Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten sammeln

electric.larry · 16 Jan. 2016

Der Rechtsanwalt eines Auftraggebers hat uns kontaktiert und gefragt, nach welchen Industriestandards die Sicherheitsmaßnahmen der Website des Unternehmens implementiert wurden. Hintergrund ist, dass auf der Website des Unternehmens über ein Web-Formular eine lange Liste an personenbezogenen Daten abgefragt und auf dem Server gespeichert wird.

Weiss jemand von euch, welche Industriestandards es für "Sicherheit" einer Webanwendung/Website gibt? Wenn ja, sind diese einheitlich innerhalb der EU und gibt es hier verschiedene Sicherheits-Klassen in die eine Anwendung/Seite eingestuft werden kann? Wie werden diese geprüft? Gibt es Tools mit denen die Einhaltung dieser Standards automatisiert geprüft werden kann?

Hoffe jemand von euch kann mir zu diesem Thema ein bisschen Nachhilfe geben.

BurnerR · 16 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Vllt kann ja jemand meine paar Brocken ergänzen.
Ich kenne IT Grundschutz vom BSI bzw. ISO 27000, da gehts dann auch um die verwendete Infrastruktur etcetc. Kann man sich nach zertifizieren lassen, aber soweit ich weiß als klein(st)-Unternehmen kaum zu leisten.
Für reine Web-Security gibts dann ja OWASP, aber das ist kein Industriestandard.

btw ist es afair so, dass es einen Unterschied macht ob man nach "dem Stand der Technik" oder "dem neusten Stand der Technik" entwickelt.
Ist sicherlich schwammig, ich habe das für mich so erklärt: Stand der Technik: Hashen von Passwörtern, aber mit md5. Neuster Stand der Technik: Hashen und mit bcrypt.
[Vllt kann dazu ja noch jemand was schreiben

]

Hector · 16 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Eigentlich alles, was hier aufgeführt ist:

https://de.wikipedia.org/wiki/IT-Compliance

Als Ergänzung zu den Sachen von BurneR.

virtus · 17 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Die Frage klingt interessant. Industriestandards sind nicht unbedingt normiert. Daher kommt mir schon die Anfrage des Anwalts eures Kunden seltsam vor.

Ein Industriestandard oder – vor allem im englischen Sprachraum – De-facto-Standard, seltener auch Quasistandard, ist ein technischer Standard, der nicht durch ein Normengremium verabschiedet, sondern von Industrieunternehmen definiert wurde.

Da man angefragt hat, welche Verfahren ihr verwendet, stelle ich mir allerdings auch die Frage, was du nun von uns erwartest. Ich hoffe du willst nicht einfach irgendwelche Punkte aufführen, nur weil sie hier genannt werden, ohne dass das Unternehmen diese Standards tatsächlich verwirklicht.

Gewöhnliche Maßnahmen:

Datenübertragung durch kryptografisch abgesicherte Verbindungen (Integrität, Vertraulichkeit, Authentizität) zur Datenübertragung:
Daten des Clients werden verschlüsselt zum Server übertragen, z.B. TLS 1.* (nicht mehr SSL 1, SSL 2, SSL 3)
Hashing von Daten:
Passwörter werden nur in Form ihrer Hashes gespeichert, z.B. SHA2-Algorithmen (nicht mehr md5, sha1)
Kürzen von Daten:
Einige Daten, müssen nicht vollständig, sondern nur in gekürzter/ anonymisierter Form vorliegen.
Bspw. reichen häufig die letzten x-Ziffern einer Konto-/Telefonnummer
Verschlüsseln von Daten:
- z.B. AES für symmetrische Verschlüsselung (nicht mehr DES)
- z.B. RSA für asymmetrische Verschlüsselung
Zugriffskontrolle:
Zertifikate oder Passwortschutz, z.B. Priv/Pub Key, RSA.

Natürlich sollten weiterhin gesetzliche Vorgaben erfüllt werden. Insbesondere was Speicher-/Aufbewahrungsfristen, Datenauskunft, etc angeht.

Bevor du darauf antwortest, solltest du das zum Einen eurer IT- und zu Anderen eurer Rechtsabteilung unterschieben.

electric.larry · 18 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Danke für eure Antworten. Da wir schon das ganze Wochenende wie irre dran arbeiten die Deadline einzuhalten bleibt leider nicht genügend Zeit die Frage des Juristen umfangreich zu diskutieren. Ich werd mich in nächster Zeit aber definitiv mit diesem Thema ausseinandersetzen.

