Umgang mit Kundendaten

drboe

Mitglied
Freiberufler z.B., die für die Sicherheit der ihnen anvertrauten Kundendaten verantwortlich sind, speichern und verwenden die I.d.R. auf vom Internet entkoppelten Arbeitsrechnern.
Sollen Daten über das Internet versendet werden, werden die auf dem Arbeitsrechner verschlüsselt und über eine externe Festplatte an den Internetrechner übergeben.
Diese Vorgehensweise kann ich nicht bestätigen. Bei einer mir bekannten Entwicklung für eine Bank findet die auf Computern statt, die ständig, d.h. bis zu 7x 24 Stunden mit dem Internet in Verbindung stehen. Es wird auch via Internet auf die Infrastruktur der Bank zugegriffen, z. B. für remote Software-Installation oder andere Supportzwecke. Der Zugriff erfolgt zwar verschlüsselt, aber die beteiligten PC sind in der Regel der Computer des Supporters / Dienstleisters / Entwicklers und ein Server der Bank. D. h., die beteiligten Computer sind beide mit dem Internet verbunden. Es ist dabei nicht sichergestellt, dass nicht auch außerhalb des VPN-Tunnels eine Kommunikation mit dem Internet erfolgen kann, da die Bank die Infrastruktur des Lieferanten nicht kontrollieren kann. An eine Verschlüsselung und Übergabe aus der Entwicklung an den Internetrechner über externe Festplatten kann ich mich nicht erinnern. Der Datenstrom wird bei VPN on-the-fly verschlüsselt und die Daten und Software werden direkt aus dem System des Dienstleisters geliefert. Es ist z. B. auch nicht so, dass bei Entwicklungen generell mit Spieldaten gearbeitet wird. Bei Korrekturen am Produktivsystem hat man selbstverständlich Zugriff auf die Originaldaten der Kunden oder interner Abteilungen. Das ist anders kaum lösbar und im Rahmen von bestehenden Geheimhaltungsvereinbarungen m. E. auch kein Problem. Angesichts der Tatsache, dass Banken Teile des DV-Betriebs auch an externe Dienstleister vergeben haben, fliessen ständig Daten zwischen der jeweiligen Bank und dem Dienstleister hin und her. Dabei werden sicher nicht immer Standleitungen eingesetzt, sondern auch VPNs. Der Einsatz von Notebooks ist auch im Bankbereich üblich, ebenso Remote Access via Internet und VPN. Auf den mobilen Geräten werden auch schon mal Kundendaten und andere vertrauliche Informationen durch die Gegend geschleppt.

M. Boettcher
 
AW: Umgang mit Kundendaten

Diese Vorgehensweise kann ich nicht bestätigen.
Bei einem Projekt für eine große Lebensmittel verarbeitende Firma war das von mir beschriebene Vorgehen im Vertrag vorgeschrieben. Elementarer Bestandteil der Software waren die Rezepturen und ihre Auswirkungen auf die Produktionsabläufe. Da konnte man nicht wie bei einer Buchhaltungssoftware mit Dummydaten arbeiten.
Ich weiß von Kollegen, die ähnliche Fälle hatten. Da wäre es für den Entwickler, aber auch für den Kunden das Ende gewesen, wenn die Daten in falsche Hände gekommen wären.

Bei Korrekturen am Produktivsystem hat man selbstverständlich Zugriff auf die Originaldaten der Kunden oder interner Abteilungen.
Es ist ein Unterschied, ob Du via Remote Access auf einer fremden Maschine arbeitest, oder ob sensible Daten dauerhaft auf Deiner Kiste liegen und der Kunde keinerlei Einfluß darauf hat, was damit passiert.

Auf den mobilen Geräten werden auch schon mal Kundendaten und andere vertrauliche Informationen durch die Gegend geschleppt.
Wenn eine Bank externe Entwickler reale Kundendaten auf ihre Notebooks ziehen läßt, halte ich das für mehr als leichtsinnig. Auch aus der Sicht des Entwicklers. Was ist, wenn dem das Notebook geklaut wird?

Aus der Arbeit für einen sehr großen Konzern (Stammsitz München) weiß ich, das die bei bestimmten Projekten ihre "Externen" nur vor Ort arbeiten lassen. Die stellen Büros, Rechner, Software, Fachliteratur usw. einfach alles, was man zum arbeiten braucht. Es wäre keine gute Idee, da mal eben eine Kundenliste auf eine CD zu braten, oder aufs eigene Notebook zu ziehen.

Gruß A. John
 
AW: Umgang mit Kundendaten

Wenn eine Bank externe Entwickler reale Kundendaten auf ihre Notebooks ziehen läßt, halte ich das für mehr als leichtsinnig. Auch aus der Sicht des Entwicklers. Was ist, wenn dem das Notebook geklaut wird?
Das hast Du wohl missverstanden. Die Banken setzen selbst Notebooks ein. Auf diesen befinden sich (auch) Kundendaten in Form in Excel-, Winword- und Access-Dateien, in Lotus Notes Mails und entsprechenden Repliken interner Notes-DBs. Ob die HDs/Files alle verschlüsselt sind? Womöglich erfolgt der Zugriff auf die zentralen Ressourcen noch mit 'cashed credentials'. Dann bräuchte man die lokalen Daten nicht einmal, wenn man das Gerät "findet".

Aus der Arbeit für einen sehr großen Konzern (Stammsitz München) weiß ich, das die bei bestimmten Projekten ihre "Externen" nur vor Ort arbeiten lassen. Die stellen Büros, Rechner, Software, Fachliteratur usw. einfach alles, was man zum arbeiten braucht. Es wäre keine gute Idee, da mal eben eine Kundenliste auf eine CD zu braten, oder aufs eigene Notebook zu ziehen.
Fängt mit S an, und hat eine kriselnde 3-Buchstaben-Tochter, die auch mit S anfängt? Die arbeiten m. W. in anderen Projekten auch so, dass Externe Dienstleister ihre eigene Hardware und Software einsetzen und der Zugriff auf Echtdaten möglich ist. Das ist bei Arbeiten an Produktivsystemen praktisch unvermeidlich und mit entsprechenden Vereinbarungen/Verträgen auch kein wirkliches Problem. Bei Verstössen ist man als Dienstleister nämlich schnell wieder draussen, und das dann völlig zu Recht.

M. Boettcher
 
Zurück
Oben