Blog

GDPR: No Data to the Rescue

Nun ist die DGSVO/GDPR einige Monate in Kraft – und der große Knall ist erstmal ausgeblieben. Zwar gibt es immer noch viele Seiten, die innerhalb der EU nicht erreichbar sind, aber außer den Cookie-Hinweisen hat sich für den Nutzer nicht viel geändert, zumindest dem äußeren Eindruck nach. Im ersten Post zu GDPR bin ich auf den allgemeinen Umfang des Gesetztes eingegangen und möchte in diesem Beitrag mehr auf die Technik eingehen: Denn da hat sich bei vielen Anbietern tatsächlich einiges getan:

Beim Verarbeiten von personenbezogenen Daten kristallisieren sich im Moment mehrere (durchaus wünschenswerte) Entwicklungen heraus:

  1. Wenige Daten verteilt sammeln: sensible Daten werden an einer Stelle vorgehalten, um die Löschung/Anonymisierung zu vereinfachen.
  2. Mit weiteren Parteien Auftragsdatenvereinbarungen (ADV) eingehen, um sich die Verantwortung und Pflichten klar an den Partner zu kommunizieren.
  3. Verschlüsselte Übertragung per HTTPS: Wer glaubt, ohne Verschlüsselung am Markt agieren zu können, für den kann es bei der Fülle von Anforderungen und verschärften Strafandrohungen schnell teuer werden. Denn die haben es in sich: Es sind saftige Bußgelder fällig, die sogar die Existenz eines Unternehmens gefährden können. Mit Lösungen wie Let’s Encrypt kann man sogar kostenlos und schnell die Verschlüsselung der eigenen Dienste sicherstellen.
  4. Verschlüsselung der Daten mit Public-/Private-Key-Verfahren: Diese Form von „Privacy by Design“ ist besonders interessant. Denn laut DSGVO gelten verschlüsselte Daten nicht als verloren, wenn der Schlüssel nicht mit verlorengeht. Diesen Fakt kann man sich dann auch in Verbindung mit Artikel 17 – dem Recht zu Vergessen – zunutze machen:

Sensible Daten werden dabei mit dem Public Key des Nutzers verschlüsselt und können dann problemlos in der Datenbank abgelegt werden:

Das Schöne an der Variante ist, dass die Backup-Prozesse so bleiben können wie bisher. Setzt ein Nutzer sein Recht auf Löschen um, wird sein Private Key entfernt und man kommt nicht mehr an die Daten heran. Dabei muss man beim Anwendungsdesign darauf achten, dass bestimmte Datenfelder eben jetzt auch leer sein können, wenn der Nutzer entfernt wurde.

Technisch kann man das als allgemeine Schnittstelle zur Verfügung stellen:

Eingebettet würde man diese Schnittstelle im Identity- und Access-Management unterbringen:

  1. Eine Anwendung möchte sensible Daten zu einem Nutzer sicher ablegen. Diese Daten werden an die API gesendet
  2. Das IAM liest die Schlüsselinformationen aus
  3. und verschlüsselt die Daten damit.
  4. Der chiffrierte Datensatz wird der Anwendung übergeben, damit diese den Speichervorgang abschließen kann.

Dieses Pattern, auch als „Crypto Erase“ bekannt, lässt sich mittlerweile bei vielen Anwendungen entdecken, z.B. bei Axon oder in Verbindung mit einer Blockchain. Immer mehr Anwendungen und Frameworks werden dieses Pattern nutzen, da es auch bei verteilten Anwendungen funktioniert und z.B. auch mit JPA Entity Listener gut umsetzbar ist.

Generell zeigt sich damit, dass sich trotz hochverteilten Anwendungen auch der Datenschutz umsetzen lässt und der Komfort dabei nicht auf der Strecke bleiben muss.

Holisticon Hannover auf dem Java Forum Nord am 13.09.

Am 13. September 2018 findet in Hannover das Java Forum Nord statt. Holisticon als Unternehmen mit starken Java-Wurzeln ist Sponsor und wird natürlich vor Ort sein. Als Organisation, die im Norden beheimatet ist, an die Schwarm-Power glaubt und sich gemeinsam neuen Herausfordungen stellt und lernt, freuen wir uns sehr auf die Konferenz und den Wissensaustausch. In rund 30 Vorträgen finden sich Themenschwerpunkte rund um Java für Entwickler und Entscheider. Aus über 100 Einreichungen wurde ein vielfältiges Programm zu neuen Themen und Best Practices zusammengestellt.

Verschiedene Java User Groups übernahmen die Gestaltung und Organisation in Kooperation mit der Java User Group Deutschland e.V./Sun User Group Deutschland e.V. als offiziellen Veranstaltern.

Wenn ihr das Java Forum Nord auch besucht, sprecht uns doch an! Allerdings solltet ihr schon Karten haben – das Event ist komplett ausverkauft…

Sanduhr

Angular-Komponententests – Zeit und Nerven sparen

Komponententests in Angular sind teuer und nehmen viel Zeit in Anspruch. Deshalb sollten die Testmodule so sparsam wie möglich aufgebaut sein. Durch die Erfahrungen in mehreren Projekten haben wir viele hilfreiche Tipps in Bezug auf Angular-Komponententests gesammelt und konnten so eine Zeitersparnis von insgesamt 90% erreichen. Diese Tipps und Erfahrungen möchten wir in diesem Beitrag gern mit euch teilen. So könnt ihr zukünftig nicht nur viel Zeit, sondern auch viele Nerven sparen.

weiterlesen

Träume verwirklichen – vom Sinn zur Tat

Vom 18. bis 19. August findet in Hamburg die Konferenz für eine bessere Welt statt. Der Traum, eine bessere Zukunft für uns und unsere Nachfahren zu ermöglichen, soll hier besprochen und in Angriff genommen werden. In der Realität gestaltet sich die Umsetzung solcher Ideen aber alles andere als leicht. Ich wurde von der Organisatorin Ilona Koglin gebeten, Liberating Structures vorzustellen und damit bei der Verwirklichung von Träumen zu unterstützen.
weiterlesen