ViSITS

Produkte

CoC

PERK ViSITS Code of Conduct

Offenheit schafft Vertrauen – wir erfüllen die Anforderungen des InÖG und der D64 für IRIS

Whitepaper Dokumentation der Service-Architektur und Schnittstellen

Wir setzen auf Open Source, eigene Pentests und unabhängige Audits

Datensparsamkeit und Datensicherheit garantiert

Kein "Master Key", die Daten bleiben beim Mandanten

Bedienbar mit jedem Gerät mit Browser, oder mit der iOS- und Android-App

Serverstandort ist Deutschland, alle Daten bleiben im Land

PERK war mit ViSITS Teil der Initiative „Wir für Digitalisierung“ (WFD) und der „Initiative Öffentliche Gesundheit“ (InÖG). In diesen Gruppen haben wir gemeinsam das IRIS Gateway, den IRIS Endpoint-Service (EPS) und den IRIS Client (Gesundheitsamts-Portal) entwickelt und tragen ihn an die Gesundheitsämter im Land.

Die Schutzbedarfsanalyse des IRIS Gateways zeigt nicht überraschend auf, dass ein wesentlicher Angriffspunkt des zentralen Gateways die angeschlossenen Kontaktdatenerfassungssysteme sind, also auch PERK ViSITS. Daher müssen alle angeschlossenen Apps einen Code of Conduct unterzeichnen, der die Einhaltung der Sicherheits- und Transparenz-Kriterien sicherstellt.

Kontaktdatenerfassung zur Umsetzung der Corona-Schutzverordnung (CoronaSchV) ist ein vielschichtigeres Thema, als es auf den ersten Blick scheint, daher sind die Anforderungen an die Erfassungssysteme auch nicht überall und für alles gleich. Vielmehr gibt es unzählige andersartige Umsetzungen. Sie alle eint der Zweck, im Falle eines Falles die Kontaktdaten schnell und sicher an das Gesundheitsamt zu übermitteln, um die Arbeit der Ämter zu erleichtern und zu beschleunigen.

Whitepaper

Um maximale Transparenz zu erreichen, legen wir unser Service-Konzept offen und beschreiben alle Systemkomponenten und Schnittstellen.

Open Source

PERK ViSITS ist eingebettet in eine Gesamtlösung, die die PERK für den IoT Markt konzipiert hat. Nicht alle Teile davon können wir quelloffen stellen, auch weil wir teilweise Komponenten einsetzen, bei denen wir selbst vertraglich den Quellcode nicht offenlegen dürfen.

Wir lassen daher neben eigener Sicherheitstests unsere Lösung von unabhängigen externen Experten auditieren.

Datensparsamkeit und Datensicherheit

Die Daten, die im Rahmen der CoronaSchV zu erheben sind, sind durch das jeweilige Bundesland vorgegeben. Da unsere Lösung bundesweit (und weltweit) eingesetzt wird, gibt es für den jeweiligen Betrieb oder Verein prinzipiell die Möglichkeit, die möglichen Datenfelder ein- oder auszuschalten. Diese Möglichkeit räumen wir auch deshalb ein, weil aus der Anschrift des Betriebes noch nicht hervorgehen muss, welches Landesrecht anzuwenden ist.

Allen Landesverordnungen gemein ist die Formulierung, dass der Gast eine Kontaktmöglichkeit angeben muss. Aus anderen rechtlichen Erwägungen heraus kann niemand verpflichtet werden, eine Telefonnummer oder E-Mail-Adresse haben zu müssen, daher kann auch keine rechtliche Verpflichtung abgeleitet werden, eine solche im Kontaktformular anzugeben.

Unsere Lösung ist maximal datensparsam: in unserem Kontaktformular muss neben dem Namen eine der Angaben Adresse (Straße/Hausnummer, PLZ, Ort), Telefon oder E-Mail angegeben werden. Es dürfen natürlich freiwillig alle Felder ausgefüllt werden. Für Begleiter muss nur ein Name angegeben werden, in einigen Ländern reicht gar die Anzahl der Begleiter.

Alle diese persönlichen Daten werden automatisch nach 28 Tagen gelöscht, es verbleibt ein anonymisierter Datenbankeintrag mit einem zufälligen Wert für statistische Aussagen, es verbleiben anonyme, nicht personenbeziehbare Daten zu Ankunft, Ort, Endzeit, ob die Daten verifiziert oder korrigiert wurden.

Neben den Daten, die für die CoronaSchV erhoben werden, können je nach Betreiber über die gleiche Benutzeroberfläche weitere personenbeziehbare Daten erhoben werden. Diese kann der Betreiber nicht frei wählen, sondern werden durch die PERK freigeschaltet, sofern der Betreiber dafür berechtigt und ermächtigt ist. Beispielsweise sind über einen Fragenkatalog Gesundheitsangaben vom Gast aufzunehmen, für deren Erhebung und Speicherung der Betreiber jedoch gesetzliche Voraussetzungen und Auflagen zu erfüllen hat. Solche personenbeziehbaren Daten werden grundsätzlich separiert von den persönlichen Daten gespeichert und pseudonymisiert gespeichert. Damit bleiben sie der Person mit entsprechendem Aufwand zuzuordnen, dazu sind aber bereits erweiterte Rechte in den Systemen erforderlich.

Rein technisch gibt es darüber hinaus weitere personenbeziehbare Daten, die prinzipiell dazu dienen können, beispielsweise Bewegungsprofile einer Person zu erstellen. Dazu zählen im Kontext von ViSITS vor allem die statische oder dynamische IP Adresse des genutzten Endgerätes und Sitzungsschlüssel (session keys) oder Cookies. Diese technischen personenbeziehbaren Daten lassen sich durch den Anbieter einer Lösung schwerlich vermeiden, in unserer Systemarchitektur erschweren wir aber die Korrelation. Die öffentliche IP-Adresse, die die Datenverbindung aufbaut, wird an unserem Reverse-Proxy mit einer privaten Adresse weitergereicht an unseren Dienst. Da, wo die persönlichen Daten verarbeitet werden, kommt die IP-Adresse des Endgerätes nicht an. Die „Übersetzung“ der Adresse wird nicht physisch gespeichert. Wer weitgehende Rechte hat oder sich verschafft, kann sich trotzdem in die Lage versetzen, eine Korrelation zu erreichen. Es Bedarf jedoch einer kriminellen Absicht, dies zu tun – zum Betrieb, zur Fehleranalyse oder zur Verbesserung des Service sind diese Daten jedenfalls nicht relevant.

Cookies nutzen wir im Zusammenhang mit ViSITS lediglich, um die Benutzung sicherer und komfortabler zu machen. Wir speichern in Cookies:

  1. die persönlichen Daten (lokal auf dem Endgerät im Cache des Browsers/der App) ohne eine Signatur, die zu einer Wiedererkennung serverseitig verwendet werden kann. Wir verwenden einen Sitzungsschlüssel, der nur während der Zeit eines aktiven Check-Ins im Arbeitsspeicher des Servers bekannt ist.
  2. Wir generieren einen Sicherheits-Token, der auch in einem Cookie gespeichert wird, um Cross-Site Angriffe abzuwehren, das ist hier ganz gut erklärt: http://blog.bigbasti.com/asp-net-mvc-security-teil-1-das-antiforgerytoken-nutzen/
  3. Wir merken uns in einem Cookie, ob der Verwendung der Cookies zugestimmt wurde.

Das war’s für den Endbenutzer. Weitere Daten Cookies und Daten fallen noch für die Betreiber an, also unsere direkte Kundschaft. Diese Daten sind im Bezug auf die hier auszuschließenden Angriffspunkte jedoch unerheblich und separat erläutert und in unserer Datenschutzerklärung aufgeführt.

Daten aus Formularen werden mit PERK ViSITS nur verschlüsselt übertragen (mit TLS, mindestens v1.1), in der URL gibt es lediglich die anonymen Schlüssel eines Ortes, an dem eine Aktion ausgeführt werden soll. Dazu kommt die IP-Adresse, die sich durch uns nicht anonymisieren lässt. (Der Benutzer kann natürlich ein Anonymisierungs-VPN verwenden.)

Kein Master Key

Die Verschlüsselung auf dem Transportweg passiert naturgemäß mit einem öffentlichen Schlüssel unseres Servers, die Entschlüsselung des Inhaltes auf unserem Server mit dem privaten Teil des Schlüsselpaares vor der weiteren Verarbeitung.

Die eigentlichen Daten, die Inhalte der Formulare, die an den Server übertragen werden, werden in zwei Kategorien unterteilt: persönliche Daten und Meta-Daten. Die Meta-Daten brauchen wir im Service, um die persönlichen Daten richtig zuzuordnen und abzulegen. Diese werden daher nur auf dem Transportweg per HTTPS verschlüsselt übertragen und auf dem Server über die Datenbank verschlüsselt im Dateisystem abgelegt, jedoch so, dass der Server diese weiterhin verarbeiten (lesen) kann.

Die persönlichen Daten werden mit einem öffentlichen Schlüssel des Betreibers verschlüsselt und sind nur durch seinen privaten Schlüssel auch wieder zu entschlüsseln und im Klartext zu lesen. Diesen privaten Schlüssel besitzt nur der jeweilige Mandant.

Bedienbarkeit und Barrierefreiheit

Unser Dienst ist mit jedem gängigen Internet-Browser auf jedem Smartphone, Tablet oder PC bedienbar, zusätzlich bieten wir über die WFD-App „Meine Checkins“ eine App für iOS und für Android, mit der eine Vielzahl anderer ähnlicher Apps in einer gemeinsamen Benutzeroberfläche zusammengefasst werden.

Wir halten uns so gut wir können an Vorgaben zur Barrierefreiheit der Benutzeroberfläche. Bei Problemen bei der Bedienung kann sich der Benutzer an den Betreiber wenden, damit dieser das Problem an unseren Kundendienst adressieren kann, wir werden das dann zeitnah lösen.

Als zusätzliche Eingabemöglichkeit bieten wir die Digitalisierung eines analogen Kontaktformulars, einer Visitenkarte oder ähnlichem. Dafür fotografiert der Betreiber die analogen Daten mit seinem eigenen Gerät.

Zudem können Dritte die Daten in Vertretung erfassen, das kann der Betreiber, eine Servicekraft oder ein anderer Gast sein.

Serverstandort

Unsere Server stehen alle in Deutschland. Unser Service wird ausschließlich durch uns selbst auf unseren Servern betrieben, wir nutzen keine ausgelagerten Micro-Services oder Cloud-Dienste.

Aufgrund der Architektur des Internets kann niemand garantieren, dass der Datenfluss zwischen Endgerät und Server nicht das Land verlässt, hier greift aber die Transportweg-Verschlüsselung.

Unsere Server stehen in der Nähe von Düsseldorf und in der Nähe von Regensburg und sind auch durch physischen Schutz vor nicht autorisiertem Zugriff geschützt. Und wegen der verschlüsselten Speicherung im Dateisystem ist auch ein physischer Zugriff auf die Festplatte nicht gleich zusetzen mit einem Zugriff auf die Daten.