Im Interview erklärt unser Entwickler Andreas, wie Connfair die Daten von Veranstaltern und Teilnehmern schützt und welche Strategien das Start-Up Hackern entgegenzusetzen hat.
Bild von Pete Linforth auf Pixabay.
Wie schützt Connfair persönliche Daten von Veranstaltern und Teilnehmern konkret?
Andreas: Da gibt es zwei Aspekte. Der eine ist ein rein technischer Aspekt. Das heißt, wir sichern unsere Daten in Rechenzentren, die moderne Standards zum authentifizierten Zugriff nutzen. Für alle Daten, die in Europa sind, gelten auch die hohen europäischen Standards. Unsere Daten werden auf Servern in Belgien verarbeitet.
Und der andere Aspekt?
Andreas: Wir haben ein starkes Autorisierungskonzept für unsere Benutzer. Damit bekommen Kunden nur Zugriff auf ihre eigenen Daten. Keiner unserer Kunden kann direkt auf die Datenbank zugreifen – genauso wenig, wie unser Provider Zugriff hat. Nur wir haben den Zugriff und vergeben den dann sozusagen leihweise an unsere Kunden.
Kannst du das an einem Beispiel erklären?
Andreas: Wenn du eine Liste von Tickets herunterladen willst, kannst du nicht direkt auf die Daten zugreifen, sondern nur auf eine Funktion. Mittels dieser Funktion holst du die Daten aus der Datenbank. Allerdings darfst du die Funktion nur durchführen, wenn du über unser Tool für einen Account authentifiziert bist, der Zugriff auf die Tickets haben darf.
Das ist gewährleistet durch den Anmeldeprozess.
Andreas: Genau, sofern du die jeweiligen Zugriffsrechte für ein Event hast. Diese vergibt der Veranstalter in unserem Tool.
Wer hat dann letztlich alles Zugriff auf die Daten von den Teilnehmern?
Andreas: Der Veranstalter des Events, zu dem die Teilnehmer sich angemeldet haben, und bei Connfair zwei Systemadministratoren.
Aus welchem Grund haben diese Zugriff?
Andreas: Falls für einen Kunden Daten gelöscht oder verändert werden müssen, oder wir eine Migration von alten Daten auf ein neues System machen müssen, brauchen wir den Zugriff. Dass wir für keinen anderen Zweck auf die Daten zugreifen, sichern wir vertraglich über unsere AGBs zu.
Was passiert mit den Daten, wenn eine Veranstaltung vorbei ist?
Andreas: Da gibt es einen Prozess gemäß DSGVO. Die Daten werden danach anonymisiert. Auf diese Weise kann niemand mehr Rückschluss auf die Identitäten von Personen führen, gleichzeitig haben die Veranstalter weiterhin Zugriff auf Statistiken und Meta-Daten – und können damit ihr Marketing für künftige Veranstaltungen verbessern.
Und wie schützt ihr euch vor Hacker-Angriffen?
Andreas: Durch die modernsten Zugriff-Standards. OAuth ist da das Stichwort. Das ist mittlerweile ein De-Facto-Standard zum Schlüsselaustausch und zum Zugriff auf sensible Daten im Web. Der Zugriff auf unsere Datenbanken und unsere Server ist komplett verschlüsselt. Das heißt, man kann bei uns nichts übers Netzwerk übertragen, das nicht verschlüsselt wurde.
Was macht ihr, damit Daten nicht verloren gehen?
Andreas: Unsere Daten sind über mehrere Datenbanken verteilt gesichert, das passiert über eine redundante Sicherung. Falls ein Server ausfällt, können die Daten auf diese Weise wiederhergestellt werden. Außerdem machen wir regelmäßig komplette Backups unserer Daten. Falls wirklich mal etwas vorfallen sollte, können wir unser System wiederherstellen. Da wir jede wesentliche Änderung in der Datenbank automatisiert tracken, können wir zudem nachvollziehen, was passiert ist.
Warum ist Datensicherheit für Veranstalter wichtig?
Andreas: Wenn jemand feststellen sollte, dass sein System manipuliert wurde, dann kann er zum einen nachvollziehen, von welchem Account das gemacht wurde. Und zum anderen könnten wir für ihn die Daten wieder zurücksetzen. Auf diese Weise kann er wieder auf einer stabilen Version arbeiten.
Wie könnt ihr garantieren, dass ihr in Sachen Sicherheit stets up to date seid?
Andreas: Für den Datenschutz nutzen wir modernste Technik. Unser Ziel ist es, immer auf dem neuesten Stand zu sein, was diese Sachen betrifft, also Zugriff und Datenhaltung sicher zu machen. Deshalb gibt es bei unseren zweiwöchentlichen Updates meist auch Updates, die die Sicherheit betreffen.
Mehr Infos zum Datenschutz bei Connfair gibt es hier.