Moin Moin!

Was nützt es, Zufallsfunde zu erschweren, wenn man gezielt schauen kann? Wenn du sensible Daten hast und befürchten musst, dass Mitarbeiter oder Dienstleister diese nicht für sich behalten können, solltest du sie mit ein NDA (Non-disclosure agreement) zum Schweigen verpflichten. Das schließt auch nicht zufällige Funde ein. Gegen menschliche Schwächen helfen angemessene Vertragsstrafen, die zumindest zur Linderung des finanziellen Schadens herangezogen werden können.

Ich arbeite mit sensiblen Daten, seit Jahren, und meine diversen Arbeitgeber (aktueller und ehemalige) haben mich routinemäßig zur Verschwiegenheit auch über das Ende des jeweiligen Beschäftigungsverhältnisses hinaus verpflichtet.

Explizite Vertragsstrafen waren nie abgemacht, aber die normale Gesetzeslage sollte ausreichend abschreckend sein. Wenn ich bewußt sensible Daten meines aktuellen Arbeitgebers weitergeben würde, stünde ich wahrscheinlich am nächsten Tag ohne Job da, zur Abwechslung würde man mich dafür wahrscheinlich bis aufs letzte Hemd verklagen.

Wenn ich es drauf anlegen wollte, könnte ich meinem Arbeitgeber und einigen Leuten, die mit meinem Arbeitgeber zusammenarbeiten oder zusammengearbeitet haben, einen riesigen Schaden verpassen. Ich müßte nur gezielt nach einigen Datensätzen suchen und diese weitergeben.

Aber erstens widerspricht das meiner Vorstellung von Berufsehre, und zweitens wäre ich schön blöd, das zu machen. Es gibt bei meinem Arbeitgeber nur sehr wenige Leute, die die notwendigen Zugriffsrechte haben, d.h. ich würde extrem schnell verdächtigt. Und dann: Job weg, Kohle weg, und im blödsten Fall auch noch vorbestraft. Darauf kann ich gut verzichten.

Ich behaupte auch nicht, dass es zwingend erforderlich ist sowas zu machen. Aber ich sage, dass es sicherlich nicht schadet. Es ist nicht zu aufwändig sowas bei der Programmierung des Systems zu berücksichtigen und es erhöht den Datenschutz um einen Tick. Wenn man dann echt mal mit den Datenschutzbehörden zu tun hat werden die sicherlich erfreut darüber sein.

Oder sich eins ablachen, ob der dilettantischen Versuche.

Eben. Die Gleichung "verschlüsselt = sicher" geht nicht auf. Wenn ich ein grottenschlechtes System mit Verschlüsselung "sicher" machen will, ist das wie ein Pappkarton, der zusätzlich zum Paketband noch mit einem High-End-Vorhängeschloss "gesichert" ist. Niemand wird sich da die Mühe machen, dass Vorhängeschloss zu knacken, weil man mit wesentlich weniger Aufwand den Rest des Systems austricksen kann.

Sicherheit und Datenschutz fängt damit an, dass man die Systeme sichert. Ganz trivial: Server liegen innen im Haus, ohne eine Außenwand. Alarmanlage, Zugangsbeschränkungen, das ganze Theater. Darüber ein regelmäßig aktualisiertes Betriebssystem, auf das nur ein sehr kleiner Kreis von Leuten Zugriff hat, darüber Datenbank bzw. Applikation, wieder mit so wenig Rechten wie möglich. Und so weiter, und so weiter. Irgendwann ist man bei der Eingabevalidierung, und da ist man noch lange nicht fertig.

[...] wenn es nicht überhaupt angebracht ist das ganze mit Testdaten oder zumindest mit pseudo- oder sogar anonymisierten Datensätzen zu machen.

Natürlich. Dumm nur, dass sich Fehler nicht nur auf das Testsystem beschränken oder stets auch dort nachvollziehbar sind.

Das erstere ist richtig, das zweite sollte eigentlich nur extrem selten passieren. Denn idealerweise ist das Testsystem baugleich mit dem Produktivsystem und kann auch schnell auf dessen Datenstand gebracht werden. Virtuelle Maschinen sind da extrem hilfreich.

Wenn dann wirklich mal jemand diese Information sehen muss, weil das Problem anders nicht zu beheben ist, ist das im Prinzip völlig OK - hier müssen dann eben mal ausnahmsweise die Interessen des Kunden zurückstehen.

Dazu räumt das Gesetz garantiert keine Ausnahme ein.

Muß auch nicht. Denn der Kunde hat dem Unternehmen das Recht gegeben, seine Daten zu verarbeiten. Dazu gehört auch, dass Admins und ggf. hausinterne Entwickler Einblick in die Daten bekommen, falls das für ihren Auftrag notwendig ist. Natürlich kann man dafür Sorgen, dass diese Einblicke automatisch und nicht manipulierbar dokumentiert werden.

Alexander