich mit dieser Belehrung disqualifiziert.

Abschliessend: JTL-Shop3 verschlüsselt in diversten Tabellen Nachname, Firma, Strasse, Konto- und Kreditkartendaten. Um diese Daten zu entschlüsseln, benötigt man einen Schlüssel, der nicht in der Datenbank liegt. D.h. hat ein Unbefugter Zugriff auf die Datenbank, so kann er diese Daten nicht lesen.

Thread closed.
 

martinwolf

Offizieller Servicepartner
SPBanner
6. September 2012
3.695
350
Verschlüsselung der Kundendaten die zweite

Find ich nicht in Ordnung dass dieser Thread einfach so geschlossen wurde. Inhaltlich verstößt dieser gegen keinerlei Richtlinien. Darum greife ich das Thema nochmal mit auf, da ich finde, dass es wichtig ist und ich mich auch ehrlich gesagt so nicht abspiesen lasse.

Ohje, und bei 50000 Kunden soll der Shop dann alle Datensätze rausholen, jeweils decrypten und auf den eingegebenen Login prüfen, um den Kundendatensatz zu bekommen, der sich gerade einzuloggen versucht?

Sorry, damit hast du dich mit dieser Belehrung disqualifiziert.
Sorry, aber mit deiner Reaktion den Thread einfach zu schließen hast du dich gerade disqualifiziert. Niemand hat behauptet, dass eine Verschlüsselung aller Daten performant ist. ram1 fraget beispielsweise was gegen eine komplette Verschlüsselung spricht. Da hätt dein Einwand kommen können. Und ja, Logindaten verschlüsseln geht sicherlich auch bei 50000 Datensätzen performant. Wenn dem nicht so wäre, würde niemand sensible Logindaten verschlüsseln! Da das aber nicht der Fall ist scheint es ja doch sinnvolle Praktiken zu geben wie das zu erreichen ist.

Abschliessend: JTL-Shop3 verschlüsselt in diversten Tabellen Nachname, Firma, Strasse, Konto- und Kreditkartendaten. Um diese Daten zu entschlüsseln, benötigt man einen Schlüssel, der nicht in der Datenbank liegt. D.h. hat ein Unbefugter Zugriff auf die Datenbank, so kann er diese Daten nicht lesen.

Nochmal: Diese Angaben, Nachname, Firma, Strasse, Konto- und Kreditkartendaten sind meiner Meinung nach nicht ausreichend! Was spricht dagegen alle Daten, Vorname, Anrede, PLZ, Telefon etc. ebenfalls zu verschlüsseln? Diese Angaben werden eh in die Session geschrieben und müssen lediglich nach einem erfolgreichen Login entschlüsselt werden. Daher findet auch keine weitere Prüfung durch alle 50000 Kundendatensätze statt. Denkt hier niemand an E-Mail Spam und Datenhandel?
 

XYZ

Sehr aktives Mitglied
21. September 2011
2.541
10
AW: Verschlüsselung der Kundendaten die zweite

Der andere Thread wurde nicht ohne Grund geschlossen!

Und ich finde es gut, das die Kundendaten nicht komplett verschlüsselt werden! Erst kürzlich musste ich direkt in der Shop-DB überprüfen, ob einem Kunden sein Guthaben korrekt zugewiesen wurde. Mit komplett verschlüsselten Kundendaten hätte ich den Datensatz nie gefunden!

Und ich frage mich, wer bitte so einfach an die Datenbank kommen sollte? Wenn so ein Shop gehackt wird, dann sicher nur, weil sein Betreiber nur 12345 als Passwort nutzt. Ansonsten kann ich mir keinerlei Szenario vorstellen, warum man es unbedingt auf eine Shopdatenbank absehen sollte und dazu noch extremen Hackingaufwand betreiben sollte.
 
