APP/Personendaten über PIN absichern - Auch bei der APP-Entwicklung die DSGVO beachten



  • Gute Usability der App
    Die Funktionen der neuen APP sind sehr erfreulich, auch die Bedienerfreundlichkeit, dass man nicht jedes Mal das Benutzername und ggfs. lange Passwort für die Anmeldung eingeben muss.

    Zugriff auf Personendaten genauso ungeschützt wie im Adressbuch und in den WhatsApp & Co.
    Jedoch fordert der Datenschutz, dass die Zugriff auf die Personendaten jederzeit geschützt sein muss. In manchem Fällen wird sogar auf den Endgeräten ein grundsätzlich getrennter Account bei der Arbeit mit den Gemeindedaten gefordert. Das ist auf dem PC noch möglich, auf dem Smartphones aber nicht sinnvoll machbar.
    Im Moment ist es so, dass jeder dem ich mein Handy/Tablett für einen Moment in die Hand geben freien Zugriff auf alle Personendaten unserer Gemeinde hat (da ich Admin in CT bin). Im Gegensatz zu meinem PC, wo der Zugriff auf CT nicht nur von der Anmeldung am PC, sondern auch von der Anmeldung im Browser abhängig ist (Wenn ich das Passwort dort nicht gespeichert habe).
    Daher wäre es gut hier eine Abfrage als Option einzubauen (Wobei ich denke, dass für jeden in Europa dieses Feature sinnvoll wäre). Damit wäre die Adressdaten endlich besser aufgehoben als bisher in jedem localen Adressbuch unserer Gemeindeleute.

    Featurewunsch:
    Als Admin kann ich über die zentrale Adminverwaltung beim Öffnen der Personendaten in der APP eine zusätzlich PIN Abfrage erzwingen. Jeder User kann seine eigene PIN pflegen; je nach dem was für die Programmierung besser funktioniert auf dem Smartphone (local) oder direkt über die Browser Oberfläche (zentral).
    Moderne Smartphones können diese PIN Abfrage dann wieder über einen Fingerprint-Scan koppeln, so dass die Usability relativ gut wäre, die Daten aber besser vor fremden Zugriff geschützt sind.



  • @MRBaum

    Lieber MRBaum,
    auch wenn ich diesen Ansatz gut verstehen kann möchte ich mich hoffentlich konstruktiv dazu äußern und gebe mindestens 3 Punkte als Workaround bei Smartphones zu bedenken:

    • Als erstes möchte ich dazu sagen, dass ein Mobiltelefon ohne aktivem Sperrbildschirm mit Muster, PIN oder Fingerprint-Abfrage nicht genutzt werden sollte

    • Die bekannten Smartphonehersteller haben auf ihren Geräten Funktionen wie KNOX oder sichere Ordner implementiert, auf die ein Zugriff nur mit vorgenannten Schutzmechanismen möglich ist

    • Des Weiteren gebe ich aus den von dir genannten Gründen mein Mobil-Telefon nicht x-beliebig aus der Hand

    Ich halte es durchaus für vertretbar solche "bauseitigen" Schutzfunktionen zu benutzen. Am PC ist die 2 Faktor-Autorisierung ja bereits implementiert, so dass auch an dieser Stelle eine Absicherung gut möglich ist, und wenn eine am Smartphone implementierte Autorisierungs-App auch noch im geschützten Ordner abgelegt ist, dann denke ich dass eine hohe Sicherheit erreicht wird.
    Ganz ehrlich gesagt bin ich der Meinung, dass der Fehler in den meisten Fällen vor dem Bildschirm sitzt, und jedes System ist nur so gut wie seine Anwender. (Es soll auch user geben die ihre PINs auf den zugehörigen Systemen, EC-Karten etc. notieren)

    Liebe Grüße und Gottes Segen für euren Dienst
    Wolfgang


  • admin

    Sehe ich auch so. Mein entsperrtes Handy/Tablett gebe ich niemandem an die Hand! Denn auch der Zugriff auf die gemeindliche Nextcloud, vertrauliche E-Mails usw. wäre damit frei.

    So wie sich auch niemand an meinem PC-Account anmelden kann/darf, handhabe ich das auch beim Smartphone und das ist - denke ich - gängige Datenschutzpraxis.

    Getrennte Accounts sind machbar ... auch auf dem Smartphone/Tablett. Würde man die CT-App absichern, bin ich mir nicht sicher, ob Push-Benachrichtigungen (technisch) noch durchgehen könnten.



  • @Andy Mein Gedanke ist nicht die App zu sichern, sondern nur das Öffnen der Rubrik "Personen" innerhalb der App mit einem 4-stelligen PIN zu sichern. Der PIN würde dann bei jeder Datenabfrage zum Server mit übertragen werden können. Es ist dann zu klären ob ein Wechsel der Rubrik oder das Beenden/Schließen der App die erneute PIN Abfrage erzwingt.
    Damit sollten Push-Nachrichten immernoch funktionieren. Und die restliche gute und einfache Usability der App geht nicht verloren.



  • @tollestool Du hast recht, dass die verschiedenen Hersteller jeweils eigene, unterschiedliche Funktionen zum Schutz der Daten anbieten. Auch über zusätzliche Apps.
    Aber dadurch geht zum einen die einfache Usability der App (z.B.: Dienstanfragen zusagen) etwas verloren.
    Zum anderen: bei über 100 Mitarbeitern und damit mindestens so vielen App Installationen auf ebenso vielen verschiedenen Geräten verschiedenster Art und Alter habe ich keine Chance alle Geräte und damit die Daten sicher kontrollieren zu können (Mein eigenes Gerät bekomme ich noch hin ;-) )
    Daher habe ich als Admin ein hohes Interesse daran, dass die persönlichen Daten der Gemeinde auf allen Geräten vor dem Zugriff durch Unbefugte so sicher wie möglich sind (und am besten nicht durch einen Workaround). Und auf Basis der DSGVO ist eine kompletter Zugriff auf Adressdaten erstmal als kritisch einzustufen.
    Smartphones und Tabletts mit einer dedizierten und an sich offenen App sind für mich grundsätzlich ein deutlich größeres Risiko, also eine (dem fremden unbekannte) Website in einem Browser. Und da die Adressdaten ja jedes Mal auf Anfrage vom Server geladen werden, würde die PIN Abfrage sogar vor der Datenübertragung erfolgen können.
    Wäre die PIN Abfrage optional durch den Admin einschaltbar, gäbe es ja für alle die es nicht wollen auch kein Problem.
    Ist mein Feature Wunsch damit nachvollziebarer?


  • admin

    Eine optionale PIN-Abfrage, die zb über Touch oder Face ID auf dem Gerät gespeichert werden kann mindert nur gering die Usability mmn bringt aber tatsächlich mehr Sicherheit. Würde es aber dem Nutzer beim Start der App auswählen lassen und entsprechend die Leute darauf schulen. Dann liegt es in der eigenen Versntwortung.

    Ich hab Apps, die gleich zu Beginn die PIN abfragen und trotzdem Push durchlassen. Vermute also, es sollte möglich sein.

    Ich vote unter der Prämisse des optionalen



  • Es müsste zumindest bei Android auch möglich sein, die Entsperrpin in die die App zu implementieren und beim Zugriff auf die Personendaten abzufragen. Ist z.B. auch bei der Nextcloud App einstellbar. Damit wäre die PIN lokal vom Gerät abhängig und der User muss sich keine weitere PIN merken, sondern die vom entperren seines Gerätes verwenden.



  • Ich hatte jetzt den konkreten Fall in unserer Gemeinde, wo ich mitbekommen habe das im Handy keinerlei Zugriffsperre/Bildschirmsperre eingestellt war, weder PIN-Sperre noch Fingerabdruck, und genau da liegt meiner Meinung nach das Problem! Wenn es zu einem Handyverlust kommt hat der Finder oder Dieb vollen Zugriff auf die entsprechenden Personendaten! Ich bin auch der Meinung, wie auch schon in einigen Antworten angesprochen, eine Absicherung der Daten notwendig ist!
    Es sollte es so sein, das eine Anmeldung in der APP nur möglich ist, wenn im Handy eine entsprechende Sicherheitsfunktion/Bildschirmsperre eingeschaltet ist, entweder PIN, Fingerabdruck oder Gesichtserkennung. Ist die nicht der Fall sollte ein entsprechender Hinweis erscheinen, eine dieser Sicherheitsfunktionen zu aktivieren, sonst ist kein Zugriff auf die APP möglich. Erst wenn eine Bildschirmsperre eingerichtet ist würde die APP starten. Man sollte nicht darauf hoffen bzw. Vertrauen, daß doch keiner so leichtsinnig ist, sein Handy nicht mit einer Sperre zu versehen! Bei manchen ist es Unwissenheit oder aber Bequemlichkeit, jedesmal wenn ich das Handy in die Hand nehme eine PIN eizugeben.
    Von daher muss softwareseitig alles getan werden, die Sicherheit der Personendaten zu gewährleisten und nicht dies an die User zu delegieren. Von daher schließe ich mich dem Featurewunsch von MRBaum an entweder PIN nur für Personendaten oder aber zumindest Abfrage ob Displaysperre aktiv!



