Pfeifenpfeifer
Neuling
Thread Starter
- Mitglied seit
- 10.06.2013
- Beiträge
- 10
Um es kurz zu fassen besteht hier folgendes Problem:
- Ein bundesweit tätiger Verband mit etwa 180 000 Mitgliedern und 2-3000 Ortsvereinen beschäftigt eine hauptamtliche Geschäftsführerin
- Dieser Verband hat beschlossen die Mitgliederverwaltung per Software einzuführen
- Die Software wurde von einer Privatperson "programmiert" die ebenso für die Serververwaltung zuständig ist
Nun wird von Mitgliedern angezweifelt das diese Software datenschutzrechtliche Bestimmungen einhält.
Der Softwarehersteller und die Geschäftsführerin beharren darauf das dieses Programm stabil laufen würde. Datenschutzrechtliche Bestimmungen zu verletzen weisen der Programmierer, die Bundesgeschäftsführerin und sonstige Kommentatoren weit von sich.
Bedenkenträger werden als Saboteure und Miesmacher verunglimpft.
Die Verbindungsdaten für einen Vollzugriff auf den FTP Server waren unverschlüsselt ersichtlich, der Programmierer erwartet aber eine Entschuldigung für die Offenlegung dieser Sicherheitslücke. Um die anschaulich zu verdeutlichen habe ich hier die erste Stellungnahme des Programmierers ungekürzt wieder gegeben.
Der Thread dazu befindet sich hier (Link).
Die Mailadresse der Bundesgeschäftsstelle des Verbandes findet sich hier.
Die verantwortliche Datenverarbeitungsfirma findet sich hier.
Ein Saboteursvorwurf mit hanebüchenden Stellungnahmen von Baier Datenverarbeitung findet sich hier.
{Edit: Nicht in diesem Forum, sondern im Forum das auf den Screenshots abgebildet ist}
Da in diesem Forum sehr gerne zensiert wird habe ich zur Sicherheit alles per Screenshot dokumentiert, bei imageshack hochgeladen:
[img=http://imageshack.us/scaled/thumb/801/seite1f.jpg]
[img=http://imageshack.us/scaled/thumb/854/seite2p.jpg]
[img=http://imageshack.us/scaled/thumb/18/seite3t.jpg]
[img=http://imageshack.us/scaled/thumb/822/seite4.jpg]
[img=http://imageshack.us/scaled/thumb/69/seite5l.jpg]
[img=http://imageshack.us/scaled/thumb/824/seite6s.jpg]
[img=http://imageshack.us/scaled/thumb/542/seite7r.jpg]
Sollten die .exe Dateien von hier verschwinden bevor sie ausreichend dokumentiert wurden um beim "Programmierer" womöglich einen Lerneffekt zu erzielen, findet sich bestimmt auch kurzfristig ein Platz der diese kostenlosen Programme beherbergt.
Es wäre wirklich nett wenn sich vielleicht ein, zwei Leute finden würden die das angebracht kommentieren könnten um der Geschäftsführerin zu erklären was sensible Daten im Sinne des BDSG sind, und dem Softwarehersteller erläutern könnten, weswegen man eine IP im Internet nicht geheim halten kann, ich bin mit meinem Latein am Ende.
- Ein bundesweit tätiger Verband mit etwa 180 000 Mitgliedern und 2-3000 Ortsvereinen beschäftigt eine hauptamtliche Geschäftsführerin
- Dieser Verband hat beschlossen die Mitgliederverwaltung per Software einzuführen
- Die Software wurde von einer Privatperson "programmiert" die ebenso für die Serververwaltung zuständig ist
Nun wird von Mitgliedern angezweifelt das diese Software datenschutzrechtliche Bestimmungen einhält.
Der Softwarehersteller und die Geschäftsführerin beharren darauf das dieses Programm stabil laufen würde. Datenschutzrechtliche Bestimmungen zu verletzen weisen der Programmierer, die Bundesgeschäftsführerin und sonstige Kommentatoren weit von sich.
Bedenkenträger werden als Saboteure und Miesmacher verunglimpft.
Die Verbindungsdaten für einen Vollzugriff auf den FTP Server waren unverschlüsselt ersichtlich, der Programmierer erwartet aber eine Entschuldigung für die Offenlegung dieser Sicherheitslücke. Um die anschaulich zu verdeutlichen habe ich hier die erste Stellungnahme des Programmierers ungekürzt wieder gegeben.
Jetzt reichts aber langsam! Der Verfasser des Beitrags Spiegel-Abo hat sich bei uns schriftlich entschuldigt, weil bewiesen ist, dass die Daten nicht vom BDRG-Server stammen können. Noch besser wäre es gewesen, er hätte das Ergebnis seiner Recherche hier im Forum veröffentlicht. Der BDRG hat sich erkundigt, woher die Daten denn kamen. Ergebnis: sie wurden legal gekauft, aber nicht vom BDRG oder von uns. Von Gruberhans erwarten wir, dass er seine rufschädigende, Unterstellung ... nettes Sümmchen kassiert... hier widerrufen wird, eine entsprechende Mail oder eine entsprechende schriftliche Entschuldigung erwarten wir für eine Archivierung zusätzlich. Sollte sich seine Unterstellung als geschäftsschädigend erweisen, werden wir rechtliche Schritte einleiten.