  • Gefällt mir
Reaktionen: federicososa
Status
Es sind keine weiteren Antworten möglich.
Ähnliche Themen
Titel Forum Antworten Datum
Fehlermeldung beim Einlesen der Buchungen in JTL Fibu JTL-Wawi 2.0 2
Neu Wird irgendwo in der Datenbank geloggt welcher WMS-Mobile Benutzer mit dem MDE-Gerät einen Auftrag, bzw. Pickliste gepickt hat? User helfen Usern - Fragen zu JTL-Wawi 1
Neu Gibt es in der WaWi-Datenbank einen Zeitstempel, der anzeigt wann ein Kunde sich in einem bestimmten Shop registriert hat? User helfen Usern - Fragen zu JTL-Wawi 3
Neu Amazon.com - kein Abgleich der Bestände Wawi 1.11.9 Amazon-Anbindung - Fehler und Bugs 0
Name der Versandarten wird im Auftrag sporadisch nicht mehr angezeigt (2.0.3) JTL-Wawi 2.0 2
Neu Wawi 1.11. Amazon Rechnungen (extern) in der Kundenansicht verschwunden ?! User helfen Usern - Fragen zu JTL-Wawi 2
Neu Der wahrscheinlich östlichste JTL Servicepartner: Standortvorteil, faire Preise und vieles mehr Dienstleistung, Jobs und Ähnliches 16
Neu Eigener Export - Kunden individuelle Preise + verfügbarer Bestand + VK netto der Kundengruppe User helfen Usern - Fragen zu JTL-Wawi 6
Neu Rechnungen zeigen Paypal Text an, obwohl er in der Vorlage nicht ausgewählt ist JTL-Wawi 2.0 3
Updatezwang beim öffnen der WAWI JTL-Wawi 1.6 13
Neu Produktionsaufträge tauchen nicht in der Workbench auf JTL-Plan&Produce - Fehler und Bugs 2
Neu Ist es ohne Probleme möglich Cloudflare in der Free Version mit JTL zu nutzen? Allgemeine Fragen zu JTL-Shop 7
Neu Paypal 2.2.1; Fehler "Der Zahlungsanbieter hat eine Anmeldung gefordert" Plugins für JTL-Shop 0
Neu Sortierung der Variationswerte funktioniert nicht mehr Shopify-Connector 6
Neu Wert aus „Eigenes Feld“ eines Artikels im Lieferschein unter der Artikelbezeichnung anzeigen Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 0
Neu Rabatte aus dem JTL-Shop werden in der Wawi nur als Netto-Preis übernommen, Rabatt % gehen verloren Onlineshop-Anbindung 0
Freie Felder in der Artikelliste anzeigen JTL-Wawi 2.0 3
ändern von Servernamen nach Neuinstallation von SQL und Verbindung mit neuem Server in der Wawi JTL-Wawi 2.0 2
Neu Erstellung der Sitemap bei WaWi Abgleich funktioniert nicht Allgemeine Fragen zu JTL-Shop 0
Neu Unterschiedliche Abnahmeintervalle von Variationskombinationen in der Warenkorbmatrix Templates für JTL-Shop 0
Neu Betrag auf der Rechnung nach Rechnungskorrektur User helfen Usern - Fragen zu JTL-Wawi 1
Neu PDF Anhänge in der Bestellbestätigung anhängen missglückt JTL-Shop - Fehler und Bugs 1
Neu Anzahl der URLs in der Sitemap ändern Allgemeine Fragen zu JTL-Shop 3
Neu Ab welcher JTL Wawi Version ist der OnPremise REST API Endpoint POST /v2/returns oder POST /v1/returns für Create Return verfügbar? Schnittstellen Import / Export 0
Neu ⚠️📦 ACHTUNG: Abkündigung der DHL-Schnittstelle zum 15.06.2026 News, Events und Umfragen 0
Neu Telemetrie-Datenerfassung in JTL-Shop 5.7.0: Bitte um Klarstellung der DSGVO-relevanten Aspekte Allgemeine Fragen zu JTL-Shop 5
Frage zur Speicherung der Produktbilder JTL-Wawi 1.11 1
Neu Der Inhalt / Text ist verschwunden – ist das ein Fehler JTL-Shop - Fehler und Bugs 0
Plattformabgleich Shop löschen - Wo ist das in der MySQL DB? JTL-Wawi 2.0 4
Anzeige der Variantenartikel JTL-Wawi 1.11 0
Neu Workflows speichern z.B. Rechnungen nicht mehr seid der 2.01 User helfen Usern - Fragen zu JTL-Wawi 1
Neu Ein Artikel in der Kategorie Allgemeine Fragen zu JTL-Shop 5
Neu Widerrufsbutton: Jeder, der den Button betätigt, kann das Widerrufsformular ausfüllen und absenden - auch ohne Bestellung? Allgemeine Fragen zu JTL-Shop 94
Neu Komma aus Produktbezeichnung soll als Bindestrich in der URL sein Allgemeine Fragen zu JTL-Shop 1
Retouren - Bearbeitung der Adressdaten JTL-Wawi 2.0 4
Update auf Shop 5.5.0 von 5.4.1 ist der Shop nicht mehr erreichbar Upgrade JTL-Shop4 auf JTL-Shop5 4
Neu Lieferadresse in PayPal-Transaktion weicht von der in der Wawi ab Plugins für JTL-Shop 0
Häufiges Aufhängen - vermutlich Probleme mit der Datenbank JTL-Wawi 2.0 13
Neu Wichtige Info: Abkündigung der DHL-Schnittstelle zum 31.05.2026 News, Events und Umfragen 0
Neu Fehler beim Update der Datenbank von 1.11.7 auf 2.0.1 JTL-Wawi - Fehler und Bugs 7
2.0.0: Aufruf der Plattform - Logbücher führt zu Crash der Wawi JTL-Wawi 2.0 0
Neu Falsche Berechnung der Kassen im Kundencenter - Multikasse noch aktiv Smalltalk 0
Probleme bei der Verbindung zur Datenbank JTL-Wawi 2.0 12
Neu Platz der Sidebar nutzen JTL-Shop - Ideen, Lob und Kritik 0
Neu Anpassung Kundendaten auf XRechnung User helfen Usern - Fragen zu JTL-Wawi 5

Ähnliche Themen