Neu DATENBANKVERSCHLÜSSELUNG

WAWI-USER321

Sehr aktives Mitglied
26. Dezember 2013
250
34
Laut DSGVO müssen Datenbanken die Persönliche Daten enthalten verschlüsselt werden, und ich meine hier nicht die Verschlüsselung der Datenbankverbindung, sondern die Verschlüsselung der Datenbanken an sich.

In der Shop Datenbank werden die sensiblen Daten ja automatisch verschlüsselt, die Frage ist, wie es in der Wawi Datenbank aussieht.

Daher wollte ich mal fragen, ob jemand mit der Verschlüsselung von SQL Datenbanken Erfahrungen hat.

Dazu sollte gesagt werden dass es sich in dem Fall um den SQL Server express handelt, also eine abgespeckte Version.
 
  • Gefällt mir
Reaktionen: Horus Sirius

gre000

Sehr aktives Mitglied
28. Juli 2015
911
92
Laut DSGVO müssen Datenbanken die Persönliche Daten enthalten verschlüsselt werden
Nein das stimmt pauschal so nicht!
Das kommt ganz drauf an was für Daten in der DB stehen und welchen Schaden diese anrichten können.
Klar bei KK und Bankdaten oder wenn du einen Sexshop betreibst und das veröffentlichen der reinen Geschäftsbeziehung schon unangenehm für den Kunden ist wäre verschlüsseln eine Möglichkeit.
Aber das Datenbanken Grundsätzlich verschlüsselt werden müssen ist falsch
 

WAWI-USER321

Sehr aktives Mitglied
26. Dezember 2013
250
34
Die Verschlüsselung des Dateisystems macht natürlich sinn, bisher haben wir das mit Back-up Datenträgern gemacht.
 

WAWI-USER321

Sehr aktives Mitglied
26. Dezember 2013
250
34
Nein das stimmt pauschal so nicht!
Das kommt ganz drauf an was für Daten in der DB stehen und welchen Schaden diese anrichten können.
Klar bei KK und Bankdaten oder wenn du einen Sexshop betreibst und das veröffentlichen der reinen Geschäftsbeziehung schon unangenehm für den Kunden ist wäre verschlüsseln eine Möglichkeit.
Aber das Datenbanken Grundsätzlich verschlüsselt werden müssen ist falsch

Da irrst Du dich:
https://www.securosys.ch/de/datenbankverschluesselung-gemaess-datenschutz-grundverordnung-der-eu
Ob es für den Kunden unangenehm wird, spielt vielleicht bei der Bemessung der Strafe im Falle eines Datenlecks eine Rolle.

Die deutlich wichtigere Rolle spielt aber, was man getan hat, um zu verhindern, dass unberechtigte dritte der Daten im Klartext habhaft werden und wie da ist Verschlüsselung tatsächlich das einzige im Gesetz genannte mittel.

Praktisch ist es auch das einzige mittel denn die Datenbankpasswörter lassen sich ja umgehen, die sind nur für den Wawi Zugang.

Bekomme ich die Daten Deiner Datenbank unverschlüsselt egal ob die Backups oder die Dateien aus dem Ordner Data des SQL Servers kann ich sie bequem auf einen anderen Server übertragen und die persönlichen Daten z.b. über SQL Management Studio auslesen oder exportieren.
Für all das benötige ich kein Wawi Passwort, daher ist die Verschlüsselung tatsächlich der EINZIGE weg einen Abfluss der Daten im Falle des Eindringens dritter in Deine IT zumindest zu erschweren.
Klar bemächtigt sich jemand Deines laufenden Systems wird ihn auch die Verschlüsselung nicht abhalten, denn das laufende System entschlüsselt sie ja, aber das ist ein anderes Thema.

Grundsätzlich halte ich das Risiko das jemand Wawi Datenbanken "klaut" auch für nicht so extrem groß da sich die Frage stellt, was jemand damit will....
 

T4DT.GmbH

Offizieller Servicepartner
SPBanner
6. November 2018
318
129
Hannover
Und schon sind wir beim Thema Wawi- Hosting.

