wasserstrahlbiegezange
Goto Top

Einschätzung der Sicherheit einer Software

Schönen guten Tag,
in unserem Unternehmen soll eine neue Software eingesetzt werden und ich habe bei der Software einiges gesehen was mich stutzig macht und wo ich sagen würde: "davon sollten wir die Finger lassen". Ich würde euch gerne meine Entdeckungen (4 für mich sehr relevante und 2 etwas kleinere) schildern und eure Meinung dazu hören. Selber werde ich auch immer meine Gedanken dazu schreiben die ihr natürlich jederzeit aufgreifen und auseinander nehmen dürft wenn ihr meint, dass ich da überempfindlich bin oder so.

Vorab:
  • Die Software dient zur Dokumentation von sehr sensiblen Daten (z.B. Krankengeschichte von Klienten)
  • Die Software soll Mobil genutzt werden können.
  • Kosten werde ich nicht drüber sprechen, aber eins ist klar ein solche Software ist nicht ganz günstig.

Entdeckung 1 - Datenbankpasswort:
Die Software verwendet als Datenbasis einen SQL Server 2014 (Express). Die Clients greifen direkt auf die Datenbank zu. Damit die Software nun auf die Daten zugreifen kann benötigt diese das Passwort für die Datenbank. Soweit alles logisch. Bei der Installation der Datenbank habe ich den SQL Befehl gesehen welcher den Benutzer in der Instanz anlegt und bei der unser Server schon gemeckert hat weil das Passwort nicht unseren Richtlinien entspricht. Denn die Software (ich nenne sie mal HansKunz) hat als Benutzernamen "HansKunzAdmin" und als Passwort "HansKunz" für den Datenbankzugang. Gut, dachte ich mir, das kann so nicht bleiben das ändere ich. Allerdings musste ich dann feststellen, dass dieses Passwort fest in die Software programmiert ist und ich das Passwort nicht ändern kann. Auf Anfrage mein Hersteller wurde mir gesagt, das kann nicht geändert werden weil das in jedem Connection String drin steht und der Aufwand das zu ändern wäre zu groß.
Die Installation der Datenbank läuft im übrigen über eine SQL Datei die öffentlich über die Dropbox verteilt wird (nicht gesichert) und jederzeit frei runtergeladen werden kann.

Ich sehe hier ein großes Problem denn
  • 1. kann niemand das Passwort ändern wenn ich mal gehe und ich könnte theoretisch immer noch auf die Daten zugreifen.
  • 2. jedes andere Unternehmen mit dieser Software hat ebenso dieses Passwort und theoretisch könnte ja jeder aus einem solchen Unternehmen auch bei uns auf die Daten zugreifen.

Ich habe gelernt, und so steht es auch in einigen Büchern zur Programmierung (wenn ich mich richtig entsinne): "Passwörter niemals fest programmieren".

Entdeckung 2 - Kein Verschlüsselte Verbindung
Die Kommunikation zwischen Datenbank und Client lässt sich nicht verschlüsseln. Ich kann dem Client kein Zertifikat zuweisen und wenn die Verschlüsselung einschaltet und erzwungen wird, kommt keine Verbindung zustande.

Da wir die Software auch Mobil einsetzen wollen, ist das natürlich blöd. Ok da würde uns noch VPN bleiben. Aber grundsätzlich finde ich das merkwürdig warum man dies nicht zulässt.

Entdeckung 3 - Datenübermittlung
Die Software benötigt beim Start Anmeldedaten des jeweiligen Benutzers. Hierzu wird eine Anmeldemaske angezeigt welche einem den Mitarbeiternamen via DropDown auswählen lässt ebenso wie ein Passwort Feld. Ich habe dann mit Wireshark einfach mal mitgeschnitten was da Kommuniziert wird und festgestellt, dass bei dieser Abfrage einfach mal viele Mitarbeiterdaten mitgesendet werden die hier auch absolut unnötig sind.
  • Anrede u. Titel,
  • Vor- und Zuname,
  • Das Passwort als SHA1 hash
  • Wochenstunden
  • Interne Funktion (Reinigungskraft, Teamleitung, …)
  • Vorgesetzer
  • Anschrift (komplett)
  • Geburtsdatum
  • Alle Berechtigungen des Mitarbeiters
  • und noch einiges mehr sowie einige Datenbankattribute die folgende Namen haben: "Feld1", "Feld2", ..., "Feld10"

Ich finde das kann so eigentlich nicht sein. Denn
  • wird dadurch viel Bandbreite benötigt um jedesmal nur die Anmeldemaske zu öffnen
  • jeder kann diese Daten abgreifen ohne sich überhaupt anzumelden
Wenn wenigstens eine verschlüssele Kommunikation mit dem SQL möglich wäre, würde ich es ggf. nicht so kritisch sehen.

Entdeckung 4 - Caching
Die Software speicher jederzeit Daten zwischen und sendet die Änderungen erst später an die Datenbank. Das kann ich besser an einem Beispiel erklären:
Man öffnet in der Software die Liste der Klienten. Dann werden diese komplett aus der Datenbank runtergeladen und zwischengespeichert. Öffnet man nun das Stammdatenblatt eines Klienten so werden die Daten nicht nochmal geprüft sondern aus dem Cache verwendet. Ändert man nun z.B. die Adresse des Klienten und speichert dies, wird die Änderung im Cache abgelegt und erst beim schließen der Software wird alles an die Datenbank übertragen.

Das finde ich ein interessantes vorgehen was grundsätzlich funktionieren kann. Aber was mir dabei fehlt ist jeweils ein Abgleich der Daten mit der Datenbank sowie ein RowLock oder eine andere Form der Sperre des Datensatzes. So ist es möglich, dass ich die Liste der Klienten lade, 30min telefoniere, das Stammdatenblatt öffne und bearbeite, wieder 30min telefoniere und dann erst die Software beende. Inzwischen kann jemand anderes etwas geändert haben ohne dass dieser bemerkt, dass ich daran arbeite und ohne dass ich bemerke dass etwas geändert wurde. Der Hersteller sagte mir dazu: "In der Praxis passieren diese Überschneidungen nie". Es wird auch immer die ganze Maske gespeichert und nicht nur das was ich wirklich geändert habe. So überschreibe ich immer logischerweise Änderungen eines anderen.

Entdeckung 5 - Datenbank
Naja die Datenbank an sich finde ich sehr merkwürdig. Insgesamt laufen in der Instanz 7 Datenbanken für die Software. Die wichtigste davon hat 220 Tabellen. Allerdings gibt es in keiner der Tabellen richtige Schlüsselbeziehungen oder Indizes soweit ich das sehen kann.
z.B. Mitarbeiter Max Mustermann ist in der Tabelle "Mitarbeiter" als ID (Primarykey) wird ein GUID verwendet. Wird nun in einer anderen Tabelle (z.B. "Klienten") auf den Mitarbeiter verwiesen gibt es dort ein Feld wie "ChangeUser" in dem ich persönlich die GUID erwarten würde und eine Fremdschlüsselbeziehung zur Tabelle "Mitarbeiter" Aber dort steht dann: "Max Mustermann". Das zieht sich mit dem gesamten Datenbestand so durch. Manchmal wird auch die GUID verwendet aber ohne Fremdschlüsselbeziehung.

Ich kann mir irgendwie nicht vorstellen, dass eine solche Datenbank wirklich lange ordentlich funktionieren kann, ohne dass es irgendwann zu Inkonsistenzen kommt weil vielleicht mal ein kleiner Programmierfehler passiert ist. Dies weiß der Hersteller aber scheinbar auch, denn wenn man einen Namen eines Mitarbeiters ändern möchte steht folgender Satz in der Software:
"Vor der Änderung eines Namens achten Sie darauf, dass HansKunz auf keinem System geöffnet ist." (sinngemäß wiedergegeben). Ich weiß nicht warum man da so aufpassen müsste, wenn man einfach nur mit den IDs und ggf. den Fremdschlüsseln da so aufpassen müsste. Zumal finde ich das nicht praktikabel wenn 60 Mitarbeiter Mobil arbeiten sollen.