  • @Tino sagte in APP/Personendaten über PIN absichern - Auch bei der APP-Entwicklung die DSGVO beachten:

    Ich hatte jetzt den konkreten Fall in unserer Gemeinde, wo ich mitbekommen habe das im Handy keinerlei Zugriffsperre/Bildschirmsperre eingestellt war, weder PIN-Sperre noch Fingerabdruck, und genau da liegt meiner Meinung nach das Problem! Wenn es zu einem Handyverlust kommt hat der Finder oder Dieb vollen Zugriff auf die entsprechenden Personendaten! Ich bin auch der Meinung, wie auch schon in einigen Antworten angesprochen, eine Absicherung der Daten notwendig ist!
    Es sollte es so sein, das eine Anmeldung in der APP nur möglich ist, wenn im Handy eine entsprechende Sicherheitsfunktion/Bildschirmsperre eingeschaltet ist, entweder PIN, Fingerabdruck oder Gesichtserkennung. Ist die nicht der Fall sollte ein entsprechender Hinweis erscheinen, eine dieser Sicherheitsfunktionen zu aktivieren, sonst ist kein Zugriff auf die APP möglich. Erst wenn eine Bildschirmsperre eingerichtet ist würde die APP starten. Man sollte nicht darauf hoffen bzw. Vertrauen, daß doch keiner so leichtsinnig ist, sein Handy nicht mit einer Sperre zu versehen! Bei manchen ist es Unwissenheit oder aber Bequemlichkeit, jedesmal wenn ich das Handy in die Hand nehme eine PIN eizugeben.
    Von daher muss softwareseitig alles getan werden, die Sicherheit der Personendaten zu gewährleisten und nicht dies an die User zu delegieren. Von daher schließe ich mich dem Featurewunsch von MRBaum an entweder PIN nur für Personendaten oder aber zumindest Abfrage ob Displaysperre aktiv!

    @ChurchTools-Mitarbeiter: Es wäre schön, wenn sich von Seiten Churchtools, mal zu dem Thema Sicherheit der Personendaten in der APP (siehe zitierter Beitrag von mir) mal jemand äussert. Ist da was in Planung?


  • ChurchToolsMitarbeiter

    Vielen Dank für die Diskussion. Ja, wir nehmen das Thema sehr ernst und sind auch mit unserem Datenschutz-Experten hierüber am diskutieren. Wir möchten eine sehr sichere und absolut Datenschutz-konforme Lösung finden, aber auch gleichzeitig darf die Usability nicht zu stark leiden.
    Momentan denken wir auch in die Richtung, dass wir einzelne Seiten als besonders Schützenswert erachten und diese dann durch TouchId/PIN/FaceId schützen, das könnte z.B. die Personendetail-Ansicht sein. So kann man problemlos Dienste bestätigen und den Ablauf anschauen ohne sich nochmal anmelden zu müssen, aber hat die Sicherheit wenn es um sensible Daten geht.

    Gerne nehmen wir hier noch weitere Anregungen auf.



  • Ich halte das Szenario des gestohlenen ungeschützten Smartphones auch für sehr realistisch. Als Schutz eine Pin oä beim ersten Zugriff auf Kontaktdaten nach einer bestimmten Zeit der Inaktivität scheint mir sinnvoll.
    Ein Test sollte unbedingt mit einem ungeschützten Smartphone erfolgen.

