Ankündigung

Einklappen
Keine Ankündigung bisher.

Serverstandort admin.df.eu

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Benutzername
    antwortet
    Mein Vertrauen in Cloudflae ist erneut getrübt: https://www.heise.de/news/Ausfall-be...t-4847086.html

    Gibt es eine Redundanz für Cloudflare im dF System? Oder ist da ein Single Point of Failure?
    Zuletzt geändert von Benutzername; 19.07.2020, 09:39.

    Einen Kommentar schreiben:


  • Benutzername
    antwortet
    Und während ich hier schrieb kam di Eilmeldung; die Datenübertragung in die USA ist ungültig sagt der EuGH. Nils Dornblut Es wird Zeit für eine Alternative zu Cloudflare...
    https://www.zeit.de/digital/internet...-ist-ungueltig

    Einen Kommentar schreiben:


  • Benutzername
    antwortet
    Danke für den Link. Das hilft zwar, die Funktion zu verstehen, macht es aber nicht besser aus meiner Sicht.
    Heute wird der EuGH wohl bzgl. Datenweitergabe in die USA entscheiden. Ein Artikel dazu findet sich hier:
    https://www.zeit.de/digital/datensch...ehmen-facebook
    Das dürfte dann auch Cloudflare betreffen, wenn es ein Urteil "dagegen" gibt.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Hallo Benutzername,

    eine Web Application Firewall analysiert den Datenverkehr und insbesondere die per Get oder Post übermittelten Daten. Das passiert automatisiert. Funktionsweise ist hier denke ich gut beschrieben:

    https://de.wikipedia.org/wiki/Web_Application_Firewall

    In der englischen Version noch besser:

    https://en.wikipedia.org/wiki/Web_application_firewall


    Klar ist, dass hierfür das Vertrauen da sein muss zum Anbieter und es ist auch nicht möglich das mal an und mal auszuschalten.

    Für das RP² ist das aktuell nicht integriert. Das könnte man gesondert diskutieren, da kenne ich die internen technischen Evaluierungen allerdings nicht.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Benutzername
    antwortet
    Zitat von Nils Dornblut Beitrag anzeigen
    Um eine Überprüfung vornehmen zu können, muss ein Einblick und eine Analyse der übermittelten Daten möglich sein. Technisch ist das nicht anders realisierbar. Die Sicherheit ist aber jederzeit gewährleistet. Natürlich setzt das entsprechendes Vertrauen in uns und unsere Partner voraus.
    Das muss ich jetzt erst mal verdauen. D.h. mein Passwort für das Kundenmenü sowie alle Passwörter, die ich für meine E-Mail Adressen vergebe, gehen im Klartext an Cloudflare? Und auch an Sucuri?
    Wo genau steht das in den Datenschutzhinweisen? Dieses "Detail" kann ich dort nicht finden. Mir ist egal, was da rechtlich abgesichert wird. Wenn mein Passwort an ein US Unternehmen geht, in ein Land, in dem auch die NSA agiert, immer noch ein Foltergefängnis betrieben wird und ein zumindest bedenklicher und unvorhersehbarer Mensch aktuell Präsident ist, dann nützt eine rechtlicht Absicherung mir da gar nichts.

    Warum ist es technisch nicht so realisierbar, dass die Formulardaten nicht übermittelt werden? Was hindert sie daran, Cloudflare nur beim ersten Aufruf dazwischen zu schalten und nach dem Formularversand eben nicht mehr?

    Wie sieht es mit den Daten meiner Kunden aus, die ich im RP2 verwalte? Ich weiss, das RP2 ist nicht mit Cloudflare abgesichert (und muss damit ja Unmengen an erfolgreichen Angriffen ausgesetzt sein, wenn Cloudflare die einzige sinnvolle Möglichkeit ist, Angriffe abzuwehren). Aber die Daten z.B. auch die Namen der FTP Accounts, Datenbanknamen, E-Mail Adressen etc. werden ja auch im dF Kundenmenü aufgeführt.

    Wo genau steht dazu etwas in den Vertragsbedingungen zum Resellervertrag?

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von Benutzername Beitrag anzeigen
    Hallo Herr Dornblut,

    was mich bei dem Thema noch interessiert: bekommen cloudflare oder sucuri beim Einloggen mein Passwort im Klartext mit? Bekommen die Dienste bei der Arbeit im Kundenmenü Passwörter oder E-Mail Adressen im Klartext mt?
    Um eine Überprüfung vornehmen zu können, muss ein Einblick und eine Analyse der übermittelten Daten möglich sein. Technisch ist das nicht anders realisierbar. Die Sicherheit ist aber jederzeit gewährleistet. Natürlich setzt das entsprechendes Vertrauen in uns und unsere Partner voraus.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von RubiRed Beitrag anzeigen
    vielen Dank für die Antwort. Ich habe nichts dagegen, das df sich um Sicherheit bemüht und Datenschutz. Ich begrüße das ausdrücklich!
    Mein Problem ist, das das aber über "Datentransfers in Drittstaaten" passiert. Ich wollte dazu wissen, ob das unbedingt so sein muss. Auch wenn df aufgekauft wurde, besteht kein Grund dafür das ins Ausland zu verlagern, oder? Je mehr Daten über "Subunternehmen" laufen, um so kritischer finde ich das. Das ist meine persönliche Meinung.
    Wir sind Tochter ein amerikanisches Konzerns. Wir können das nicht ausschließen aus den in dem Sinne natürlichen Verflechtungen. Auch sind wir innerhalb des Konzerns in vielen Punkten verbunden, wie es wohl in Konzernen allgemein üblich ist. Zusammengefasste Funktionen, die allgemein im Konzern genutzt werden sind normal. Andere Unternehmen hier einzubeziehen auch, das ist sonst kaum möglich in der heutigen Zeit ein solche umfangreiches Angebot anzubieten und zu betreuen.

    Zitat von RubiRed Beitrag anzeigen
    Ich wusste ansonsten nicht, dass man Server, die in Deutschland stehen, nur noch über „Fremdfirmen“ in den USA absichern kann und nicht mehr im Serverzentrum in Deutschland selbst?
    Die größten Anbieter diesbezüglich sind nicht hier beheimatet und es ist bei vielen großen Webseiten absolut üblich das so und auch mit diesen Anbietern zu machen.


    Zitat von RubiRed Beitrag anzeigen
    Ich wusste auch nicht, dass es keine Software/Hardware mehr gibt, die im Serverzentrum selbst laufen kann, um sie abzusichern.
    Sie brauchen heute Anbieter, die sich darauf spezialisieren, damit man da am Puls der Zeit ist. Selbst ist das kaum noch möglich in der Bandbreite der nötigen Absicherungsmaßnahmen.

    Zitat von RubiRed Beitrag anzeigen
    Ich bin da wohl etwas altmodisch. Ist mir persönlich etwas unbegreiflich und da ich da wohl auch keinen Einfluss mehr darauf habe, werde ich wohl df verlassen. Mir ist es persönlich wichtig, dass der Provider der „Macher“ ist und Ahnung vom System hat und auch persönlich/lokal in der Lage ist es abzusichern. Je mehr „Fremdfirmen“ rumpfuschen, umso weniger „Knowhow“ beim Provider, ist meine Meinung.
    Wir würden das bedauern und bitten darum zu bedenken, dass sie alternativ bei kleineren Firmen in dieser Richtung dann auch oft weniger umfängliche Absicherungen haben und das nach unserer (auch leidvollen) Erfahrung immanent wichtig ist und noch wichtiger werden wird.

    Zitat von RubiRed Beitrag anzeigen
    Vielleicht würde es helfen, wenn sie genau erklären könnten, wie die Daten dort verarbeitet werden, so wie „Benutzername“ es auch fragt. Die allgemeinen DSGVO Floskeln reichen mir da nicht, um mich zu beruhigen.
    Es erfolgt eine automatisierte Analyse. Ohne eine Entschlüsselung vorzunehmen, kann man keine Absicherung vornehmen. Daher besteht dann Einblick in die gesendeten Daten. Das geht auch nicht anders technisch gesehen.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • RubiRed
    antwortet
    Hallo Herr Dornblut,

    vielen Dank für die Antwort. Ich habe nichts dagegen, das df sich um Sicherheit bemüht und Datenschutz. Ich begrüße das ausdrücklich!
    Mein Problem ist, das das aber über "Datentransfers in Drittstaaten" passiert. Ich wollte dazu wissen, ob das unbedingt so sein muss. Auch wenn df aufgekauft wurde, besteht kein Grund dafür das ins Ausland zu verlagern, oder? Je mehr Daten über "Subunternehmen" laufen, um so kritischer finde ich das. Das ist meine persönliche Meinung.