Entdeckung 6 - Datentypen
Ich persönlich vermeide es, Dateien in Datenbanken abzulegen. Da ich aber eher mit PHP und MYSQL usw. arbeite stellt sich mir diese Frage auch nicht so häufig ob ich Dateien in eine Datenbank schreibe oder nicht. Aber sollte ich dies mal müssen, würde ich einen BLOB verwenden. Hier wird allerdings eine Datei in base64 codiert und in ein Textfeld geschrieben.

Da wir eine SQL Express verwenden die ja nur 1 GB RAM unterstützt könnte ich mir vorstellen, dass dies irgendwann zu Performance-Problemen führt. Wahrscheinlich nicht nur wegen des RAMs sondern auch generell aber das sei mal dahingestellt.

Also ich würde hierzu gerne einen Bericht schreiben und würde von der Verwendung der Software abraten da sie meiner Meinung nach zu viele Sicherheitsmängel hat und ich bedenken habe, dass diese in den nächsten 10 Jahren stabil läuft. Denn wenn wir nicht wenigstens 10 Jahre Laufzeit einplanen ist das einfach zu teuer. Dazu wäre mir dann eure Meinung wichtig. Dann kann ich ggf. noch einige Punkte neu bedenken oder eure Anregungen mit einfließen lassen.

Ich habe natürlich den Hersteller auf einige Punkte angesprochen (hauptsächlich 1 und 4). Dieser ist allerdings der Meinung: "es ist nicht so schlimm" und Entdeckung 1 wäre nur ein "theoretisches Problem" denn praktisch müsste man ja erstmal in das Netzwerk kommen und jemand müsste erstmal genügend kriminelle Energie aufwenden um uns anzugreifen. Wenn unser Netzwerk nicht sicher ist, dann sind wir halt selber schuld, legt er noch nach.

Ich hoffe ihr habt ein paar Kommentare für meine Überlegungen über und bedenke mich dafür schonmal sehr!

Content-ID: 448218

Url: https://administrator.de/forum/einschaetzung-der-sicherheit-einer-software-448218.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

java667
java667 07.05.2019 um 17:11:56 Uhr
Goto Top
Hi,

ohne jetzt alles gelesen zu haben (ich habe nach 2. aufgehört), würde ich diese Software zum Teufel jagen. Passwörter hardcoden ist ganz schlechter Stil, Verbindungen nicht verschlüsseln (auch intern) ist min. verlässig. Sofern du bezüglich "Einführung der Software" nichts entscheiden kannst, würde ich den Hersteller nochmal freundlich um Nachbesserung (von min. Punkt 1 und 2) bitten. Alternativ könnte man ja auch mal heise.de einen Hinweis zur Software geben, natürlich nur "theoretisch". face-wink

Allerdings vorher mal mit deinem Vorgesetzten über den "theoretischen Hinweis" sprechen. face-smile

Gruss,
Java
St-Andreas
St-Andreas 07.05.2019 um 17:25:12 Uhr
Goto Top
Ich hab den Text auch nur überflogen. Anstatt oder zusätzlich zu heise würde ich hier, falls es so etwas gibt, Kammer/Aufsichtsbehörde informieren.
Ich würde das ganze genau so dokumentieren und die Aussagen des Herstellers dazu packen. Das ganze dann auf jeden Fall den Entscheidungsträgern und dem Datenschutzverantwortlichen vorlegen.
Wasserstrahlbiegezange
Wasserstrahlbiegezange 07.05.2019 aktualisiert um 19:14:56 Uhr
Goto Top
Hi, ich kann leider nichts entscheiden und mein Vorgesetzter ist der Meinung die Software ist gut so und ende... und der Hersteller sieht das auch so...
So langsam verliere ich nach aller Diskussion meine Professionalität und wollte schon fragen in welchem Kindergarten seine Programmierer Programmieren gelernt haben.

Eine Meldung werde ich wohl als DSB (bin ich noch nicht so lange und noch recht unerfahren) bei der Datenschutzbehörde bald machen müssen denn die Software verstößt massiv gegen den Datenschutz allein schon durch Punkt 3.
Punkt 4 macht meines Erachtens das Arbeiten nahezu unmöglich und der Rest... naja das spiegelt Punkt 1 wieder.

Aber ich muss dir danken. Denn ich stehe da ganz allein vor meinem Chef und dem Hersteller und beide reden auf mich ein, ich soll das nicht so eng sehen. Ich war schon kurz davor zu denken, ich hätte mich meinen bedenken unrecht weil ich zu so einem Fall auf die schnelle auch keine Lektüre finden ließ (Wenn du dazu zufällig was zur Hand hast, gerne her damit ;) ). Da hast du mich aber gerade vor bewahrt an mir selber zu zweifeln.
certifiedit.net
certifiedit.net 07.05.2019 um 20:34:43 Uhr
Goto Top
Sehr schön, ich kann @St-Andreas unumwunden zu stimmen. Die Software ist schrott. (Kenne das aus anderen Bereichen). Melde es der Aufsichtsbehörde und deinen Chef würde ich zumindest dezent vorwarnen, dass du "gehört hast", dass da eine Meldung läuft. Ggf. würde ich es auch direkt an heise o.ä (ccc?) melden, damit dies nicht unter den Teppich gekehrt wird.

VG
Sheogorath
Lösung Sheogorath 07.05.2019 um 21:32:26 Uhr
Goto Top
Moin,

Zitat von @Wasserstrahlbiegezange:

Eine Meldung werde ich wohl als DSB (bin ich noch nicht so lange und noch recht unerfahren) bei der Datenschutzbehörde bald machen müssen denn die Software verstößt massiv gegen den Datenschutz allein schon durch Punkt 3.
Punkt 4 macht meines Erachtens das Arbeiten nahezu unmöglich und der Rest... naja das spiegelt Punkt 1 wieder.

Aber ich muss dir danken. Denn ich stehe da ganz allein vor meinem Chef und dem Hersteller und beide reden auf mich ein, ich soll das nicht so eng sehen. Ich war schon kurz davor zu denken, ich hätte mich meinen bedenken unrecht weil ich zu so einem Fall auf die schnelle auch keine Lektüre finden ließ (Wenn du dazu zufällig was zur Hand hast, gerne her damit ;) ). Da hast du mich aber gerade vor bewahrt an mir selber zu zweifeln.

Das ist tatsächlich sehr einfach rechtlich zu begründen und zwar mit unser geliebten DSGVO:

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)

DSGVO Artikel 5 Absatz 1f

Gerade wenn es um Daten aus dem Gesundheitsbereich geht, welche allgemein als hochsensible persönliche Daten gelten, ist oben genanntes einzuhalten.

Hierbei kannst du dich auf Erwägungsgrund 75 beziehen, also was denn "Geeignete technische und organisatorische Maßnahmen" sind:

In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.

Erwägungsgrund 78 (4)

Sprich, Datenbank-Passwort hard-coded ist nicht stand der Technik, wenn ihr euch also für diese Software entscheidet und keine wirklich guten Gründe habt, warum das sein muss und nur diese Software das kann, was ihr braucht bzw. es auch keinen anderen Weg gibt, das was ihr damit tun wollt zu tun, begeht ihr wissentlich einen Verstoß gegen die DSGVO. Sprich: Hol deinen Datenschutzbeaufragten ins Boot. Denn wenn ihr die Software verwendet, verstoßt ihr gegen eure Sorgfallspflicht.

Von dem ganzen anderen Nonsense brauchen wir da gar nicht erst anfangen. Ich hoffe, ich konnte dir die Argumente liefern, die du brauchst. Hierbei auch der Hinweis, wenn man sich entscheidet: "Oh, aber wir können ja so tun als hätten wir das nicht gewusst" -> DSGVO erfordert einen Dokumentation bezüglich der Datenschutzfolgeabschätzungen, wenn ihr euch für ein Stück Software entscheidet, darin müssen solche Details niedergeschrieben sein und begründet sein, warum man sich dennoch dafür entscheiden hat. Hat man das nicht, kann man euch auch ebenfalls daraus einen Strick drehen.

In diesem Sinne

Gruß
Chris

PS: Ich bin kein Anwalt, somit ist das keine Rechtsberatung, aber ich kann gerne einen empfehlen ;)
maretz
maretz 07.05.2019 um 21:54:51 Uhr
Goto Top
Die Frage ist halt: Was ist es dir wert? Es gilt halt der Grundsatz: Wer zahlt bestimmt was gespielt wird. Und - sorry - du bist auf der Nahrungskette eben recht weit unten. Du kannst deinem Chef die Bedenken mitteilen - ggf. auch per mail. Dies würde ich vermutlich auch tun. Darüber hinaus KANNST du das natürlich auch extern melden. Inhaltlich sicherlich richtig das zu tun - nur wenns dann dazu kommt das die Software dadurch nicht eingesetzt werden kann wirst du rausfinden wie solche Deals oft zustande kommen. Wenn deine nächste Aufstiegsmöglichkeit irgendwo im Jahr 2099 liegt bzw. dein nächster Weg zur Perso führt (natürlich nicht wegen der Meldung, sondern weil du eben 3 nanosekunden zu spät gekommen bist,....) ahnst du das solche Deals oft nicht wg. Technischer Details laufen...
Spirit-of-Eli
Spirit-of-Eli 07.05.2019 um 22:03:10 Uhr
Goto Top
Moin,

solange du nicht gezwungen bist bei dem Arbeitgeber zu bleiben, kannst du über einen Wechsel nachdenken.
Ich würde nirgends arbeiten wo ich nicht mit gutem Gewissen meiner Arbeit nachgehen kann.
In diesem Fall wäre es bei mir vorbei.

Gruß
Spirit
Wasserstrahlbiegezange
Wasserstrahlbiegezange 07.05.2019 um 22:11:15 Uhr
Goto Top
@Sheogorath ich danke dir sehr! Den Erwägungsgrund habe ich bisher nicht als Argumentation genommen. Den werde ich noch anfügen.
Da ich der DSB bin und ich die Folgeabschätzung mache bzw. eine vorläufige bereits abgegeben habe möchte ich mich diesbezüglich hier nochmal versichern. Aber wie schon geschrieben DSB bin ich noch sehr frisch daher noch sehr unerfahren in dem ganzen. Auch den AVV musste ich selber schreiben da der Hersteller nicht willens ist uns einen zu stellen. Aber aufgrund des letzten Urteils mit diesem Versandhändler (habs nicht mehr ganz im Kopf) dachte ich, das mache ich mal selber.

Nur wenn sich mein Chef dafür entscheiden sollte die Software einzusetzen werde ich mir schriftlich geben lassen dass ich damit nichts zu tun habe.
St-Andreas
St-Andreas 07.05.2019 um 22:54:39 Uhr
Goto Top
Geht es um Gesundheitsdaten?
Wasserstrahlbiegezange
Wasserstrahlbiegezange 07.05.2019 um 23:34:02 Uhr
Goto Top
Ja, es geht um Klienten, Mitarbeiter, die Abrechnung der Mitarbeiter Stunden, Abrechnung der geleisteten Arbeit am Klienten sowie auch Anamnesedaten, Daten der Angehörigen, Medikation, Treunhandverwaltung, Teilweise aber auch Arztberichte usw. die in der Software im Idealfall abgelegt werden sollen.

Idealfall wäre halt wirklich, dass die Software alle unsere Angebote abdecken kann (von der Funktionalität her) und die Mitarbeiter damit dann Mobil via Tablet arbeiten können... da sehe ich aber komplett schwarz. Man kann ein Netzwerk nicht so absichern (ohne richtig viel Geld in die Hand zu nehmen), dass einen solchen Schnitzer wie in Punkt 1 und 3 beschrieben ausgeglichen wird.

Aber Geld ist halt auch das Thema... als Soziales Unternehmen (gGmbH) haben wir nicht so viel Geld zur Hand. Aber daran sollte man meiner Meinung nach nicht sparen. Das ganze zieht sich nun schon seit knapp 9 Monaten...
Sheogorath
Sheogorath 08.05.2019 um 01:02:44 Uhr
Goto Top
Moin,

Zitat von @Wasserstrahlbiegezange:

Nur wenn sich mein Chef dafür entscheiden sollte die Software einzusetzen werde ich mir schriftlich geben lassen dass ich damit nichts zu tun habe.

Das reicht nicht, gemäß Folgeabschätzung bist du zur Meldung an die Aufsichtsbehörden verpflichtet:

Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung konsultiert werden.

Erwägungsgrund Nr. 84 (3)

Das musst du übrigens deinem Chef auch mitteilen. Wichtig ist hierbei: Arbeitsrechtlich bist du gut aufgestellt, als Datenschutzbeauftragter genießt du erhöhten Kündigungsschutz, somit sollte dir das keine Gedanken machen (und ja, es gibt schmutzige Tricks um Leute los zu werden, aber wenn deine Firma daran Interesse hat, solltest du dir eh was anderes suchen. Du hast hier bewiesen, dass du DSB kannst und DSBs werden gesucht, also jobmäßig kannst du fast nur aufsteigen face-wink).

Im Moment liegt der schwarze Peter bei dir und auch ein schriftliches Statement deines Chefs kann das nur halbwegs abwenden.

In diesem Sinne hoffe ich mal, dass das was wird.

Gruß
Chris
ukulele-7
ukulele-7 08.05.2019 um 08:39:05 Uhr
Goto Top
Gruselig.

Normalerweise würde ich auch sagen DSB einschalten. Der würde, wenn er extern wäre, das niemals absegnen und dein Chef müsste sich schon einen neuen DSB suchen und damit wirklich vorsätzlich handeln. In jedem Fall wärst du fein raus.

Extern würde ich es nicht melden solange sich ein seriös wirkender DSB damit auseinander setzt. Denn unter normalen Umständen schwärzt man nicht seinen Arbeitgeber an sofern da erstmal kein Schaden entsteht und er bereit ist Verantwortung zu übernehmen. Natürlich würde ich das jetzt nicht mehr als normale Umstände betrachten, vor allem weil es um Gesundheitsdaten geht und weil scheinbar sowohl dein Chef als auch der Softwarehersteller hier den Arsch raus hängen lassen.

Wenn du dich allerdings an eine Behörde wendest musst du dich zumindest mental darauf einstellen das es Ärger auch für dich gibt, möglicherweise eine Kündigung und eine Kündigungsschutzklage und so weiter. Das sagt sich leicht aber es kann doch unangenehm werden und dich in private Schwierigkeiten bringen. Das sollte niemanden davon abhalten das richtige zu tun aber wer denkt der Chef wird zur Vernunft gebracht der ist meist naiv.

Da du der DSB bist, offensichtlich mit wenig Erfahrung also mehr als Alibi-DSB eingesetzt wurdest und vermutlich auch noch weisungsgebunden gegenüber deinem Chef bist, würde ich mir gut überlegen wo das langfristig endet. Auf keinen Fall solltest du die Verantwortung als DSB für soetwas übernehmen. Du kannst auch die Stelle des DSB räumen und deinem Chef sagen er soll einen suchen der diese Software absegnet. Dann tragen diese beiden die Verantwortung.

