Sicherheit

[Demian]

Hallo alle zusammen,

ich würde gerne eine Datenbank entwicklen die unter anderem den Personalstamm enthält. Aufgrund diverser Funktionen soll die Datenbank aber auch außerhalb der Personalabteilung publik gemacht werden.

Ich hatte vor, die Maske für die Mitarbeiterdaten mit einem Autorenfeld zu versehen, und dieses mit einer Rolle "Personal" zu füllen, bzw. unter den Sicherheitsoptionen in der Maske das Erstellen, Lesen und so weiter nur einer Personengruppe "Personal" freizugeben.

Aber wie sicher ist das ganze wirklich? Ist denn aufgrund der Rollen 100% gewährleistet, dass niemand auf die sensitiven Daten zugreifen kann? Oder gibt es da andere, bzw. bessere Methoden? Wenn ja, welche?

Im Voraus vielen Dank.

Gruß
Demian

[koehlerbv]

Leserfelder sind sicher, solange die DB physikalisch sicher ist (auf dem Server).
Ich würde derartige Stunt trotzdem nicht innerhalb einer DB machen, sondern die "öffentlichen" Daten in eine separate DB schieben. Natürlich ist dies mehr Aufwand, aber bei Personaldaten mag auch der Personalchef ruhig schlafen ...

Bernhard

[Demian]

Hallo Bernhard,

vielen Dank für deine schnelle Antwort.

Was genau meinst du mit "physikalisch sicher"?

Auf welche Art man die Leserfelder, bzw. Autorenfelder füllt, ist dann egal? Ich würde sie gerne nur mit Rollen füllen. Wobei sich mir da noch die Frage stellt, was passiert, wenn sich jemand eine lokale Kopie zieht!? Dann greifen ja die ganzen Felder, Rollen usw. nicht mehr, oder?

Gruß
Demian

[koehlerbv]

Deshalb habe ich ja auf die physikalische Sicherheit des Servers hingewiesen (an den darf niemand Unberechtigtes direkt herankommen noch auf dessen Filesystem zugreifen).
Wenn jemand lt. Leserfeld auf ein Dokument auf dem Server nicht zugreifen kann, dann kann er es auch nicht replizieren. Was er lokal darf oder nicht, ist deshalb Jacke wie Hose.

Bernhard

PS: Ich würde trotzdem niemals solche Daten in eine DB stecken, an die auch andere User herankommen, wenn auch nicht an diese Docs. Allein schon, um den sensiblen Nutzern ein ruhiges Gefühl zu geben.

[Glombi]

Es gibt nur eine sichere Methode, sensible Daten zu schützen - auch und isnb. vor Administratoren: Die Verschlüsselung

Man kann es programmtechnisch auch so gestalten, dass der Designer ohne in Besitz des Codierungsschlüssels ist, die Verschlüsselung zu aktivieren.

Da ein Anwender, der nicht über den Codierungsschlüssel verfügt, verschlüsselte Dokumente nicht bearbeiten und speichern kann, empfiehlt es sich, die sicherheitsrelevanten Daten in ein separates Dokument (bspw. als Antwort) auszulagern.


Andreas

[Lossa]

Es gibt nur eine sichere Methode, sensible Daten zu schützen - auch und isnb. vor Administratoren: Die Verschlüsselung

Sagen wir einmal so, du kannst die Hürde entsprechend Hoch setzten über die der Admin springen muss, aber 100% Schutz gibt es bei Admins nie. Wenn genügend Energie verwendet wird, dann kannst du als Admin alles lesen.

Aber im Prinzip ist die Verschlüsselung von Informationen das Sahnehäubchen an Sicherheit.

[Glombi]

Da muss ich aber vehement widersprechen. Ein verschlüsseltes Dokument kann nicht entschlüsselt werden, ausser man
1. hat den Codierungsschlüssel oder
2. ist von der NSA

Alle anderen Behauptungen sind definitiv falsch.

Es geht hier wohlgemerkt um die Verschlüsselung mittels Codierungsschlüssel, nicht um (Mail-)Verschküsselung mittels Public/Private Key.


Du spielst vielleicht darauf an, dass sich ein Admin die ID, in der der Codierungsschlüssel ist, einer Person und das Passwort besorgen kann. Aber das ist eine andere Sache.


Andreas

[Demian]

Hallo ihr beiden,

bei Verschlüsselung kann dann aber doch nur der damit arbeiten, der verschlüsselt hat, oder sehe ich das falsch?

Wenn nicht, wie müsste man denn vorgehen, um eine bestimmte Eingabemaske entsprechend zu verschlüsseln, so dass nur noch ein bestimmter Personenkreis darauf zugreifen kann? Bzw. was passiert dann beispielsweise bei einem Mitarbeiterwechsel innerhalb der Personalabteilung?

Gruß
Demian

[Glombi]

Das Vorgehen ist wie folgt:

Person A erstellt inital einen Geheimschlüssel ( Codierungsschlüssel). Dieser Geheimschlüssel wird dann in der Benutzer-ID die aktuell verwendet wird - und nur da ! - gespeichert.

