Leserbriefe März 2020

Nach 30 Jahren kein Überblick

(SAP-Security: SAP-Basiswissen – ein kleines Kompendium; iX 2/2020, S. 112)

Ich arbeite zwar schon seit Langem mit SAP-Software, fand aber den Überblick dennoch sehr gut und erhellend. Man kann ja gar nicht mehr alles im Blick behalten, was sich da technologisch alles tut. Einiges hat man auch schon längst wieder verdrängt und vergessen.

Und man muss, wie im Artikel geschehen, wirklich fast 30 Jahre ausholen, um überhaupt zu verstehen, warum alles so ist, wie es ist. Da wundert es mich nicht, wenn es Neueinsteigern so schwerfällt, sich einen Einblick zu verschaffen.

Christian Zalto, Ginsheim-Gustavsburg

Standortnachteil Deutschland

(Editorial: Sprengstoff 2020; iX 2/2020, S. 3)

Aus der Perspektive eines Anbieters einer solchen Software, mit der personenbezogene Daten verarbeitet werden, halte ich es für problematisch, juristisch für den DSGVO-konformen Einsatz dieser zu haften. Natürlich haften wir im üblichen – wie im Vertrag formulierten – Rahmen für die ordnungsgemäße Funktion unserer Software. Die „Technikgestaltung“ der Software kann aber DSGVO-Verstöße durch den Kunden nicht verhindern. Mit diesem Argument wäre ja Microsoft sofort „an die Kandare zu nehmen“, da MS Office das dauerhafte Speichern personenbezogener Daten ohne Einwilligung der betroffenen Person ermöglicht.

Kleine deutsche Firmen, greifbar mit Gerichtsstand in Deutschland, würden hier gegenüber asiatischen Herstellern oder nordamerikanischen „Weltkonzernen“ benachteiligt. Letztere hätten hier wohl keine unberechtigten Klagen zu befürchten.

Matthias Seemann, Rostock

Anregung für weiteren Artikel

(IT-Recht und Datenschutz: DSGVO: Schranken der Identifizierung bei Löschanfragen; iX 2/2020, S. 36)

Vielen Dank für den interessanten Beitrag. Ich hätte ihn mir ausführlicher gewünscht, da es das Thema meines Erachtens wert ist – die Angelegenheit ist komplexer, als man denkt. Dies gilt insbesondere, da die Vorgaben eher juristischer beziehungsweise verfahrenstechnischer Art sind. Wie man das technisch umsetzt, überlassen viele Unternehmen den Admins.

Für die Leser, die Administratorenschaft und die Compliance-Beauftragten wären insbesondere folgende Punkte interessant:

• Wie setze ich die Löschfristen um, wenn beispielsweise meine Kundenakte im ERP-System teilweise zu löschende Daten enthält, mein System aber heute keine solche Teillöschung (sondern allenfalls die Löschung der kompletten Akte) vorsieht?
• Viele Unternehmen sind verpflichtet, Daten auf sogenannten revisionssicheren Systemen zu halten und zu verarbeiten (die zertifiziert sind). Hier ist die Firmware in der Regel um alle irgendwie gearteten Lösch- und Verschiebebefehle entreichert, sodass eine Löschung gar nicht durchgeführt werden kann.
• Das Gleiche gilt für die Backup-Daten. Wie gehe ich in Bezug darauf hinsichtlich der Löschung vor?

Vielleicht besteht die Möglichkeit, das Thema mal in einem großen Artikel auch mit bildlicher Anschauung zu bringen. Fände ich sehr interessant!

Martin Börger, via E-Mail

Daten zunehmend bei Microsoft

(IT-Sicherheit: Beunruhigender Stand der Migration auf Windows 10; iX 2/2020, S. 12)

Die wesentlichen Fragen wurde nicht diskutiert: Welche Rolle spielen die Datenlecks zu Microsoft?

Europa schaut unbewegt zu, wie sich die USA überall in Europa einkaufen und damit den Zugriff auf die Daten sichern. Im Übrigen ist auch langsam der Linux-Bereich, der in Europa eine Rolle spielt, weitgehend in angelsächsischer Hand.

Meines Wissens lässt sich bis heute keine Version vollständig so absichern, dass es den Regeln des BSI und den geforderten Datenschutzregeln entspricht. Insbesondere kenne ich kein Skript, das zuverlässig auch noch nach jedem Update dafür sorgt, dass die Datenschutzregeln bei Windows 10 eingehalten werden. Über den Datenabfluss bei Virenscannern und die Chancen des Missbrauchs wird auch kaum diskutiert.

Michael Zelger, via E-Mail

Gute Technologiedemo, keine Praxis

(Bad Bots: Bad Bots bekämpfen; iX 2/2020, S. 100)

Fachlich finde ich den Artikel gut und interessant – und sehr viel davon habe ich vorher noch nie gehört. Aber wenn ich als Kunde mit einem Browser und Adblocker nicht mehr auf eine Website zugreifen kann – oder irgendein Skript nicht läuft –, dann denke ich nicht als Erstes: „Der arme Anbieter muss einen Bad-Bot-Blocker einsetzen, weil sonst sein Server bedroht ist“, sondern: „Kacke, es läuft wieder nicht“ – und bestelle woanders.

So ist es mit mindestens einem Schweizer Elektronikversender; dessen Website funktioniert mit Safari und iOS schlecht. Wenn ich bestellen oder etwas nachschauen will, dann gehe ich bevorzugt zum anderen großen Anbieter und denke mir nicht: „Mache ich heute Abend, wenn ich wieder vor dem PC sitze.“

Daher sollte man das Bad-Bot-Blocking vielleicht eher nicht übertreiben, sondern mit den letzten 10 Prozent leben und dafür lieber die 10 Prozent Kunden nicht vergraulen, die sonst als Beifang oder False Positives im Filter landen.

Martin Zuber, Muttenz

Die iX-Redaktion behält sich Kürzungen und auszugsweise Wiedergabe der Leserbriefe vor. Die abgedruckten Zuschriften geben ausschließlich die Meinung des Einsenders wieder, nicht die der Redaktion.