bb77:
Ich kann natĂŒrlich hier nicht beurteilen und/oder RatschlĂ€ge geben was fĂŒr Anforderungen an die VerschlĂŒsselung gelten in diesem Fall und ob das ganze allenfalls sogar rechtliche Implikationen hat. GrundsĂ€tzlich sollten aber vorallem mobile GerĂ€te mit sensiblen Daten so gehandhabt werden, dass man sie im Notfall jederzeit neu aufsetzten kann oder dem Benutzer ein neues GerĂ€t hinstellen kann, und dabei keine wichtigen Daten verloren gehen. Und die BitlockerverschlĂŒsselung ist ja heute bei vielen GerĂ€ten schon ab Werk aktivert. Allerdings sollte man dann natĂŒrlich ein sicheres Login Passwort, am besten mit 2FA, verwenden.
UrsprĂŒnglich habe ich nur die Webseite des Instituts gebaut und betreue diese seit ca. 10 Jahren. Nach und nach wurde sie immer komplexer, weil zusĂ€tzliche FunktionalitĂ€ten gewĂŒnscht wurden. Irgendwann kam die Frage, ob ich nicht auch eine Cloud aufsetzen und mitbetreuen könnte. Da ich mich fĂŒr alles Neue interessiere und da zu diesem Zeitpunkt viel ĂŒber owncloud und dann nextcloud in den Heise-Medien geschrieben wurde, fand ich das spannend und habe mich darauf eingelassen.
Am Anfang ging es nur um Verwaltungsdaten. Dann kam das Institut auf den Geschmack und erweiterte den Datenumfang - schlieĂlich auch um Patientenfragebögen. Bauchschmerzen habe ich deswegen schon lĂ€nger. Deshalb habe ich alles getan, was mir möglich war, um die Sicherheit auf dem Server möglichst hochzutreiben: Standalone-Webfirewall, Standalone-Backupsystem und 2FA.
Aber gerade bei den teils privaten Notebooks sind die Bauchschmerzen geblieben. Rechtliche Implikationen (nicht nur in Sachen DSGVO) halte auch ich nicht fĂŒr ausgeschlossen - wenn Daten abflieĂen wĂŒrden.
Der Gedanke, mich aus dem Cloud-GeschĂ€ft ganz zurĂŒckzuziehen und dem Institut zu empfehlen, sich diesbezĂŒglich an kommerzielle Profis zu wenden, nimmt in mir mehr und mehr Gestalt an. Gleichzeitig beschleicht mich aber das GefĂŒhl, die Betreiber damit im Stich zu lassen. Mit Sicherheit steigen deren Ausgaben dann sprunghaft an* - und nach all den publizierten Datenlecks / DatenabflĂŒssen der letzten Jahre, scheint es mir so, als ob auch bei kommerziellen Profis die Sicherheit der Daten nicht in jedem Fall hundertprozentig ist.
*) Bisher habe ich den Aufwand fĂŒr die Administration der Nextcloud gar nicht extra berechnet, sondern als âim Service der Webseitenbetreuung mit enthaltenâ betrachtet. KaufmĂ€nnisch war ich schon immer miserabel.
Seufz! Ich werde mit den Verantwortlichen sprechen und ihnen empfehlen, auch den Datenschutzbeauftragten mit ins Boot zu holen, um zu entscheiden, wie es insbesondere mit den Patientenfragebögen weitergehen soll und welche DatensicherungsmaĂnahmen konkret getroffen werden mĂŒssen.
bb77:
Ein gesundes Mass an Misstrauen und Paranoia gegenĂŒber diesen Diensten finde ich grundsĂ€tzlich nicht verkehrt, vorallem wenn es um Patientendaten geht. Beim Hoster ist aber halt neben dem Datenschutz auch noch die Datensicherheit wichtig. Wie sieht es aus mit Backups? Weiter muss man natĂŒrlich alle Features vernĂŒnftig nutzen können, die man braucht, sprich auch die Performance muss passen. Evtl. kĂ€me ja auch ein Nutzen der Cloud ausschliesslich im Browser in Frage, so dass die Dateien gar nicht lokal auf den EndgerĂ€ten gespeichert werden mĂŒssen.
Der Hoster all-inkl.com bietet - gemÀà Auftragsverarbeitungsvertrag - in seinen Rechenzentren ein HöchstmaĂ an Datensicherheit. Jede Nacht erfolgt ein Komplettbackup aller Webspaces. ZusĂ€tzlich mache auch ich jede Nacht noch ein eigenes Backup mit Akeeba-Solo, um vom Backup des Hosters unabhĂ€ngig zu sein. Und als zusĂ€tzliche eigene Webfirewall wacht âNinja-Firewall Pro Plusâ.
Die Anzahl der Webseitenbesucher hĂ€lt sich in sehr ĂŒberschaubaren Grenzen (es ist auch nichts anderes erwĂŒnscht, denn das Institut ist voll ausgelastet). Und auf die Cloud greifen gerade mal insgesamt 10 Nutzer*innen zu, wobei meist nur eine(r) zur Zeit damit arbeitet. Deshalb reicht die technische Performance des gewĂ€hlten Hostingtarifs bisher völlig aus.
Das Nutzen ausschlieĂlich im Browser wĂŒrde mir natĂŒrlich den GroĂteil der Bauchschmerzen nehmen, aber dazu mĂŒsste eine der beiden Kollaborationslösungen sicher und performant arbeiten, was ich bei meinen Experimenten vor einem Jahr einfach nicht hinbekommen habe.
Ein Kommandozeilenzugriff ist dazu wohl unabdingbar, aber den bietet all-inkl.com nicht mal bei der Miete eines kompletten Managed Servers. Sie bieten nur gemanagte Server, und ich bin darĂŒber auch ganz froh, denn ich selbst kenne mich mit Linux nicht aus und wĂ€re gar nicht in der Lage, den Server selbststĂ€ndig stĂ€ndig uptodate zu halten.
Deshalb entfĂ€llt das reine âIm-Browser-Arbeitenâ leider.
Nebenbei: Ich finde hier im Forum nicht den regulÀren Zitat-Button. Vielleicht bin ich ja blind, denn es muss ihn ja geben - wie man an Deinen/Euren Zitaten sieht. Behelfsweise habe ich hier ein bisschen gebastelt.