Leider ist Gruberhans und andere Verfasser von Beiträgen den falschen Informationen vom Themenstarter Catwalk75 aufgesessen. Mit seiner Einleitung .. man hört und liest.. wird klar, dass seine Infos nicht von kompetenter Stelle sind. Dazu hatte er 2 Jahre Zeit! Was sensible Daten im Sinne des BDSG, sind kann jeder im § 3 Abs. 9 BDSG nachlesen. Wer dann noch behauptet, das Geburtsdatum sei ein solches, liefert (bewusst?) falsche Informationen. Der letzte Satz des § 9 BDSG ist in diesem Zusammenhang zu interpretieren.
Die Darstellung des Ablaufs der Eingabe an den BDRG ist ebenfalls falsch. Wir erhielten diese Eingabe von einem Präsidiumsmitglied (ich glaube einem der Vizepräsidenten) mit der Info, dass einige Punkte bereits beantwortet sind. Wozu dann noch eine Eingangsbestätigung? Inzwischen hat er, unserer Meinung nach, erschöpfende Auskunft über alle Fragen erhalten. Dazu gibt es keinen Beitrag im Forum!
Das Programm ist seit 7 Jahren bei ca. 700 Vereinen im Einsatz. Es läuft stabil. In der gesamten Zeit wurde nie festgestellt oder auch nur der Verdacht erhoben, dass Datensätze weitergegeben wurden oder auf andere Weise in "fremde Hände" gelangten. Seit 2 Jahren ist veröffentlicht und bekannt, dass dieses Programm für alle Vereine des BDRG eingeführt wird. Die LV waren einstimmig dafür. Warum hat Catwalk75 seine Bedenken erst geäußert, als das Programm ca. 2.500 mal installiert war? Vorher war genug Zeit, sich zu informieren. Wir werden die getroffenen Sicherheitsvorkehrungen nicht allgemein veröffentlichen, denn das wäre ja einem "potenziellen Angreifer" nützlich. Aber so viel: Die DB BDRG liegt wohlbehütet beim in Deutschland führenden Provider 1&1. Die dort herrschenden Sicherheiten kann jeder selbst nachschlagen, sie hier aufzulisten würde den Rahmen dieses Beitrags sprengen.
Bei Organisation und Programmierung ist darauf Rücksicht zu nehmen, dass mehrere Tausend Anwender mit unterschiedlichsten EDV-Kenntnissen dieses bedienen müssen. Der von uns gewählte Weg der Bedienungsführung und der Hilfen ist aus dieser Situation zu bewerten.
Fehlgeschlagene Installationen (keine 10%) haben verschiedene Ursachen. Die häufigste ist die Einstellungen der jeweiligen FW. Bei der Installation wird darauf hingewiesen, dass bei Problemen mit uns Verbindung aufgenommen werden soll. Dann ist auch eine solche in wenigen Minuten erfolgreich.
Wir bitten darum, zukünftige Beiträge vor Veröffentlichung selbst zu überprüfen.
Unsere Kontaktdaten finden Sie auf unserer HP: Baier Datenverarbeitung
Der Thread dazu befindet sich hier (Link).
Die Mailadresse der Bundesgeschäftsstelle des Verbandes findet sich hier.
Die verantwortliche Datenverarbeitungsfirma findet sich hier.
Ein Saboteursvorwurf mit hanebüchenden Stellungnahmen von Baier Datenverarbeitung findet sich hier.
{Edit: Nicht in diesem Forum, sondern im Forum das auf den Screenshots abgebildet ist}
Da in diesem Forum sehr gerne zensiert wird habe ich zur Sicherheit alles per Screenshot dokumentiert, bei imageshack hochgeladen:
[img=http://imageshack.us/scaled/thumb/801/seite1f.jpg]
[img=http://imageshack.us/scaled/thumb/854/seite2p.jpg]
[img=http://imageshack.us/scaled/thumb/18/seite3t.jpg]
[img=http://imageshack.us/scaled/thumb/822/seite4.jpg]
[img=http://imageshack.us/scaled/thumb/69/seite5l.jpg]
[img=http://imageshack.us/scaled/thumb/824/seite6s.jpg]
[img=http://imageshack.us/scaled/thumb/542/seite7r.jpg]
Sollten die .exe Dateien von hier verschwinden bevor sie ausreichend dokumentiert wurden um beim "Programmierer" womöglich einen Lerneffekt zu erzielen, findet sich bestimmt auch kurzfristig ein Platz der diese kostenlosen Programme beherbergt.
Es wäre wirklich nett wenn sich vielleicht ein, zwei Leute finden würden die das angebracht kommentieren könnten um der Geschäftsführerin zu erklären was sensible Daten im Sinne des BDSG sind, und dem Softwarehersteller erläutern könnten, weswegen man eine IP im Internet nicht geheim halten kann, ich bin mit meinem Latein am Ende.
Zuletzt bearbeitet: