Off Topic

wean

Ist euch bekannt, dass Personaldaten über das Internet nicht übertragen werden dürfen?

Weiss einer von euch hierzu evtl Näheres? Ob verschlüsselt, oder unverschlüsselt - Mindest-Verschlüsselung usw? Soll angeblich eine Festlegung vom Bund dazu geben.

In den MOC-Szenarien waren auf jeden Fall Übertragungen von Personaldaten dabei Anscheinend gilt das nicht für die Staaten.

Hab mich heute den ganzen Tag darüber ärgen müssen, da eine Fremdfirma dies "behauptet" hat und mein ganzes Netzwerkkonzept beim Kunden umwarf.


wean

Dr.Melzer

Könntest du mal etwas genauer beschreiben um was es ging.

wean

Wir sind die Netzwerkverwalter einer Personalvermittlungsagentur FirmaX.

Die Datenbank der FirmaX wird von einer weiteren FirmaY monatlich mit "Personaldaten" gefüttert. (ist momentan wegen der oben genannten Thematik noch nicht passiert)

Nun wollte die FirmaY, dass ich "LapLink" auf den Server hau' und diese die zu übertragenden Daten einspielen können.(Direktverbindung -> ISDN-Wählverbindung)

Laplink, brachte den Server aber zum Absturz, worauf ich ihn vom Backup wieder herstellen musste. (Darüber hinaus, halte ich LapLink in der heutigen Zeit für etwas überholt )

Nun bot ich der FirmaY an, sich entweder Direkt mit dem RRAS-Dienst über ISDN zu verbinden. FirmaY meinte daraufhin dass LapLink die Daten aber komprimieren würde, und diese dadurch Kosten sparen würden (wir reden hier von ca. 8MB!!!!! - solche Knauser ).

Dann habe ich denen gesagt, dass dann halt mit dem RRAS-Dienst statt 30 Minuten ca 45 Minuten dauern würde. (Ist ja auch eine gewissen Software-Komprimierung dabei).

Und wie ich dann auf VPN zu sprechen kam, meinten diese:
Dem kann ich halt nicht ganz folgen. Ich meine, alle Daten sind ja in irgend einer Art und Weise "sensibel". Und ne 128Bit Verschlüsselung ist schon eine Menge Holz. Selbst Banken, nutzen z.B die SSL-Technologie für Ihre Kunden zum Online-Banken etc. Das sind auch sensible Daten.

Naja, deswegen kann ich mir kaum vorstellen, dass es ein Urteil darüber gibt, wie und auf welche Art und Weise Personaldaten übertragen werden dürfen und wie nicht. - Oder doch?

Wäa scho kuhl, wenn Dir da was einfallen würde Doc

bussi wean

grizzly999

Vermutlich haben die auf das BSI-Handbuch angespielt, das man für entsprechend geringes Entgelt erwerben kann. Das ist Sicherheitstechnisch in vielen Bereichen Grundlage von Analyse und Planung, für ein Teil, das von einer Bundeseinrichtung stammt erstaunlich aktuell, und teilweise bzw. in Zukunft auch mehr Grundlage für Basel II Kriterien, z.B. bei der Vergabe von Bankkrediten etc.

Ich gestehe zu meiner Schande, habe noch nicht mal reingeguckt

Mehr Informationen findet du hier:
http://www.bsi.bund.de/gshb/


grizzly999

wean

Na DAS nenn ich mal hilfreich :-)

Danke Grizzly - Aber sind das denn empfohlene Richtlinien oder Vorschriften?


wean

wean

........nur wer liest lernt dazu - Ist eine Empfehlung

Dr.Melzer

Ich kenne die Seite vom BSI. Das sind Empfehlungen, keine Vorschriften. Im Prinzip hat der Typ von der "FirmaX" schon Recht, wenn du einen VPN Tunnel benutzt gehen die Daten durch das Internet. Das er diese Methode aber als unsicher bezeichnet, outet ihn als EDV-Nullchecker. Wenn du deinen Tunnel vernünftig einrichtest und anständige Firewalls für seine Berechnung einsetzt, ist das auf alle Fälle sicher. Eine direkte Wählverbindung ist zwar noch sicherer, da sie nur mit grossem Aufwand abhörbar ist (wer will kommt aber trotzdem an die Daten ran), aber VPN Tunnel sind ebenfalls sicher, da die Daten stark verschlüsselt werden. Die Frage ist auch immer: Welchen Aufwand will jemand treiben um an die Daten ranzukommen? Wenn er will kommt er immer ran. Er muss sich aber bei beiden Lösungen stark ins Zeug legen.

wean

genauso sehe ich das auch Doc,

laut meines MCT's werden die Verschlüsselungstechniken und deren Entschlüsselung eh erst dann publiziert, wenn der amerikanische Geheimdienst in der Lage ist, diese zu entschlüsseln. Kannst Du das evtl bestätigen?

Ich mein, wo fängt man an, und wo hört man auf wenn die Firma ohnehin kein Weltkonzern ist

Davon abgesehen ist doch der grösste Risikofaktor eh der Benutzer selbst, der seine Passwörter und Benutzernamen auf den Bildschirm klebt oder auf die Arbeitsmappe schreibt.

Aber das mit dem BSI ist schon einmal eine Sache. Danke grizzly - wünsch euch ne heisse Woche

Dr.Melzer

Das halte ich für ****sinn! Wie diese Verschlüsselung funktioniert ist allgemain bekannt. Ausserdem, warum sollte der amerikanische Geheimdienst rumerzählen, dass er die Schlüssel knacken kann (wenn er das könnte), da wäre er ziemlich dämlich! Warum wird ausgerechnet der amerikanische Geheimdienst als Referenz genommen? Wenn die Russen oder die Franzosen den Code knacken, wird er nicht veröffentlichet???

Ich habe das Gefühl dein MCT wollte nur ein wenig schlauschwätzen.

edv-olaf

Auch ohne konstruktive Beiträge zum ursprünglichen Problem muss ich hier Dr.M mal beipflichten. *und ziemlich grinsen, ob der seltsamen MCT-Aussage*

--> Such mal nach "Public-Key-Encryption" oder "RSA", da findest du Algorithmen, Crack-Ansätze und Programme zum Hacken ebenso wie einen Vergleich der Zeiten zum Hacken bei unterschiedlichen Schlüssellängen - nix mit NSA und CIA.

Grüße
Olaf