Noch zu den technischen Details:
Nr. 5 ist durchaus nicht ungewöhnlich. Je älter die Software desto abenteuerlicher sieht meist die DB aus. Schön ist das nicht aber viele Software-Lösungen, selbst wirklich namhafte, haben erst mit Integer IDs angefangen, teilweise auch einen Namen als Schlüssel verwendet und erst später mal GUIDs mit genutzt. Die Datenbank verändert aber kaum einer nachträglich wenn er nicht grade muss, z.B. durch neue Funktionen. Auch Fremdschlüssel werden nicht in der Datenbank genutzt, die Zusammenhänge sind dann nur der Software bekannt. Die ganze Business Intelligence landet in irgendeiner Serversoftware mit der dann der Client spricht, DB-Funktionen werden dafür nicht genutzt.
Wasserstrahlbiegezange
Wasserstrahlbiegezange 08.05.2019 um 08:51:23 Uhr
Goto Top
Zitat von @Sheogorath:
Das reicht nicht, gemäß Folgeabschätzung bist du zur Meldung an die Aufsichtsbehörden verpflichtet:

Ich bin mir nicht sicher, ob das wirklich so Zutrifft. Denn melden muss ich der Behörde ja nur wenn ein Datenschutzverstoß bzw. ein Datenleck entstanden ist. In diesem Fall ist ja noch nichts passiert. Ich habe mir Art. 35 nochmal durchgelesen und sehe da keinen Grund. Trotzdem werde ich meinen Chef diesbezüglich vorwarnen und bei der Behörde mal nach der Software fragen.

Die Software wurde vor meiner Funktion als DSB angeschafft daher bin ich mir auch nicht sicher, ob ich eine Folgeabschätzung noch machen muss. Als ich dann aber DSB war, habe ich trotzdem eine gemacht und bei meiner Prüfung kam das raus. Angeschafft heißt natürlich nicht eingesetzt. Der Einsatz der Software stagniert momentan wegen meinen Bedenken und Chef ist darüber gar nicht begeistert. Zumal sich viele Mitarbeiter (aus dem Projektteam) aufgrund der Sicherheitsprobleme weigern die Software zu verwenden weil diese die Daten der MA einfach in die Welt rausschickt.

Zitat von @Sheogorath:
In diesem Sinne hoffe ich mal, dass das was wird.

Ich werde mein bestes geben und mal sehen ob ich bei der Behörde was erreiche. Meist sind die sehr komisch drauf und wenn man mit denen Spricht hat man das Gefühl sobald ich jetzt was sage steht morgen die Kontrolle vor der Tür ^^
Wasserstrahlbiegezange
Wasserstrahlbiegezange 08.05.2019 aktualisiert um 10:27:51 Uhr
Goto Top
@ukulele-7
Danke auch dir für deinen Kommentar.
Ich habe durchaus schon darüber nachgedacht den DSB Status abzulegen. Allerdings macht mir die DSB Tätigkeit auch sehr viel spaß (bis auf sowas). Mit unerfahren meine ich allerdings eher, dass ich zum ersten mal in dieser Position bin. Schulung usw. habe ich schon erhalten.

Ein DSB hat in der regel gar keine Weisungsbefugnisse (es sei denn der Chef räumt ihm gewisse Befugnisse ein.) und ist immer dem Geschäftsführer selbst unterstellt. Grundsätzlich hat der DSB nur die Aufgabe, den Chef zu beraten. Der Chef selbst ist zu 100% selbst verantwortlich und teilweise auch mit Privatvermögen haftbar. Ich kann erst Verantwortlich gemacht werden, wenn ich ihn schlecht oder falsch berate. Selbst dann stehe ich noch unter dem Arbeitnehmerschutz und bin kaum selber haftbar (bei externen sieht das anders aus).
Aber ja ich fühle mich hier auch eher als Alibi-DSB. Zumal ich heute erfahren habe, dass dieser meine Risikobewertung (welche ich vor der Folgeabschätzung bei der Installation der Software schon geschrieben habe) nicht mal gelesen hat und sich nun erklären lassen hat worum es dabei eigentlich geht *facepalm*

Mein Chef und ich führen eigentlich ein recht gutes Verhältnis allerdings zweifle ich hier absolut an seiner Eignung als Geschäftsführer. Man kann doch nicht 9 Monate lang eine Diskussion über Datenschutz und Sicherheitsmängel führen und dann sagen "ich habe das nicht gelesen worum geht es da genau?"
ukulele-7
ukulele-7 08.05.2019 um 11:24:00 Uhr
Goto Top
Nein der DSB ist nicht grundsätzlich weisungsbefugt, aber auch nicht grundsätzlich weisungsgebunden. Wenn es ein externer DSB wäre müsste dieser natürlich auch im Auftrag des Chefs seine Tätigkeit ausüben aber er wäre eben nicht wie ein Mitarbeiter direkt "unterstellt". Darauf wollte ich nur hinaus.

Im alten BDSG gab es dazu auch eine Passage, im neuen hab ich auf die Schnelle nichts gefunden:
Da die gesetzlichen Verpflichtungen des betrieblichen Datenschutzbeauftragten auch mal mit den Interessen des Unternehmens kollidieren können, ist er in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (§4f III 2 BDSG).
maretz
maretz 08.05.2019 um 13:54:20 Uhr
Goto Top
Ich mag es das man mit Gesetzestexten bei sowas ankommt... steht da denn auch was von wegen das die nächste reguläre Gehaltsanpassung nich erst in 50 Jahren erfolgen kann (also nich wg. der Arbeit sondern nur weil es die wirtschaftliche Lage,...). Und natürlich kann man auch den Arbeitsplatz sicher nett gestalten - auch da natürlich sitzt der nur direkt neben der Toilette weil das der einzige Platz war wo nich immer Leute rennen - damit der eben auch mal vertrauliche Sachen machen kann, nich weil der was gesagt hat....

Ganz ehrlich - das Gesetz is da nich wirklich viel Wert...
ukulele-7
ukulele-7 08.05.2019 um 15:20:25 Uhr
Goto Top
War auch nicht so gemeint sondern ich will nur aufzeigen das ein interner Arbeitnehmer im Angestellten-Verhältnis als DSB meiner Meinung nach einem extern bestellten DSB eines reinen Dienstleisters unterlegen ist weil er eben nicht wirklich frei vom willen des Chefs handeln kann, sprich weisungsgebunden ist. Das Gesetz möchte ihn davor schützen aber du musst echt Eier haben um dich mit dem Chef darüber oder überhaupt in der Sache der Software zu zerstreiten.

Andersrum wird ein Schuh draus: Ab wann trägt der DSB eine Mitschuld wenn er sich gegen seine eigene Einschätzung auf die Entscheidung seines Chefs beruft und es den Einsatz der Software toleriert? Schön ist die Situation nicht.
maretz
maretz 08.05.2019 um 22:12:07 Uhr
Goto Top
Eben - das ist nen typischer Job den du nur auf 2 Möglichkeiten haben kannst:
a) Alibi-Mässig das du eh alles durchwinkst und dafür dann beliebt bist
b) Extern so das du klar sagen kannst was Sache ist und ggf. eben nen Kunden weniger hast....

Solang du intern bist wird kaum jemand dauerhaft immer sagen wollen wie es wirklich aussieht - da es noch weniger gibt die genau das hören wollen. Wenn man das versucht wird man vermutlich eben schnell auf der Ersatzbank landen und feststellen das die Karriere doch arg flach wird.
Spirit-of-Eli
Spirit-of-Eli 08.05.2019 um 22:44:56 Uhr
Goto Top
Zitat von @maretz:

Solang du intern bist wird kaum jemand dauerhaft immer sagen wollen wie es wirklich aussieht - da es noch weniger gibt die genau das hören wollen. Wenn man das versucht wird man vermutlich eben schnell auf der Ersatzbank landen und feststellen das die Karriere doch arg flach wird.

Das lässt sich auf viele andere Position en in einem Unternehmen ausweiten.
Ich sehe das als typisch deutsches Problem. Wer innovative denkt und bsp. Was verändern will, wird abgeblockt.
Andere Regionen haben das verstanden und es sind Unternehmen wie Google entstanden.
maretz
maretz 09.05.2019 um 07:12:27 Uhr
Goto Top
Stimmt - der Datenschutzbeauftragte bei Google, Facebook und co hat sicher nen leichten Job face-smile Weil diese Unternehmen ja grad darauf bedacht sind bloss nich zuviel von den Nutzern zu erfahren :D
certifiedit.net
certifiedit.net 09.05.2019 um 07:21:34 Uhr
Goto Top
Hast heute deinen gehässigen, oder? ;)
Wasserstrahlbiegezange
Wasserstrahlbiegezange 09.05.2019 aktualisiert um 10:27:49 Uhr
Goto Top
Grundsätzlich stimme ich dem zu. Aber ich sehe das Problem auch eher als "typisch deutsch". Normal sollte der DSB sich mit dem Chef hinsetzen und erläutern warum was wie geht oder galt nicht geht und wie man es lösen kann. Oder aber der DSB hat die Möglichkeit selber Entscheidungen zu treffen was bei mir nur in sehr kleinem Maße möglich ist.

Das gilt aber überall denke ich. Auch der Betriebsrat und Chef haben immer ärger.. ich frage mich warum?! Denn der BR und Chef könnten auch einfach korrekt zusammen arbeiten wenn die sich nicht immer als Gegner sondern als Partner sehen würden (gilt natürlich für beide Seiten).

Aber mir geht es hier wirklich um meinen Kopf. 1. mag ich das Unternehmen und die Arbeit die ich mache. 2. hab ich keinen bock darauf wegen so einer Ignoranz einer Person dafür haftbar zu sein. Wenn ich mist baue, OK muss ich gerade stehen. Aber nicht dafür. 3. Wollte ich mich bestätigt wissen in meiner Beurteilung der Software und das habt ihr gut gemacht ;) Wenn man anfängt an sich selber zu zweifeln braucht man einfach mal eine neutrale Meinung. Und noch neutraler als euch geht einfach nicht. Da die Meinung auch einstimmig ist, sehe ich das ganze mal als abgehackt an und sollte es noch eine interessante Entwicklung geben würde ich mich nochmal melden.

Achso eine Interessante Entwicklung gibt es noch:
Ich habe den BSI dazu (anonym wie hier) befragt und dieser hat dazu geschrieben (Habe nur den ersten Punkt geschildert!):
In einem solchen Szenario ist der Einsatz dieser Software als sehr kritisch zu
bewerten.

Ein potentieller Angreifer kann das Passwort nicht nur über das Internet in
Erfahrung bringen, sondern es ebenso leicht erraten. Der Nutzer hat dabei
keine Möglichkeit, sich selbst zu schützen, da das Passwort nicht geändert
werden kann. Dies widerspricht den Regelungen zum Passwortgebrauch des
IT-Grundschutzes.

Einem Angreifer, der Netzwerkzugriff auf Ihre Infrastruktur erlangt, ist es
damit ohne größeren Aufwand möglich, auf alle in der Datenbank hinterlegten
Informationen der Software zuzugreifen, sie zu manipulieren oder zu löschen.

In dem geschilderten Szenario wird von einer Verwendung der Software dringend
abgeraten.
Reaktion des Chefs: 0 - nimmt er nicht mal zur Kenntnis ....
ukulele-7
ukulele-7 09.05.2019 um 11:19:24 Uhr
Goto Top
In deinem Fall scheint der Chef einfach nicht willens zu sein Arbeit, Zeit, Geld oder Unannehmlichkeiten in Kauf zu nehmen um dem Datenschutz gerechet zu werden. Die Gründe können vielfälltig sein sollten für dich aber egal sein. Du musst für dich entscheiden wie du damit umgehst (auch in Zukunft) und dich bestmöglich absichern.

Ich glaube die Augen-zu-und-durch Mentalität ist grade bei IT-Sicherheit und Datenschutz gängig. Ich habe die ja selbst. hab ich Bock meinen Kunden zu gängeln und die letzte blöde E-Mail zu verschlüsseln? Passiert schon nichts, ist halt nicht perfekt. Ich werde den Kunden aber nicht vorgaukeln das alles gut sei, wenn er will dann kriegt ers verschlüsselt. Wenns mal knallt dann trifft es ja auch nicht gleich alle Kunden oder alle Daten. Aber damit wäge ich die Situation auch ab, mir ist ja nicht alles egal.
St-Andreas
St-Andreas 09.05.2019 um 11:24:58 Uhr
Goto Top
Nun, in diesem Fall würde ich Dir dringend raten ganz offiziell den Rat der zuständigen Datenschutzbehörde einzuholen.
Andernfalls kannst Du gegebenenfalls in Haftung genommen werden.

Betrieblicher Datenschutzbeauftragter zu sein ist halt ein Job mit Verantwortung der man gerecht werden muss.
St-Andreas
St-Andreas 09.05.2019 um 11:37:12 Uhr
Goto Top
Hier trifft es aber alle Daten und (so gut wie) niemand, dessen Daten betroffen wären, wird hier gefragt.
Da gibt es, meiner Meinung nach, nichts mehr abzuwägen und ganz ehrlich, ich würde hier auch wenig Verständnis aufbringen, wenn die Datenschutzbehörden im Falle eines Datenschutzvorfalls ein Auge zudrücken und nur eine Verwarnung aussprechen.

Ich persönlich würde mich an das Büro des Landesdatenschutzbeauftragen wenden und, falls vorhanden, der Kontrollorgane/Aufsichtsbehörden und den Status meiner Rechtsschutzversicherung überprüfen.
Wasserstrahlbiegezange
Wasserstrahlbiegezange 09.05.2019 um 11:44:11 Uhr
Goto Top
Zitat von @ukulele-7:

In deinem Fall scheint der Chef einfach nicht willens zu sein Arbeit, Zeit, Geld oder Unannehmlichkeiten in Kauf zu nehmen um dem Datenschutz gerechet zu werden. Die Gründe können vielfälltig sein sollten für dich aber egal sein. Du musst für dich entscheiden wie du damit umgehst (auch in Zukunft) und dich bestmöglich absichern.

Ich glaube die Augen-zu-und-durch Mentalität ist grade bei IT-Sicherheit und Datenschutz gängig. Ich habe die ja selbst. hab ich Bock meinen Kunden zu gängeln und die letzte blöde E-Mail zu verschlüsseln? Passiert schon nichts, ist halt nicht perfekt. Ich werde den Kunden aber nicht vorgaukeln das alles gut sei, wenn er will dann kriegt ers verschlüsselt. Wenns mal knallt dann trifft es ja auch nicht gleich alle Kunden oder alle Daten. Aber damit wäge ich die Situation auch ab, mir ist ja nicht alles egal.

Ich sehe es normal recht entspannt wenn mal was nicht so läuft wie es soll oder gesetzlich vorgeschrieben ist. Auch beim Datenschutz müsste man ja für jedes Notieren auf einem Zettel schon eine Einwilligung einholen... was soll ich da machen? Jedes mal kontrollieren. Ich spreche mein dududu aus und ende. Aber hier geht es um viel mehr. Gesundheitsdaten die unverschlüsselt und nahezu frei zugänglich sind. Dazu kommt, dass wir Bewohner haben (die haben VIEL ZEIT) und die können sehr leicht in unser Servernetzwerk eindringen. Wenn die das mal machen (und bei einem weiß ich, dass der Ahnung hat und das gerne aus spaß mal versucht) kann der seine und die Akten seiner Mitbewohner einsehen was natürlich gar nicht geht! Also da kommen noch viele Punkte hinzu die ich bisher hier nicht erwähnt habe welche die ganze Situation nochmal verschäft. Da hört bei mir die Augen-zu-und-durch Mentalität auf. Aber da Chef wirklich absolut beratungsresistent ist, habe ich für mich entschieden: Lass ihn laufen, ich werde an der Software nichts machen, keinen Support mit dem Hersteller durchführen da ich mich sonst strafbar mache und mich bestmöglich absichern das ich hier nichts mit zu tun habe (rechtlich).


@st-adreas
Das habe ich vor, aber eher Anonym. Leider sind die schwer zu erreichen... eine Anfrage per Mail bei denen liegt da schon sei knapp 3 Monaten die nicht beantwortet wird. Jetzt will ich es telefonisch probieren.
Sheogorath
Sheogorath 09.05.2019 aktualisiert um 13:00:53 Uhr
Goto Top
Moin,

@ukulele-7 wenn du dienstleister bist, ist es nicht deine Aufgabe den leuten vorzuschrieben, dass sie ihre E-Mail zu verschlüsseln haben. Natürlich solltest du darauf hinweisen, aber entscheiden muss das der Kunde und dessen Datenschutzbeauftragter. Und was hier als "Mal-ein-Auge-zudrücken" beschrieben wird, ist im Grunde was die DSGVO immer wieder benutzt: Verhältnismäßigkeit. Das gilt auch in den Beispielen von @Wasserstrahlbiegezange bezüglich des "Wenn er was auf den Zettel schreibt".

Aber @Wasserstrahlbiegezange da ihr Gesundheitsdaten verarbeitet ist leider der Weg der "anonymen Anfrage an die Datenschutzbehörde"für dich als Datenschutzbeauftragter der falsche Weg. Denn es ist genau deine Aufgabe die Einhaltung des Datenschutzes im Unternehmen zu gewährleisten. Als Betriebsrat solltest du auch gravierende Arbeitsschutzverstöße bei den entsprechenden Aufsichtsorganen melden. Genau dafür bist du da und deshalb räumt man dir eben diesen erhöhten Kündigungsschutz etc. ein.

Die Antwort der Datenschutzbehörden wird ziemlich sicher so lauten, dass du dich zum einen an den Datenschutzbeauftragten des Unternehmens wenden sollst und ebenfalls die Möglichkeit einer Meldung an die Datenschutzbehörde direkt hast. Schlimmer noch, wenn du dabei tatsächlich das Unternehmen herausstellst, schießt du dir ggf. ein Eigentor denn offensichtlich hattest du ja Kenntnis von dem Vorgang hast, diesen aber nicht an die Datenschutzbehörde gemeldet. Stattdessen brauchte es dafür einen "anonymen Hinweis".

Also wie gesagt, sprich noch mal mit deinem Chef, denn ihr trefft offensichtlich keine geeigneten technischen Maßnahmen, wie dir das BSI ja auch nochmal bestätigt hat und wenn das nichts hilft, dann musst du die Instanz oben drüber einschalten sonst hängst du ggf. mit drin. (Aber du kannst diesbezüglich gerne nochmal den Anwalt deines Vertrauens befragen.)

Gruß
Chris
StefanKittel
StefanKittel 09.05.2019 aktualisiert um 23:47:00 Uhr
Goto Top
Moin,

ich gehe mal davon aus, dass das Thema inzwischen "erledigt" ist.

Aber besonders im medizinischen Bereich ist das fast normal.
Eine Zahnarztpraxis hat Windows 10 und damit ein Update Ihrer Röntgen-Software bekommen.
Diese Software und das Update sind für den Betrieb des Rötgengerätes zwigend erforderlich.

Folgendes ist mir aufgefallen was mir nicht gefällt:
- Der Benutzer muss lokaler Administrator sein
- UAC muss ausgeschaltet sein
- Im Antivirenprogramm muss für das Programverzeichnis eine Ausnahme definiert sein
- Der SQL Express Server hat ein fest eingestelltes Kennwort was nur bedingt geheim ist (Zugriff und Manipulation der Daten)
- Seit der Installation habe ich von jedem PC Zugriffsversuche auf den Server mit einem Benutzer dessen Namen zur Software passt

Das ist leider realität bei vielen Softwaren so...

Viele Grüße

Stefan
Wasserstrahlbiegezange
Wasserstrahlbiegezange 09.05.2019 um 23:25:51 Uhr
Goto Top
@Sheogorath
Meine Anfrage bei der Datenschutzbehörde sollte ja genau dem Zweck dienen, dass ich sicher bin was ich genau machen muss und sollte. Also muss die Behörde informiert werden oder nicht usw. Aber ich denk da nochmal drüber nach.

@StefanKittel
Das ähnelt ja unserem Problem ein wenig.
Ich gehe bei dir aber mal davon aus, dass die Software mit dem Gerät zusammen arbeitet und somit die Software unabdingbar ist für die Benutzung des Gerätes. Hier ist das anders. Es gibt andere (auch deutlich bessere) Software die solche Probleme nicht hat. Das nicht immer alles ideal ist, ist klar. Aber diese Software hat Sicherheitsmängel wie du sie auch beschreibst, und noch mehr. Ebenso ist so schlecht Programmiert dass sie oft abstürzt wenn mal eine Eingabe nicht so ist wie sie soll weil die Validierung nicht existent oder fehlerhaft ist und der Hersteller gibt dann den Mitarbeitern die Schuld weil die zu doof seien eine korrekte Eingabe zu tätigen. Zu guter letzt werden dann die Kriterien nicht erfüllt. Denn die Software soll Mobil eingesetzt werden was so gar nicht möglich ist weil so kann man das Ding ja nichts an Netz lassen.
ukulele-7
ukulele-7 10.05.2019 um 07:20:17 Uhr
Goto Top
Wenn es vergleichbare Lösungen gibt die dem Datenschutz besser gerecht werden und vielleicht sogar mehr Komfort bieten dann hast du natürlich beste Argumente, woran stört sich dein Chef denn, Umstellungszeit? Kosten? Vermutlich habt ihr die problematische Lösung schon gekauft...
Wasserstrahlbiegezange
Wasserstrahlbiegezange 10.05.2019 um 07:43:22 Uhr
Goto Top
Du hast den Nagel auf den Kopf getroffen. Ich habe die Probleme seit Anbeginn angesprochen, sie wurden ignoriert, die Software wurde gekauft und die Mitarbeiter teilweise geschult. Nun heißt es: "Wir haben schon so viel investiert...".

Naja ich bin der Meinung, da die Software auch unseren Ansprüchen (die dem Hersteller bekannt waren) nicht genügen kann ist dies ein erheblicher Mangel und wir können vom Vertrag zurücktreten wenn dieser nicht nachbessert. Die Schulungen sind wohl ausgeworfenes Geld, das ist ein Dienst den der Hersteller geleistet hat und der vergütet werden muss...
ukulele-7
ukulele-7 10.05.2019 um 10:51:39 Uhr
Goto Top
Leider bist du drauf angewiesen das dein Chef diesen Mangel (da stimme ich dir grundsätzlich zu) auch gegenüber dem Hersteller durchsetzt. Offensichtlich hat er ja schon kein Intresse irgendetwas für den Datenschutz in Kauf zu nehmen, da wird er vermutlich nicht den Hersteller in Regress nehmen. Der wird natürlich erstmal behaupten ist kein Mangel, fertig...
Wasserstrahlbiegezange
Wasserstrahlbiegezange 10.05.2019 aktualisiert um 13:25:34 Uhr
Goto Top
Klar wird er das sagen. Aber ich habe beweiskräftig Dokumentiert inkl. der aktuellen Version der Software so dass ich dies reproduzieren kann.
Aber gut. Bei der Datenschutzbehörde habe ich Montag einen Termin mit der entsprechenden Fachperson. In ca. 2 Wochen einen Termin mit Chef, Hersteller, Projektleiter und mir als DSB und Informatik-"Sachverständiger" (wenn man das so nennen kann). Das Meeting wurde vom Chef aus anberaumt als "klärendes Gespräch" was genau geklärt wird, wird sich rausstellen...

