Ungelöst Datenschutz
-
Zwei Fragen zum leidigen Thema Datenschutz:
Wenn ich das richtig sehe, muss die Gemeinde ein großes Vertrauen in den CT-Admin haben. Denn der Admin sieht alles. Wie geht ihr damit um, dass der Admin im Grunde auf alle Daten uneingeschränkt Zugriff hat?
Kann man die Rechte eines Admin so einschränken, dass für bestimmte Vorgänge die Einwilligung / Freigabe des Datenschurzbeauftragten nötig ist?
Zudem hat jeder, der die Log-Daten ansehen kann, die Möglichkeit (alle?) Daten einzusehen. Denn im Log sind alle Eingaben quasi im Klartext ersichtlich. Wenn ich z.B. nach Mustermann oder seiner PersonenID suche, finde ich z.B. alle Spendenbuchungen, Kommentare, etc. Oder andersherum, wenn ich in die Logs schaue, z.B. wegen eines aufgetretenen Fehlers, laufe ich schnell Gefahr etwas zu sehen, was ich nicht sehen will / sollte.
-
@matloh der Admin hat Fachwissen, Zuverlässigkeit, Eignung und Erfahrung mitzubringen. Die Eignung schließt Vertrauenswürdigkeit und Verschwiegenheit mit ein.
-
@andy Als Admin stimme ich dir da natürlich voll zu und ein frommer Admin ist ohnehin unfehlbar
Spaß bei Seite. Mir stellt sich schon die Frage, ob der Admin, ähnlich wie bei anderen wichtigen Ämtern, von den Mitgliedern gewählt/bestätigt werden sollte?
-
@matloh Wir haben das über eine Verschwiegenheitserklärung mit Unterschrift gelöst. Das gibt zumindest ein wenig Sicherheit.
-
finde ich z.B. alle Spendenbuchungen
Hierzu mag ich noch etwas ergänzen: Das hat mich persönlich wirklich gestört, da ich das absolut nicht sehen will. Aus dem Grunde ist mein normaler Account nicht mehr Superadmin, sondern ich habe einen zusäztlichen Superadmin-Account angelegt, mit dem ich nur dann arbeite, wenn ich bestimmte Dinge in den Admin-Einstellungen ändern muss.
Mein täglich benutzter Account hat zwar auch weitgehende Berechtigungen, aber eben z. B. die Finanzen habe ich nur so berechtigt, wie für alle unsere Gruppenleiter. Ich sehe also nur das Budget, für das ich verantwortlich bin und Spenderdaten werden ausgeblendet.
-
@mathis sagte in Datenschutz:
Wir haben das über eine Verschwiegenheitserklärung mit Unterschrift gelöst.
Ja, wir auch.
-
Hi,
die individuelle Vertrauenswürdigkeit ist leider nur der eine Aspekt.
Ein anderer - mit zunehmender Wichtigkeit - ist, dass der natürlich auch das absolute Primärziel für Angreifer ist (EINEN User, an den man herankommen muss, und kann alles sehen (in einer Umgebung, in der alle Nutzer sich mit großem Vertrauen bewegen)).
2FA ist ein gutes Mittel, aber heutzutage laufen viele Angriffe via social engineering - da spielt es immer weniger eine Rolle, wie viele Schlösser man an die Tür macht, denn die Leute machen sie einem sowieso auf.
Glücklicherweise ist bei kirchens üblicherweise kein (einfaches) Geld zu holen ... aber "Daten absaugen" könnte schon attraktiv sein.
Da wäre schon noch eine Menge Verbesserungspotential bei CT.
Spontan fallen mir ein:- "Support-Authentikation" für CT-Mitarbeiter
- 4-Augenprinzip
- vordefinierte Aufgaben
- "Tun & Sehen trennen" (für nur sehr wenige Aufgaben muss ich wirklich persönliche Daten der Personen SEHEN)
- ...
Allerdings steigt natürlich mit jeder Sicherheitsmaßnahme auch der Aufwand, aber irgendwann kann es das wert sein.
(außerdem wäre es sinnvoll, wenn Gemeinden aus den Sicherheitsfeatures auswählen könnten)Nur mal ein paar Ideen von mir.
Simon
-
-
@andy
Ich habe bislang den CT-Supportzugriff noch nicht verwendet, habe aber auch keine Ahnung, wie ich einen "echten CT-Mitarbeiter" an Telefon oder Mail von einem falschen unterscheiden kann.
