Im Inter­view erklärt unser Ent­wick­ler Andreas, wie Conn­fair die Daten von Ver­an­stal­tern und Teil­neh­mern schützt und wel­che Stra­te­gien das Start-Up Hackern ent­ge­gen­zu­set­zen hat.

Bild von Pete Lin­forth auf Pixabay.

Wie schützt Conn­fair per­sön­li­che Daten von Ver­an­stal­tern und Teil­neh­mern kon­kret?
Andreas: Da gibt es zwei Aspekte. Der eine ist ein rein tech­ni­scher Aspekt. Das heißt, wir sichern unsere Daten in Rechen­zen­tren, die moderne Stan­dards zum authen­ti­fi­zier­ten Zugriff nut­zen. Für alle Daten, die in Europa sind, gel­ten auch die hohen euro­päi­schen Stan­dards. Unsere Daten wer­den auf Ser­vern in Bel­gien ver­ar­bei­tet.

Und der andere Aspekt?
Andreas: Wir haben ein star­kes Auto­ri­sie­rungs­kon­zept für unsere Benut­zer. Damit bekom­men Kun­den nur Zugriff auf ihre eige­nen Daten. Kei­ner unse­rer Kun­den kann direkt auf die Daten­bank zugrei­fen – genauso wenig, wie unser Pro­vi­der Zugriff hat. Nur wir haben den Zugriff und ver­ge­ben den dann sozu­sa­gen leih­weise an unsere Kun­den.

Kannst du das an einem Bei­spiel erklä­ren?
Andreas: Wenn du eine Liste von Tickets her­un­ter­la­den willst, kannst du nicht direkt auf die Daten zugrei­fen, son­dern nur auf eine Funk­tion. Mit­tels die­ser Funk­tion holst du die Daten aus der Daten­bank. Aller­dings darfst du die Funk­tion nur durch­füh­ren, wenn du über unser Tool für einen Account authen­ti­fi­ziert bist, der Zugriff auf die Tickets haben darf.

Das ist gewähr­leis­tet durch den Anmel­de­pro­zess.
Andreas: Genau, sofern du die jewei­li­gen Zugriffs­rechte für ein Event hast. Diese ver­gibt der Ver­an­stal­ter in unse­rem Tool.

Wer hat dann letzt­lich alles Zugriff auf die Daten von den Teil­neh­mern?
Andreas: Der Ver­an­stal­ter des Events, zu dem die Teil­neh­mer sich ange­mel­det haben, und bei Conn­fair zwei Sys­tem­ad­mi­nis­tra­to­ren.

Aus wel­chem Grund haben diese Zugriff?
Andreas: Falls für einen Kun­den Daten gelöscht oder ver­än­dert wer­den müs­sen, oder wir eine Migra­tion von alten Daten auf ein neues Sys­tem machen müs­sen, brau­chen wir den Zugriff. Dass wir für kei­nen ande­ren Zweck auf die Daten zugrei­fen, sichern wir ver­trag­lich über unsere AGBs zu.

Was pas­siert mit den Daten, wenn eine Ver­an­stal­tung vor­bei ist?
Andreas: Da gibt es einen Pro­zess gemäß DSGVO. Die Daten wer­den danach anony­mi­siert. Auf diese Weise kann nie­mand mehr Rück­schluss auf die Iden­ti­tä­ten von Per­so­nen füh­ren, gleich­zei­tig haben die Ver­an­stal­ter wei­ter­hin Zugriff auf Sta­tis­ti­ken und Meta-Daten – und kön­nen damit ihr Mar­ke­ting für künf­tige Ver­an­stal­tun­gen ver­bes­sern.

Und wie schützt ihr euch vor Hacker-Angrif­fen?
Andreas: Durch die moderns­ten Zugriff-Stan­dards. OAuth ist da das Stich­wort. Das ist mitt­ler­weile ein De-Facto-Stan­dard zum Schlüs­sel­aus­tausch und zum Zugriff auf sen­si­ble Daten im Web. Der Zugriff auf unsere Daten­ban­ken und unsere Ser­ver ist kom­plett ver­schlüs­selt. Das heißt, man kann bei uns nichts übers Netz­werk über­tra­gen, das nicht ver­schlüs­selt wurde.

Was macht ihr, damit Daten nicht ver­lo­ren gehen?
Andreas: Unsere Daten sind über meh­rere Daten­ban­ken ver­teilt gesi­chert, das pas­siert über eine red­un­dante Siche­rung. Falls ein Ser­ver aus­fällt, kön­nen die Daten auf diese Weise wie­der­her­ge­stellt wer­den. Außer­dem machen wir regel­mä­ßig kom­plette Back­ups unse­rer Daten. Falls wirk­lich mal etwas vor­fal­len sollte, kön­nen wir unser Sys­tem wie­der­her­stel­len. Da wir jede wesent­li­che Ände­rung in der Daten­bank auto­ma­ti­siert tra­cken, kön­nen wir zudem nach­voll­zie­hen, was pas­siert ist.

Warum ist Daten­si­cher­heit für Ver­an­stal­ter wich­tig?
Andreas: Wenn jemand fest­stel­len sollte, dass sein Sys­tem mani­pu­liert wurde, dann kann er zum einen nach­voll­zie­hen, von wel­chem Account das gemacht wurde. Und zum ande­ren könn­ten wir für ihn die Daten wie­der zurück­set­zen. Auf diese Weise kann er wie­der auf einer sta­bi­len Ver­sion arbei­ten.

Wie könnt ihr garan­tie­ren, dass ihr in Sachen Sicher­heit stets up to date seid?
Andreas: Für den Daten­schutz nut­zen wir modernste Tech­nik. Unser Ziel ist es, immer auf dem neu­es­ten Stand zu sein, was diese Sachen betrifft, also Zugriff und Daten­hal­tung sicher zu machen. Des­halb gibt es bei unse­ren zwei­wö­chent­li­chen Updates meist auch Updates, die die Sicher­heit betref­fen.

Mehr Infos zum Daten­schutz bei Conn­fair gibt es hier.