Wenn Interesse besteht, werde ich hier weiter berichten (auch wenn es schon als erledigt markiert ist). Das ist vielleicht für den ein oder anderen hilfreich der in einer ähnlichen Situation steckt.
ukulele-7
ukulele-7 10.05.2019 um 13:31:31 Uhr
Goto Top
Auf jeden Fall interessant. Ich kann deinen Chef nicht einschätzen, vielleicht verläßt er sich ja auf deine Expertiese, das wäre wünschenswert. Vielleicht ist ja zumindest der Projektleiter (ein interner von euch?) mit auf deiner Seite und für eine bessere Lösung.
maretz
maretz 10.05.2019 um 13:47:29 Uhr
Goto Top
jap - oder du solltest schon mal die Stellenangebote raussuchen :D Naja, ich wünsch viel Glück das der Chef zumindest doch noch einsichtig wird... Wäre auf jeden Fall schön wenn mal auf Leute gehört wird die genau das beurteilen SOLLEN - und nicht nur danach gegangen wird wer die besten Werbegeschenke abgegeben hat...
Wasserstrahlbiegezange
Wasserstrahlbiegezange 10.05.2019 um 14:36:29 Uhr
Goto Top
@ukulele-7 und @maretz Dann werde ich gerne berichten ;)

Der Projektleiter ist intern ja. Der ist auch sehr kompetent (ich habe nun mal nur Ahnung von Informatik und Datenschutz und nicht von der Sozialarbeit). Er hat auch selber schon eine Softwareeinführung in einem anderen Unternehmen geleitet und das soweit ich weiß recht erfolgreich.

Um ehrlich zu sein, kenne ich es so, wenn man sowas einführt setzt man sich zusammen und erarbeitet wie man vorgeht usw. Leider gestattet Chef so einen "Arbeitskreis" nur sehr bedingt. Das erste wirkliche zusammen setzen kam erst nach sehr sehr viel betteln und flehen wo die Software schon lange gekauft und installiert war. (Kostet alles Zeit und Geld). Also auch hier nur Alibi wobei das Potenzial der Person nicht genutzt wird. Dabei brauchen wir das dringend denn es wird immer noch bei 60 Mitarbeitern (mit Klientenkontakt) und ~300 Klienten auf MS Office basis gearbeitet (auch in der Personalabteilung und bei den Abrechnungen).
ukulele-7
ukulele-7 10.05.2019 um 14:42:44 Uhr
Goto Top
Ihr führt ja jetzt das "klärende" Gespräch, was eine Zusammenkunft der beteiligten Personen wird. Wichtig wäre, das du nicht allein gegen die Software argumentierst und der Chef eher dem Hersteller glaubt das seine Software sicher ist - denn ist ja auch schon bezahlt. Dann kannst du kaum gewinnen. Ist der Projektleiter auch der Meinung das die Software nicht taugt stehen deine Karten doch besser.
Wasserstrahlbiegezange
Wasserstrahlbiegezange 13.05.2019 um 11:40:29 Uhr
Goto Top
Moin zusammen,
wie versprochen ich habe mich bei der Datenschutzbehörde gemeldet und mit einer sehr netten Dame gesprochen die auch akzeptiert hat, dass ich die besagte Software und mein Unternehmen für das ich arbeite nicht namentlich nenne. Die gute Frau hat mir aber folgendes versichert:

Haftung:
Ich bin NICHT Haftbar solange ich es nicht arglistig oder grob fahrlässig verschwiegen habe. Solange ich nachweisen kann, dass ich das Risiko benannt habe und meine Empfehlung (der nicht Einsetzung der Software) ausgesprochen habe bin ich fein raus.

Pflichten:
Ich bin verpflichtet alles dem Chef zu melden aber da kein Datenleck entstanden ist bin ich nicht direkt verpflichtet bei der Datenschutzbehörde Meldung zu machen. Sollte es aber so kommen, dass ggf. Daten entwendet wurden bin ich dazu verpflichtet binnen 72 Std. nach Kenntnis davon die Datenschutzbehörde zu informieren. Das kann auch der Chef nicht bestimmen, da bin ich in der Pflicht und auch ich Haftbar wenn ich das nicht melde.

Ich kann es aber trotzdem melden (bzw. die Software melden). Naja hier ist immer noch der Punkt, das ich bisher scheinbar der einzige bin, der die Software anprangert und eine solche Meldung sofort auf mich zurückfällt. Noch möchte ich den Job aber behalten ;)

Sie sagte mir aber auch, man muss hier den Entwickler in die Schranken weisen und ggf. auch melden damit diese extremen schwarzen Schafe sich gar nicht erst ausbreiten. (habe ihr auch von dem Verhalten des Entwicklers erzählt). Grundsätzlich habe ich alles richtig gemacht und alles was mich (bzw. meinen Arbeitsplatz) gefährdet sollte ich dann erstmal lassen.

Der Termin am 20ten wurde leider verschoben. Ein neuer steht bisher leider nicht.
Naja, ich finde es schade dass ich zur Meldung nicht verpflichtet bin. Ich habe auch nachgefragt ob es von der Datenschutzbehörde eine Stelle gibt, die Software testet und "freigibt" aber sowas gibt es bisher nicht. Zertifizierungen sind zwar geplant aber so wirklich gibt es da nichts.
StefanKittel
StefanKittel 13.05.2019 um 16:01:42 Uhr
Goto Top
Kurzer Nachtrag von mir.

Ein Kunde hat mir seinen neuen PCs (Windows 10, Server 2016) Probleme mit seiner Software.
Es gibt bei zwei Funktionen regelmäßig Datenbankfehler.

Hotline: -> Ist bekannt.
SMB2 auf Server und Clients deaktivieren und SMB1 aktivieren.
Wasserstrahlbiegezange
Wasserstrahlbiegezange 13.05.2019 um 18:47:35 Uhr
Goto Top
SMB1 ist doch wirklich eine Zumutung und nach Wannacry sollte das doch auch jeder gemerkt haben...
Ich versuche bei uns langsam alle Windows 7 PCs loszuwerden damit ich komplett auf SMB3 umsteigen kann und die Verschlüsselung greift. Unbegreiflich.
Wasserstrahlbiegezange
Wasserstrahlbiegezange 22.05.2019 um 13:23:06 Uhr
Goto Top
Hallo Leute,
hier nochmal ein Update wie versprochen!
Es gab heute den angekündigten Termin. Dabei waren einmal Chef, der Hersteller, der Projektleiter und ich. Dabei wurden viele und großteils die Schlimmsten Punkte angesprochen. Wie erwartet wurde vom Hersteller behauptet das sei alles nicht so problematisch obwohl ich ihm das Statement vom BSI sowie der Datenschutzbehörde vorgelegt habe. Dann wurde ich immer wieder als einzig schuldiger dargestellt (wenn mal was passiert). Alles wiederzugeben ist schwer und ich bin immer noch etwas perplex mit welcher Frechheit der Hersteller da vorgeht. Dies ist aber wohl auch einer enormen Unwissenheit geschuldet. So kamen z.B. solche Aussagen/Situationen zustande:

"Das Passwort für die Datenbank ist Hardcodiert und das kann nicht frei änderbar gemacht werden. Diese Möglichkeit bietet Windows Forms uns gar nicht. Für die Laien: Windows Forms ist die Entwicklungsumgebung" Ich frag ihn da was Windows Forms denn damit genau zu tun haben soll woraufhin er mir keine Antwort gibt. Über den Entwicklungsumgebung Bullshit sehe ich mal hinweg...