    Ich wusste ansonsten nicht, dass man Server, die in Deutschland stehen, nur noch über „Fremdfirmen“ in den USA absichern kann und nicht mehr im Serverzentrum in Deutschland selbst? Ich wusste auch nicht, dass es keine Software/Hardware mehr gibt, die im Serverzentrum selbst laufen kann, um sie abzusichern. Ich bin da wohl etwas altmodisch. Ist mir persönlich etwas unbegreiflich und da ich da wohl auch keinen Einfluss mehr darauf habe, werde ich wohl df verlassen. Mir ist es persönlich wichtig, dass der Provider der „Macher“ ist und Ahnung vom System hat und auch persönlich/lokal in der Lage ist es abzusichern. Je mehr „Fremdfirmen“ rumpfuschen, umso weniger „Knowhow“ beim Provider, ist meine Meinung.

    Vielleicht würde es helfen, wenn sie genau erklären könnten, wie die Daten dort verarbeitet werden, so wie „Benutzername“ es auch fragt. Die allgemeinen DSGVO Floskeln reichen mir da nicht, um mich zu beruhigen.

    Ich achte darauf das meine Domain in Deutschland liegt und das meine Webseite absolut 0 Daten sammelt oder weiterleitet und hintenrum macht das df leider selbst.

    Ich bin schon seit ca. 14 Jahren bei df. Wird zeit für einen Providerwechsel, wenn einem nicht mehr geboten werden kann, auf was man persönlich großen Wert legt.

    Grüsse
    RubiRed

    Einen Kommentar schreiben:


  • Benutzername
    antwortet
    Hallo Herr Dornblut,

    was mich bei dem Thema noch interessiert: bekommen cloudflare oder sucuri beim Einloggen mein Passwort im Klartext mit? Bekommen die Dienste bei der Arbeit im Kundenmenü Passwörter oder E-Mail Adressen im Klartext mt?

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Hallo RubiRed,

    wir sichern unsere Systeme entsprechen auch in Ihrem Sinne ab und beschreiben dies auch unter "Datenschutz":

    Zum Schutz der IT von DomainFactory und ihrer Kunden (Artikel 6 Abs. 1 lit. f DSGVO) arbeiten wir mit Cloudflare (https://www.cloudflare.com/) zusammen um eine Web Application Firewall auf unserer Webseite und im Kundenmenü einzusetzen. Diese dient als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet. Sie schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting. Information über die für diesen Service benötigten personenbezogenen Daten erhalten Sie hier:https://blog.cloudflare.com/what-cloudflare-logs/. Die Cloudflare Datenschutzerklärung können Sie hier einsehen:https://www.cloudflare.com/privacypolicy/. Die Einhaltung des Datenschutzes bei DomainFactory sichern ein Datenverarbeitungsvertrag sowie geeignete Garantien für Datentransfers in Drittstaaten, einschließlich in die USA.

    Zum Schutz der IT von DomainFactory und ihrer Kunden (Artikel 6 Abs. 1 lit. f DSGVO) setzen wir eine Web Application Firewall des verbundenen Gruppenunternehmens Sucuri (https://sucuri.net) auf unserer Webseite und im Kundenmenü ein. Diese dient als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet. Sie schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting. Information über die für diesen Service benötigten personenbezogenen Daten erhalten Sie hier: https://blog.sucuri.net/2018/05/sucuri-gdpr.html. Die Sucuri Datenschutzerklärung können Sie hier einsehen: https://sucuri.net/privacy. Die Einhaltung des Datenschutzes bei DomainFactory sichern ein Datenverarbeitungsvertrag sowie geeignete Garantien für Datentransfers in Drittstaaten, einschließlich in die USA.
    Das ist an der zentralen Stelle ordentlich und transparent beschrieben. Tut uns leid, dass wir das hier nicht noch angefügt haben, was hiermit geschehen ist.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • RubiRed
    antwortet
    Schade, dass das Thema des Datenaustauschs von admin.df.eu über USA Server nicht weiter tangiert!? Ich bin der Meinung, dass die Endung .eu hier auch eine falsche Datensicherheit vortäuscht. Man denkt die Daten bleiben in der EU, was offensichtlich nicht der Fall ist.

