Sicherheit der JVerein Datenkbank

[tobias]

Hallo,

beim Start von Jameica muss man ja ein Masterpasswort eingeben. Wie ich http://www.willuhn.de/wiki/doku.php?id=support:faq entnehme, verschlüsselt Jameica Daten, und nutzt das Masterpasswort, um den Schlüssel zu schützen. Die H2-Datenbank von Hibiscus scheint auch verschlüsselt zu sein (nur XTEA mit wenigen Runden statt AES-128, warum auch immer, aber besser als nichts).

Wenn ich mir allerdings die JVerein-Datenbank anschaue, sieht es dunkel aus. Ich kann mich mit der H2-Konsole direkt darauf verbinden (Benutzername & Passwort sind nicht sonderlich geheim), und sogar mit einem Texteditor sehe ich den Datenbankinhalt. Die Datenbank ist also nicht verschlüsselt.

Mich irritiert, dass mit dem Jameica-Masterpasswort der Eindruck beim Benutzer entsteht, dass die kompletten Anwendungsdaten geschützt sind. Wenn ich beispielsweise herausfinde, dass meine Steuer-Software ebenso vorgeht, wäre ich sehr verärgert. Das sollte meiner Meinung nach klargestellt werden in der Installationsanleitung.

Eine unverschlüsselte Datenbank mag die Office-Anbindung vereinfachen, aber wer die nicht braucht sollte sich für eine Verschlüsselung entscheiden können.

Wäre es möglich, dem Benutzer die Wahl zu geben, ob die Datenbank verschlüsselt werden soll?

Alternativ kann ich natürlich auch das ganze Paket in einen Truecrypt-Container packen, aber komfortabler wird es dadurch nicht

Viele Grüße,
Tobias

[Rolf.Mamat]

Welche Daten sind in der JVerein Datenbank enthalten das man diese unbedingt verschlüsseln müsste?
Ich finde es gut wie es ist.
Die Software läuft auf einem Rechner auf den nur autorisierte Vorstandsmitglieder Zugriff haben.

[tobias]

Hallo Rolf,

da sind naturgemäß personenbezogene Daten drin, und diese muss man besonders schützen.

Da die Jameica-Plattform und die H2-Datenbank die Verschlüsselungsfunktionalität schon mitbringen, halte ich es für sinnvoll, dies auch nutzbar zu machen. Wenn der Aufwand zu groß sein sollte, würde ich wie schon geschrieben auf einen Truecrypt-Container ausweichen.

Viele Grüße,
Tobias

[DIG]

Klar muss man personenbezogene Daten schützen.
Autorisierung des Zugriffs auf den (gepflegten!) Rechner und der Einsatz aktueller Sicherheitssoftwaren (Virenscanner, Firewall) sollten aber doch genügen. Man muss die Kirche doch im Dorf lassen, weiteres finde ich im Umfeld Verein und Ehrenamt nicht mehr verhältnismäßig und vor allem bei der Office-Integration auch hinderlich.
Da es z.B. mit TrueCrypt ja eine (externe) Lösung für mehr gibt, kann da ja jeder selber Hand anlegen, wenn er möchte.
Und dann gibt es neben der H2-Datenbank ja noch die Installationen mit einer MySQL-Datenbank....

Sollen hingegen regelmäßig Daten übers Netz gehen (z.B. in einen Cloudspeicher), dann ist eine geeignete Verschlüsselung natürlich Pflicht - sei es mittels TrueCrypt oder bei einem Cloud-Anbieter mit Verschlüsselung vor der Übertragung. Da das aber nicht jeder macht und es zudem keine originäre JVerein-Funktion ist, sehe ich hier den jeweiligen Anwender und nicht JVerein in der Pflicht.