Er meinte unter anderem man käme in die Datenbank nicht rein, das könne nur das Programm selber. Ich habe dann mein Handy gezückt und eine Datenbankapp geladen. zack war ich drin... da war er sehr verwundert und konnte mir wieder keine Antwort geben.

Dann habe ich festgestellt, dass die Datenbank halt keine Fremdschlüssel besitzt, manchmal wird GUID manchmal mit Auto Increment IDs und manchmal auch mit Namen als Identifier gearbeitet. Er meinte Fremdschlüssel und Indexe die sieht man nur nicht. Naja ich denke, ich weiß schon wo ich zu schauen habe auch wenn ich kein Datenbankexperte bin. Aber kurz darauf ging es darum, dass Kalenderkategorien nicht löschbar sind in der Software. Dies begründete er damit, dass wenn man eine Kategorie löscht auf welche Kalendereinträge laufen führt das zu Fehlern in der späteren Auswertung. Woraufhin ich dann nochmal die Fremdschlüsselbeziehungen angesprochen habe und abermals keine Antwort bekam. Meines Erachtens würde ein Fremdschlüssel hier einige Probleme lösen. Klar nicht alles, aber z.B. ungültige Identifier.

Grundsätzlich kann man sagen, der Typ hat keine Ahnung von dem was er da macht und das sieht man der Software auch an. Von Chef selber gibt es bisher keine Entscheidung was passieren wird. aber ich gehe davon aus, der ignoriert das und fertig denn während des Gespräches hat er schon Pläne geschmiedet was denn die nächsten Schritte bei der Implementierung sind. Sollte da noch was kommen, halte ich euch auf dem laufenden.
ukulele-7
ukulele-7 22.05.2019 um 13:34:26 Uhr
Goto Top
Der "Hersteller" war vermutlich in Form eines Vertrieblers vertreten, der hat meist keinen wirklichen Schimmer über die technischen Hintergründe. Das ist einerseits okay aber der ist halt darauf gepolt Dinge zu "behaupten" um nicht unwissend oder unsicher zu erscheinen.
Zitat von @Wasserstrahlbiegezange:

Dann habe ich festgestellt, dass die Datenbank halt keine Fremdschlüssel besitzt, manchmal wird GUID manchmal mit Auto Increment IDs und manchmal auch mit Namen als Identifier gearbeitet. Er meinte Fremdschlüssel und Indexe die sieht man nur nicht. Naja ich denke, ich weiß schon wo ich zu schauen habe auch wenn ich kein Datenbankexperte bin. Aber kurz darauf ging es darum, dass Kalenderkategorien nicht löschbar sind in der Software. Dies begründete er damit, dass wenn man eine Kategorie löscht auf welche Kalendereinträge laufen führt das zu Fehlern in der späteren Auswertung. Woraufhin ich dann nochmal die Fremdschlüsselbeziehungen angesprochen habe und abermals keine Antwort bekam. Meines Erachtens würde ein Fremdschlüssel hier einige Probleme lösen. Klar nicht alles, aber z.B. ungültige Identifier.

Ja würden sie sicherlich, aber die Anwendung muss dann auch die Fehlermeldung der Datenbank zurück geben und idealerweise tut sie das für den Anwender verständlich. Das passiert oft nicht, es wird lieber mit einer eigenen Funktion gearbeitet. Fremdschlüssel wären elegant aber sind wirklich häufig nicht in der DB enthalten. Die Mischung aus IDs und GUIDs zeigen das dort Änderungen statt gefunden haben, aber eben nicht alles neu gemacht wurde.
Zitat von @Wasserstrahlbiegezange:

Grundsätzlich kann man sagen, der Typ hat keine Ahnung von dem was er da macht und das sieht man der Software auch an. Von Chef selber gibt es bisher keine Entscheidung was passieren wird. aber ich gehe davon aus, der ignoriert das und fertig denn während des Gespräches hat er schon Pläne geschmiedet was denn die nächsten Schritte bei der Implementierung sind. Sollte da noch was kommen, halte ich euch auf dem laufenden.
Da hilft eigentlich nur dokumentieren, persönlich einen Haken dran und etwas Schadenfreude wenns knallt oder ein Rückzug fürs Gewissen für die nahe Zukunft planen.
StefanKittel
StefanKittel 22.05.2019 um 13:37:17 Uhr
Goto Top
Hallo,

dann pass gut auf Dich auf.
Nicht, dass Du nachher strafrechtlich gelangt wirst weil Du der IT Typ bist.
Und auch vom Deinem Arbeitgeber nicht wenn Du das meldest.

Stefan
Wasserstrahlbiegezange
Wasserstrahlbiegezange 22.05.2019 um 13:49:33 Uhr
Goto Top
Kann dir da nicht ganz zustimmen. Das Unternehmen ist nicht so riesig und er selber ist einer der Entwickler.
Zumindest entwickelt er (laut seiner Aussage) auch noch mit aber nicht mehr so viel wie früher. Er selbst ist auch der Geschäftsführer und kein Vertreter.

Ja, an der Fremdschlüssel Geschichte will ich mich auch nicht aufhalten. Ich schwöre darauf Fremdschlüssel zu nutzen so gut es geht weil es vieles einfacher macht. Was ich aber meine mit dem Index ist meist in ein und der selben Tabelle. IDs werden wirklich meist in anderen Teilen verwendet was halt durch eine Änderung kommt, das kann ich nachvollziehen. Aber z.B. in Kliententermin steht "erstellt von GUID" und "erstellt von Name" drin. einmal mit der GUID einmal mit dem Namen (soweit kann ich es nachvollziehen) in den SQL Abfrage wird dann aber manchmal "DELETE FROM Kliententermine WHERE erstellt von Name = 'xy'" (alles sinngemäßer Pseudocode versteht sich). Als ob ein Namen nicht doppelt vorkommt...

Ich werde das Thema für mich auch abschließen wenn Chef jetzt nicht begriffen hat, was da falsch läuft ist er selber schuld.
Wasserstrahlbiegezange
Wasserstrahlbiegezange 01.07.2019 um 09:42:57 Uhr
Goto Top
Moin, es gibt Neuigkeiten!
Zur Wiederholung:
Es gab ein Gespräch zwischen dem Softwarehersteller, dem Projektleiter, Chef und mir. Ich hatte mir nicht viel davon versprochen weil der Hersteller in dem Gespräch sehr empört über meine "Anschuldigungen" war.

Aber es kam alles anders. Der Hersteller hat wohl eine unabhängige Prüfung seiner Software veranlasst und diese ging wohl sehr negativ aus (wie er selber sagte). Daraufhin hat er sofort Änderungen veranlasst und diese sind nun da! Jetzt muss ich das ganze noch prüfen aber soweit er sagt sind jetzt eine verschlüsselte Kommunikation möglich (auch mit selbstsignierten Zertifikaten). Das Passwort für die Datenbank lässt sich ändern. Dies ist so gelöst, dass es Konfigurator gibt, in dem trägt man alles ein und dann wird eine verschlüsselte Konfigurationsdatei für die Clients erzeugt und der Benutzer wird im Server eingerichtet. Damit sind zumindest die Sicherheitsrelevanten Teile erledigt und ich bin glücklich. Die Software selber wird dadurch nicht besser aber das soll nicht mein Bier sein, ich arbeite nicht damit.

Also Beharrlichkeit zahlt sich aus. :D