    Warum möchtedf keine ordentliche und vor allem transparente Erklärung zu dem Thema abgeben? Was ist der Grund?

    Wie ich schon rausgefunden habe, läuft das Login von Konkurrenten ordentlich über Deutschland!

    Schade das df das nicht hin bekommt?

    Einen Kommentar schreiben:


  • RubiRed
    antwortet
    Ich finde es sehr bedauerlich, dass man bei DF hier nicht weiter darauf eingeht.

    Netter Beitrag von df selbst dazu: DSGVO-Kopplungsverbot: Was ist das und was ist zu beachten? https://www.df.eu/blog/dsgvo-kopplun...t-zu-beachten/

    Auszug: „Zwanglose Einwilligung nach Erwägungsgrund 43
    Nach Erwägungsgrund 43 der DSGVO Satz 2 gilt eine Einwilligung als nicht freiwillig, wenn Betroffene zu verschiedenen Verarbeitungsvorgängen ihrer personenbezogenen Daten nicht gesonderte Einwilligungen erteilen können. Die Zustimmung gilt ebenfalls nicht als freiwillig, wenn die Erfüllung eines Vertrags oder einer Dienstleistung von der Einwilligung abhängt, obwohl diese für die Erfüllung nicht erforderlich ist.“

    Dazu wiederhole ich gerne nochmals meine Frage: Ist es tatsächlich nicht möglich die Daten auf dem Server in Deutschland zu schützen? Müssen diese über Fremdfirmen im Ausland laufen? Sind die Zeiten von lokaler Sicherheitssoftware vorbei?

    Ich hätte gerne genau gewusst, was denn dazu zwingt die Daten so zu routen.

    Ich habe "
    Sucuri Website Security" nicht gebucht, werde aber trotzdem beim Konto über admindf.eu Zwangsbeglückt?

    Einen Kommentar schreiben:


  • wecotec
    antwortet
    Zitat von masterframe Beitrag anzeigen
    Eine verbindliche Antwort zu diesem komplexen Thema kann eigentlich nur der Datenschutzbeauftragte leisten.
    Hat irgendjemand schon überhaupt eine Antwort von denen bekommen? Ich kann mich dunkel an das "Livit" erinnern....so ganz zufriedenstellende Antworten gab es nie.....

    Einen Kommentar schreiben:


  • masterframe
    antwortet
    Eine verbindliche Antwort zu diesem komplexen Thema kann eigentlich nur der Datenschutzbeauftragte leisten.
    Ich zitiere Mal aus dem Impressum von dF.
    Datenschutzbeauftragte:


    Kinast & Partner Rechtsanwälte, Externe Datenschutzbeauftragte, Venloer Straße 24, 50672 Köln, http://www.kinast-partner.de [Kontaktmöglichkeit auch über [email protected]]

    Die Antwort des DSB sollte hier aber nicht ohne entsprechende Freigabe gepostet werden.

    Einen Kommentar schreiben:


  • alias
    antwortet
    Nicht das ist alles im Detail durchblicke - aber die Darstellung seitens DF macht mal wieder hellhörig.

    Die Fragen der Anwender erscheinen mit durchaus berechtigt und wenn IPs persönliche Daten sind, haben die nichts in den USA zu suchen.
    Warum musste Microsoft sich gerade beim Thema Office365 gerade krum machen, wenn sich das Ganze doch einfach über einen Vertrag lösen ließe ?
    Und was halten NSA&Co ( Stichwort Five Eyes ) von dererlei Verträgen ? Oder sind Geheimdienste von der DSVGO ausgenommen ?

    Eine simple Stellungnahme seitens DF "Passt schon! Eine detaillierte Stellungnahme würde sie nur verunsichern!" erscheint mir zu wenig.
    Das wenigste wäre IMHO das ein unabhängiger Dritter oder gleich der Landesdatenschutzbeauftrage bestätigt, das dieses Vorgehen nicht zu
    beanstanden sei.

    Gibt es denn eine Versicherung, die für Schäden/Schadensersatzforderungen einsteht, wenn DF nicht DSGVO-konform handelt?
    Oder gefährdet das auch die Sicherheit der Anwender und Reseller diese Frage zu beantworten ?


    Einen Kommentar schreiben:

Lädt...
X