Weder im Pflichtenheft noch in unserem Angebot waren irgendwelche speziellen Anforderungen hinsichtlich der Sicherheit des Systems zu finden, das ist erst jetzt am Wochenende vor dem Launch aufgetaucht.
Wir haben uns jetzt zusichern lassen, dass wir schad- und klaglos gehalten werden, da das System in extrem kurzer Zeit programmiert werden muss und keinerlei Zeit für externe Security Audits oder ähnliches ist. Auch auf die Risiken, wenn ein System in so kurzer Zeit aus dem Boden gestampft wird, haben wir umfangreich hingewiesen. Ich hoffe, dass das ausreicht.

Wie sich herausgestellt hat, bedeutet für diese Juristen, die wenig Ahnung von IT haben, Sicherheit auch nicht unbedingt die technische Sicherheit des Systems. Vielmehr hat man sich daran gestoßen, dass zB der Upload einer Reisepass-Kopie geplant war. Da in manchen europäischen Ländern die automatisierte Verarbeitung von Reisepässen nur unter gaaaanz speziellen Umständen erlaubt ist, hat man jetzt einfach alles rausgestrichen, was nicht zwingend für das System notwendig war.

Lustig war auch, dass zuerst gefordert wurde, dass automatisch das Foto und die Reisepass-Nummer beim Upload geschwärzt wird. Jetzt hat sich aber herausgestellt, dass sogar das automatische Schwärzen eine automatisierte Verarbeitung und daher nicht zulässig ist.

Bevor du darauf antwortest, solltest du das zum Einen eurer IT- und zu Anderen eurer Rechtsabteilung unterschieben.

Du machst Scherze. Wir sind eine IT-Bude mit ein paar Programmierern und Designern, unsere Rechtsabteilung ist also mit genau 0 Leuten besetzt

Danke jedenfalls für eure Antworten!

<3

virtus · 18 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

electric.larry schrieb:
Du machst Scherze. Wir sind eine IT-Bude mit ein paar Programmierern und Designern, unsere Rechtsabteilung ist also mit genau 0 Leuten besetzt

Outch. Ja wie gesagt, da es sich bei Industriestandards nicht um Normen handelt, würde ich die Techniken beschreiben, die eingesetzt wurden, also z.B. das, was ich oben schon geschrieben habe.

BurnerR · 18 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Das klingt aber generell etwas nubolös bzw. naiv.

Wir haben uns jetzt zusichern lassen, dass wir schad- und klaglos gehalten werden, da das System in extrem kurzer Zeit programmiert werden muss und keinerlei Zeit für externe Security Audits oder ähnliches ist. Auch auf die Risiken, wenn ein System in so kurzer Zeit aus dem Boden gestampft wird, haben wir umfangreich hingewiesen. Ich hoffe, dass das ausreicht.

Generell sind mündliche Absprachen im Zweifelsfall nichts wert, ihr könnt im Rahmen des Vertrages haftbar gemacht werden, also je nach Vertrag schon bei Fahrlässigkeit (alternativ zu grober Fahrlässigkeit).

Vielmehr hat man sich daran gestoßen, dass zB der Upload einer Reisepass-Kopie geplant war. Da in manchen europäischen Ländern die automatisierte Verarbeitung von Reisepässen nur unter gaaaanz speziellen Umständen erlaubt ist, hat man jetzt einfach alles rausgestrichen, was nicht zwingend für das System notwendig war.

Lustig war auch, dass zuerst gefordert wurde, dass automatisch das Foto und die Reisepass-Nummer beim Upload geschwärzt wird. Jetzt hat sich aber herausgestellt, dass sogar das automatische Schwärzen eine automatisierte Verarbeitung und daher nicht zulässig ist.

Die Frage stellte sich mir damals auch mal. Ich habe damals darauf bestanden, dass in den Vertrag mit aufgenommen wird, dass der Auftraggeber versichert, dass das System, so wie er es definiert hat, allen rechtlichen Anforderungen genügt und es nur soweit es die jeweilige Gesetze zulassen, verwendet. Oder sowas in der Art.

Die sind ja lustig, paar Tage vor dem Launch euch sowas reinzukloppen, reichlich spät um darüber zu reden oder auszutauschen. Kenne da nur die Grundregel, dass man mit einem Anwalt ausschließlich über seinen eigenen Anwalt redet, niemals selber.