    Viele Grüße,
    Christoph



  • @jmrauen Danke, daß es endlich mal ein Statement von ChurchTools zu diesem Thema gibt! Es wäre aus meiner Sicht wichtig und wünschenswert, bevor weitere Funktionen in der App dazukommen, dass diesem Thema die oberste Priorität zukommt und dies als nächstes in der APP umgesetzt wird!!!
    Mein Vorschlag wäre, daß nach dem die App installiert wurde, beim ersten Start bevor ich die Login-Daten eingebe, geprüft wirt, ob eine Sicherheitsfunktion/Displaysperre (TouchID/PIN/etc.) aktiv ist. Wenn das nicht der Fall ist, eine Meldung erscheint, wo der User darauf hingewiesen wird, daß eine Nutzung der App nur mit aktiver Displaysperre möglich ist, da schützenswerte Daten in der App (Name, Vorname und kl. Foto) angezeigt werden. Die zweite Sicherheitsfunktion ist bei Aufruf der Personendetailansicht im Ablauf oder über die Personensuche, jedesmal bei Anzeige der Daten, dies mit Touch/ID oderFace/ID zu bestätigen. Wenn ich eine weitere Person suche und will die Detailansicht sehen, muss ich das wieder mit TouchID/FaceID bestätigen! Ich denke das ist dem User durchaus zuzumuten, würde aber eine vernünftiges Mass an Sicherheit bedeuten und die Usability meiner Meinung nach, nicht zu stark einschränken. So wie es aktuell ist, kann es eigentlich im Sinne der DSGVO und in der Verantwortung zum Schutz der persönlichen Daten unserer Mitglieder und Freunde nicht bleiben!



  • @Tino sagte in APP/Personendaten über PIN absichern - Auch bei der APP-Entwicklung die DSGVO beachten:

    Mein Vorschlag wäre, daß nach dem die App installiert wurde, beim ersten Start bevor ich die Login-Daten eingebe, geprüft wirt, ob eine Sicherheitsfunktion/Displaysperre (TouchID/PIN/etc.) aktiv ist.

    Das müsste doch bei jedem Start geprüft werden. Sonst richtet einer einfach eine entsprechende Sicherheitsfunktion ein, um die App das erste Mal zu starten und schaltet die Funktion dann wieder ab. Das kann ja auch nicht sein.



  • @rschi Das stimmt natürlich, es müsste bei jedem Starten der App, geprüft werden ob ein entsprechender Schutz aktiv ist!



  • @jmrauen Ich hatte ja eigentlich gehofft, daß es in der aktuell veröffentlichten Version 0.7.0 eine Änderung in Bezug auf den Zugriffschutz der Personendaten gibt! Leider ist da noch nichts passiert! Gibt es dafür einen groben Zeitplan, wann da eine Änderung kommt?



  • @Tino sagte in APP/Personendaten über PIN absichern - Auch bei der APP-Entwicklung die DSGVO beachten:

    @jmrauen Ich hatte ja eigentlich gehofft, daß es in der aktuell veröffentlichten Version 0.7.0 eine Änderung in Bezug auf den Zugriffschutz der Personendaten gibt! Leider ist da noch nichts passiert! Gibt es dafür einen groben Zeitplan, wann da eine Änderung kommt?

    Mich würde das auch interessieren, wann ungefähr damit zu rechnen ist. Bei uns steht aufgrund struktureller Veränderungen das Einrichten der App für ca. 80 Gemeindeglieder an. Für mich ein Datenschutzalptraum, wenn ich die Handys sehe auf denen die App laufen soll. Oben genannte Sicherheitsfunktionien wären da essentiell um keinen DS-Super GAU zu erleiden.



  • Die Diskussion über den Datenschutz-GAU hatte ich kürzlich auch. Die gesonderte Sicherung der Daten halte ich für sehr sinnvoll, befürchte aber beim aktuellen Stand der App keinen GAU.
    Es müsste jemand sein Smartphone verlieren, der es nicht besonders gesichert hat. Dann müsste es jemand mit gewisser krimineller Energie finden. Müsste darauf kommen, dass in ChurchTools Adressen hinterlegt sind. Über die Suchfunktion müsste er die Personen nach und nach finden und die Daten per Hand übertragen.
    Die so gewonnenen Adressen müsste er dann kriminell nutzen: selber oder verkaufen.
    Das ist sehr hoher Aufwand, um damit Missbrauch zu treiben. Die Schwarzmarktpreise sind für so wenige Adressen ziemlich gering.
    Imageschaden? Das müsste man schon etwas aufblasen, damit es für eine Zeitung interessant würde.

    Bin ich zu blauäugig?


Log in to reply