Natürlich stimmt das o.g. in dieser Grundsätzlichkeit nicht. Jedoch ist es so, dass bei einigen Wawi-Hostinganbietern die Verbindung zwischen Datenbank und Wawi völlig unverschlüsselt läuft und die Kundendaten lesbar im Netzwerk übertragen werden. Ist der Server nur lokal erreichbar, ist das nicht so problematisch.
Das zweite Thema hierbei ist der altbekannte SA-Benutzer. 70% der JTL-Kunden haben das Standartkennwort nicht geändert, was einen schwerwiegenden Verstoß gegen die DSGVO bedeutet.
Ich würde mich freuen, wenn JTL künftig hier bei der Installation auf einen Clientbenutzer setzen würde, der keine DDL- sondern reine DML-Rechte bekommt. Die Updates können dann auch nicht von jeder Clientarbeitsstation aus gestartet werden. Gut wäre natürlich auch, wenn es eine Spezifikation gäbe, welche Rechte ein Clientbenutzer in der Datenbank benötigt. Aber das geht jetzt schon etwas weiter am Thema vorbei :D
 

Horus Sirius

Gut bekanntes Mitglied
9. März 2017
146
9
Oldenburg
Danke für deine Frage / Auskunft @WAWI-USER321 :)

Hast du schon ein "Issue" / Ticket eröffnet?
Du hast Recht die persönlichen Daten gehören verschlüsselt, laut DSVGO!

@T4DT.GmbH -> Ja das JTL Wawi Setup muss angepasst werden, das Username + Passwort frei vergeben werden können!
 

gre000

Sehr aktives Mitglied
28. Juli 2015
911
92
Da irrst Du dich:
https://www.securosys.ch/de/datenbankverschluesselung-gemaess-datenschutz-grundverordnung-der-eu
Ob es für den Kunden unangenehm wird, spielt vielleicht bei der Bemessung der Strafe im Falle eines Datenlecks eine Rolle.

Grundsätzlich halte ich das Risiko das jemand Wawi Datenbanken "klaut" auch für nicht so extrem groß da sich die Frage stellt, was jemand damit will....

Das sehe ich anders!
Dein Link zusammen mit deiner Aussage bestätigen meine Meinung doch:
1552850322704.png

Das ist eine ermessens Entscheidung! Es gibt keine Pflicht das eine DB mit Kundendaten verschlüsselt wird. Meiner Meinung nach ist die Wawi DB für von den meisten Onlineshops total uninteressant. Keine Passwörter, keine KK Daten.
 

WAWI-USER321

Sehr aktives Mitglied
26. Dezember 2013
250
34
Das sehe ich anders!
Dein Link zusammen mit deiner Aussage bestätigen meine Meinung doch:
Den Anhang 32140 betrachten

Das ist eine ermessens Entscheidung! Es gibt keine Pflicht das eine DB mit Kundendaten verschlüsselt wird. Meiner Meinung nach ist die Wawi DB für von den meisten Onlineshops total uninteressant. Keine Passwörter, keine KK Daten.

Ich gehe davon aus, dass eine Verschlüsselung hier klar vorgesehen ist, auch wenn es dort nicht wörtlich steht (was ja nicht das erste Mal wäre, das etwas nicht im Klartext im Gesetz steht).

Da ich tatsächlich in einem Bereich tätig bin in dem die Aufdeckung der Geschäftsbeziehung mit einem Kunden gewisse gesellschaftliche Risiken für den Kunden bedeuten würden, ist es für meinen Fall jedoch unstrittig.
 

WAWI-USER321

Sehr aktives Mitglied
26. Dezember 2013
250
34
Danke für deine Frage / Auskunft @WAWI-USER321 :)

Hast du schon ein "Issue" / Ticket eröffnet?
Du hast Recht die persönlichen Daten gehören verschlüsselt, laut DSVGO!

@T4DT.GmbH -> Ja das JTL Wawi Setup muss angepasst werden, das Username + Passwort frei vergeben werden können!

Eine Wawi interne Verschlüsselung ähnlich wie sie im Shop ja bereits stattfindet, wäre hier wohl die eleganteste Lösung.

Da Datenbankverschlüsselungen jedoch auf verschiedenen Wegen möglich sind ist es nicht zwangsläufig notwendig, dass die Wawi das macht.

Die Wawi müsste dann auch die Zertifikate verwalten und den Nutzer zum Export des Zertifikats zwingen, da sich sonst viele aus ihren Daten aussperren würden.
 

Horus Sirius

Gut bekanntes Mitglied
9. März 2017
146
9
Oldenburg
Das sehe ich anders!
Dein Link zusammen mit deiner Aussage bestätigen meine Meinung doch:
Den Anhang 32140 betrachten

Das ist eine ermessens Entscheidung! Es gibt keine Pflicht das eine DB mit Kundendaten verschlüsselt wird. Meiner Meinung nach ist die Wawi DB für von den meisten Onlineshops total uninteressant. Keine Passwörter, keine KK Daten.

Aus IT Security Sicht, gehört die DB gecrypted, wie es Standard geworden ist für alle Web-Systeme.

Das Risiko ist nicht klein, wenn die Firma Ihre MS-SQL WAWI DB über Internet erreicht [hohe Eintrittswahrscheinlichkeit].

JTL Software sollte es einfach mal notieren und wenn Kapazität vorhanden ist umsetzen, Gesetz hin oder her.
 
  • Gefällt mir
Reaktionen: WAWI-USER321