Larius · 18 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Prinzipiell fürs nächste Mal: Steht was nicht im Pflichtenheft dann wurde dies nicht verhandelt. Das Pflichtenheft muss deshalb auch von beiden Seiten unterschrieben werden da es die Grundlage für die Entwicklung und Abnahme stellt. Sollte etwas nachverhandelt werden müssen da es nicht berücksichtigt wurde - siehe bsp. die ganzen Sicherheitsfeatures - wäre das Erste, was ich machen würde, die Verlängerung des Release Termines. Wird dem nicht zugestimmt kann man dann weiterverhandeln, wie das ganze Projekt weitergehen soll - inkl. vorzeitige Beendigung aufgrund Nicht-Einhaltung des Vertrages.

Hoffentlich habt ihr euch die Schadloshaltung schriftlich geben lassen. Denn wenn das Ganze vor Gericht geht weil irgendwas nicht passt ist ansonsten die Hölle los.

BurnerR · 18 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Es gilt darüber hinaus ja auch: Änderungen = mehr Arbeit = mehr Geld (zusätzlich zu mehr Zeit).
Muss man nicht bei jeder Kleinigkeit durchziehen, aber ich habe das auch hinter mir "ah ne das feature brauchen wir gar nicht, das andere dürfen wir gar nicht, aber wir haben festgestellt, dass dies und jenes auf jedenfall teil des programmes ist / sein muss"

Egal wie nett und wie kooperativ ihr jetzt gerade miteinander seit: Wenn irgendwas kracht in 1 Jahr erinnert sich niemand mehr (oder will sich mehr erinnern) was ihr mal besprochen habt. Das euch jetzt ein Anwalt kontaktiert und mit diesem timing könnt ihr schonmal als sehr deutliches Signal auffassen. Da will jemand Rechtssicherheit zu eigenen Gunsten d.h. im Zweifel zu euren Ungunsten schaffen. Was ihr darauf als Laien schriftlich antwortet würde man euch dann eines Tages notfalls mit niederknüppeln.

Ich würde da jetzt in der stressigen Phase gar nicht drauf reagieren, sondern wenn etwas Luft ist zum Anwalt gehen, beraten lassen und dann möglichst allgemein antworten: Wir halten uns an die im Pflichtenheft definierten Spezifikationen und generell setzen wir den Stand der Technik um.

Larius · 18 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Wobei ich auch so Änderungen wie "Das brauchen wir doch nicht" schriftlich festhalten würde (inkl. Unterschrift beider Seiten) da es IMMER einen gibt der bei der Abnahme das Pflichtenheft nimmt und meint "Und wo ist Feature X?".

virtus · 18 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Ihr vergesst allerdings, dass der Gesetzgeber ein paar Vorgaben macht. Zum Beispiel wird in §434 BGB (Sachmangel) festgelegt:

(1) Die Sache ist frei von Sachmängeln, wenn sie bei Gefahrübergang die vereinbarte Beschaffenheit hat. Soweit die Beschaffenheit nicht vereinbart ist, ist die Sache frei von Sachmängeln,

1. wenn sie sich für die nach dem Vertrag vorausgesetzte Verwendung eignet, sonst
2. wenn sie sich für die gewöhnliche Verwendung eignet und eine Beschaffenheit aufweist, die bei Sachen der gleichen Art üblich ist und die der Käufer nach der Art der Sache erwarten kann.

Nun fallen Webseiten soweit ich weiß nicht unter Sachenrecht. Ohne mich näher damit auseinander zu setzen, schätze ich, dass es dafür ähnliche/ übertragbare Vorschriften gibt. Eventuell könnte man hier mit Sorgfaltspflicht, die sich aus Schuldverhältnissen ergibt, argumentieren. Da ihr euch im B2B Bereich bewegt müssten allerdings noch Vorschriften des HGB beachtet werden. Hier gelten häufig insbesondere einschränkende Regelungen bzügl. einer Haftung.