Die Person A kann dann diesen Schlüssel mit einem Passwort versehen und für andere Personen zulassen. Der Schlüssel kann dann als Datei exportiert werden und der anderen Person B zur vergfügung gestellt werden.
Person B - und nur diese darf das - importiert dann den Geheimschlüssel in deren Notes-ID.

Beim Export kann man bestimmen, dass die Zielperson den Schlüssel nicht an andere weitergeben darf. Damit verhindert man ein unkontrolliertes Verteilen.

Das Verfahren kann beliebig wiederholt werden.


Es empfiehlt sich, dass Person A den Schlüssel einmal exportiert (mit Passwort) und diesen auf einem Speichermedium in einem Tresor hinterlegt.

[Demian]

Hallo Glombi,,

der Schlüssel wird dann unter Datei-Sicherheit-Benutzersicherheit-Notes Daten-Dokumente erstellt, wenn ich das richtig sehe!?

Und wie sage ich der Maske, dass sie verschlüsselt werden soll? Oder muss ich dann jedes einzelne Feld verschlüsseln? Feldweise verschlüsseln hatte auch schon ausprobiert, allerdings wurden die Feldwerte dann in der Ansicht nicht mehr angezeigt!?!

Ich hoffe ihr habt Nachsicht mit einem Anfänger.

Gruß
Demian

[Lossa]

Du spielst vielleicht darauf an, dass sich ein Admin die ID, in der der Codierungsschlüssel ist, einer Person und das Passwort besorgen kann. Aber das ist eine andere Sache.

Genau das meinte ich. Gegen genügend kriminelle Energie ist kein Kraut gewachsen.

@Demian:
Ansonsten ist es aber so, das Verschlüsselte Informationen nicht in der Ansicht angezeigt werden.

[Glombi]

Du musst in der Maske ein berechnetes Feld namens "SecretEncryptionKeys" anlegen und dort den Namen des Schlüssel eintragen.

Man kann es auch in den Maskeneigenschaften im Sicherheitstab direkt angeben, aber dann benötigt der Designer den Schlüssel und das ist meistens nicht gewollt.

Welche Felder verschlüsselt werden, legt man in den Feldeigenschaften (3. Tab - Sicherheitsoptionen) fest. Alle Felder, die verschlüsselt werden, haben rote anstelle der schwarzen "Ecken" - so wie im Mail das Body Feld.


Verschlüsselte Dokumente werden nicht in der View angezeigt, dass ist richtig.

[Lossa]

Verschlüsselte Dokumente werden nicht in der View angezeigt, dass ist richtig.

Hi Andreas,

ich will mal nicht päpstlicher als der Papst sein, abär...
das Dokument wird in der Ansicht schon angezeigt, nur der Inhalt des verschlüsselten Items nicht.

[koehlerbv]

Da die verschlüsselten Daten anderen (unberechtigten) sowieso nicht mehr zur Verfügung stehen: Warum dann nicht die betreffenden Dokumente gleich in einer eigenen DB führen und ggf. in der öffentlichen DB für gewisse allg. Dokumente "Spiegel-Dokumente" erzeugen?
Man erspart sich so das Verteilen von Schlüsseln (bzw. kann dies immer noch tun) und vor allem auch das Zurückziehen von Schlüsseln, was ja auch nicht soooo lustig ist.

Bernhard

[Glombi]

Verschlüsselte Dokumente werden nicht in der View angezeigt, dass ist richtig.

Hi Andreas,

ich will mal nicht päpstlicher als der Papst sein, abär...
das Dokument wird in der Ansicht schon angezeigt, nur der Inhalt des verschlüsselten Items nicht.

Du hast recht, es war unpräzise. Und das richtigstellen ist vollkommen in Ordnung, denn sonst gibts Verwirrung.

Andreas

[Demian]

Hallo,

das mit dem "SecretEncryptionKeys" ist genau das was ich gesucht habe. Klar, bei genug krimineller Energie ist auch das egal. Wie schon von Lossa erwähnt.

Blöd ist halt nur, dass die  Feldinformationen nicht angezeigt werden.

Oder würde sich da was "drehen" lassen? Ich wollte nämlich diverse Auswertungen per Ansicht anbieten 


Nochmals vielen Dank für die Unterstützung.

Gruß
Demian

PS:
Wie steht es denn mit der Sicherheit (vom Designer und Admin mal abgesehen ), wenn man wie in der Abbildung das Benutzen der Maske nur einer Personengruppe erlaubt? Damit ist doch auch gewährleistet, dass andere Personen oder Personengruppen die Dokumente weder einsehen noch erstellen können, oder???

[Glombi]

Lesefelder sind schon mal gut, aber dann kann wirklich jeder Admin da ohne großen Aufwand herankommen. Sei es mit Full Admin Access oder über eine lokale Kopie über das Betriebssystem. Letzteres bekommt keiner mit.

Wenn ihr WIRKLICH die sensiblen Daten ABSOLUT SCHÜTZEN wollt, dann nur über die Verschlüsselung.

By the way: Es gibt übrigens eine fertige Anwendung für Personalmanagement, in der mit Verschlüsselung gearbeitet wird. Du kannst mir ja mal eine PM senden...
Die Auswertungen erfolgen da über einen Export (Notes nach ASCII/Excel), der voll konfigurierbar ist. Alles kein Problem....

Andreas

[Demian]

Hallo Glombi,

vielen Dank für dein Angebot, aber ich will das Ganze privat auf "hauseigenen Produkten" aufbauen.

Vorerst wäre diese Datenbank sowieso "nur" für die Perso und die Geschäftsleitung. Von daher spielt es auch keine Rolle, dass ich der Designer bin.

Es handelt sich um eine Umsetzung meiner Office-Programmierungen. Wirklich sensible Daten, wie Gehalt oder Gehalt-Verlauf waren in den Tabellen sowieso noch nicht vorhanden.

Aber bei allem was mir so vorschwebt, wie Personalmeldung, Urlaubsgenehmigungsverfahren, Stammmailverwaltung, Schriftverkehr (inkl. Krankenkassen + Zeitarbeitsfirmen) usw. werde ich über kurz oder lang um die Schlüsselfelder nicht drumrum kommen.

Im Zweifelsfalle müsste ich mal schauen, ob ich die Auswertungen in einer per DialogBox angezeigten (druckbaren) Teilmaske hinkriege. Sowas müsste mit NotesRichTextTable ja irgendwie hinzukriegen sein. Es wären zwar Romane an Script, aber was macht man nicht alles für die User... 

Trotzdem vielen Dank für deine Hilfe.

Gruß
Demian

[koehlerbv]

Hallo Demian,

Du hast Dir da aber ganz schön was vorgenommen ... Ob das die wirklichen Aufwände wieder einspielen kann? Aber egal:
Von Office-Apps nach Notes ist ein kompletter Wechsel der Welten. Dessen sollte man sich dauernd bewusst sein.

Personalmeldung, Urlaubsgenehmigungsverfahren, Stammmailverwaltung, Schriftverkehr (inkl. Krankenkassen + Zeitarbeitsfirmen) usw.

Das würde ich nun niemals in eine einzige DB quetschen. Beispiel Urlaubs-DB:
- Diese Daten sind in ganz anderer Art und Weise sensible als beispielsweise Personalmeldungen oder Schriftverkehr. Bei Urlaub reichen Leserfelder, und Du führst in dieser Applikation Daten, die Du woanders nun gar nicht gebrauchen kannst. Weiterhin: Urlaubs-Lösungen gibt es fertig in sehr unterschiedlicher Qualität fertig von verschiedenen Anbietern. Vieles ist Schrott, manches ist Gold. Bevor Du aber eine derartige Applikation über den Status "Schrott" hinausgeführt hast, wird Eure Firma erstmal eine Menge an Gehaltskosten investieren müssen. Im Umkehrschluss kannst Du aber die Daten einer Urlaubs-DB in Deinen Auswertungs-DBs wiederum anzapfen. Das wird billiger (wenn Ihr wirklich rechnet).

m Zweifelsfalle müsste ich mal schauen, ob ich die Auswertungen in einer per DialogBox angezeigten (druckbaren) Teilmaske hinkriege. Sowas müsste mit NotesRichTextTable ja irgendwie hinzukriegen sein.

Eine Dialogbox kannst Du nicht ausdrucken - da geht es schon los. Und mit anderen (spezialisierten) Apps (wie Excel) kriegst Du sowas viel effizienter hin - mit Deinen Notes-Daten.

Mein Fazit - oberflächlich natürlich, da ich nicht alle Fakten habe: Ihr müsst erstmal noch viel an der Architektur arbeiten, und Ihr müsst noch viel rechnen, was das Aufwand-Nutzen-Verhältnis angeht. Und wenn ich den Umfang der Aufgabe sehe und die gegenwärtigen Ansätze, solltet Ihr wirklich darüber nachdenken, ob Ihr das wirklich ALLES selber machen wollt. Wenn Du das ALLES selber machen willst, wird es entweder sehr, sehr teuer - oder einfach schlecht.

Bernhard

[Demian]

Hallo Bernhard,

wie gesagt, überwiegend mache ich das privat. Von daher rechnet es sich für die Firma. Der Vorteil ist auf jeden Fall, dass ja jederzeit Änderungen vorgenommen werden können. Die meisten Funktionen, wie Schriftverkehr habe ich ja bereits in Office und brauche eigentlich nur den Code zu kopieren und anzupassen.

Ja, du hast Recht, die Auswertungen sollte man dann über Excel machen. Mir stellt sich nur die Frage, wie ein Agent bei verschlüsselten Feldern reagiert? Ist ein Agent in der Lage die verschlüsselten Felder auszulesen, wenn ein User mit Schlüssel diesen ausführt?

Es ist echt bescheiden, dass die Informationen in den Ansichten nicht mehr angezeigt werden. Warum eigentlich, wenn man doch über den Schlüssel verfügt 

Ja zwischen Office und Notes liegen wirklich Welten, vor allem was die Entwicklungsumgebung betrifft, ist Office doch benutzerfreundlicher, aber da muss man durch.

Gruß
Demian