Kurz gesagt, wenn das Ziel/ die Aufgabe des Portals im Rahmen des Vertrags definiert wurde, so muss der Vertrag nicht zwangsweise enthalten, dass der Betrieb des Portals möglich sein soll. Diese Regelung gilt dann implizit. Ausnahme wäre, wenn dies explizit im Vertrag ausgeschlossen wäre. Beispielsweise könnte der TS darauf hinweisen, dass der Betrieb des Portals aus datenschutzrechtlichen Gründen ggf. nicht ohne weiteres möglich ist. Fordert der Auftraggeber dennoch explizit eine derartige Umsetzung, wäre der TS aus dem Schneider.
Insbesondere mit dem, was nachverhandelt wurde - hier reicht die (hoffentlich schriftliche!) Kommunikation mit dem RA des Auftraggebers aus - müsste der TS aus dem Schneider sein. Eine mündliche Nachverhandlung der Vertragsbedingungen ist zwar ebenfalls möglich, würde jedoch ggf. mangels Beweisbarkeit zu Problemen führen.

electric.larry · 19 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

Danke für die vielen Antworten und eure Einschätzungen.

Ich bin seit über 10 Jahren in dieser Firma und wir hatten noch nie irgendwelche rechtlichen Schwierigkeiten. Deshalb sind wir offenbar ein bisschen nachlässig was solche rechtlichen Dinge betrifft. Wir haben unsere AGBs, ein Pflichtenheft und eine Abnahme durch den Auftraggeber; Ende.
Jetzt wo langsam mehr Projekte auch von außerhalb Österreichs kommen, sollten wir das Thema aber sicherlich ernster nehmen. Höre immer wieder, dass man z. B. in Deutschland recht schnell geklagt wird, wenn etwas nicht passt.

Ist schon sehr spannend wenn man mit einem kleinen Unternehmen mitwächst. Am Anfang gabs weder ein Pflichtenheft, noch Hemd und Krawatte, es wurde einfach nur gefragt ob jemand von uns die Skills hat, das Ding umzusetzen und wenn ja, dann wurde gecodet. Inzwischen besteht mehr als die Hälfte der Projektarbeit aus Bürokratie, Meetings und Finanzamt

drfuture · 19 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

@Larius, mit dem Pflichtenheft stimme ich dir im Prinzip zu, zur Leistung des Dienstleisters - in dem Fall electric.larry, bzw. Firma gehört es aber dann meines Erachtens auch darauf hinzuweisen das es Pflicht ist Sicherheit in möglichst hohem Maße einzubauen - und z.B. Datenschutz usw. eingehalten werden muss. Das ist nicht direkt Sache einer Firma die eine *Coole neue Webseite* möchte.
Klar kann die Firma dann sagen *zahlen wir nicht* - dann wird das eben explizit vermerkt mit all den Folgen.

Yash · 22 Jan. 2016

Re: Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten samm

BurnerR schrieb:
Kenne da nur die Grundregel, dass man mit einem Anwalt ausschließlich über seinen eigenen Anwalt redet, niemals selber.

Das ist eigentlich die wichtigste Empfehlung.

Finde das auch schon ziemlich stark, dass der Kunde euch nun über seinen Anwalt kontaktiert um über Sicherheitspunkte zu sprechen. Das zeigt deutlich, dass der Kunde ziemlich anstrengend werden kann und womöglich auch wird. Ich hab schon so oft ähnliche Dinge direkt oder bei befreundeten Agenturen erlebt.
Erst wird z.B. die gesetzeskonforme Implementierung von Google Analytics mündlich beauftragt, das Ding geht zur Abnahme zum Kunden und dann kommt plötzlich der Datenschutzbeauftragte des Kunden und schreibt "ne, das ist zu heiß, wir können doch kein Google Analytics einbauen!!!!11". Wegen den 150,00 Euro macht man da auch nicht unbedingt rum, sondern verzichtet eher, als dass man auf die weiteren, weitaus größeren Aufträge verzichtet.

Darum immer alles schriftlich und vor allem wie schon erwähnt wurde auf Anwälte nur mit Anwälte reagieren.

Sicherheitsstandars für Webanwendungen und Websites die personenbezog. Daten sammeln

electric.larry

\''; DROP TABLE user; --

BurnerR

Bot #0384479

Hector

Board-Paladin

virtus

Gehasst

electric.larry

\''; DROP TABLE user; --

virtus

Gehasst

BurnerR

Bot #0384479

Larius

OutOfOrder

BurnerR

Bot #0384479

Larius

OutOfOrder

virtus

Gehasst

electric.larry

\''; DROP TABLE user; --

drfuture

Zeitreisender

Yash

Neu angemeldet