Anhang: Datenverarbeitung in der Milestone XProtect VMS Umgebung

Das Milestone Dokument zur Systemarchitektur beschreibt die Systemkomponenten und die Art und Weise, wie diese miteinander und mit den Systemkomponenten in der Umgebung zusammenarbeiten. Für jeden der relevanten Anwendungsfälle für das Produkt finden Sie ein Diagramm, das den Kommunikationsfluss zwischen den Komponenten illustriert, die an den Anwendungsfällen beteiligt sind. Diese Diagramme geben eine allgemeine Übersicht über die übertragenen Daten. Weitere Informationen über die Interaktion zwischen den einzelnen Komponenten Milestone XProtect VMS finden Sie im Milestone Dokument zur Beschreibung der Systemarchitektur.

In diesem Abschnitt sind die Standardinstallationsverfahren für XProtect für persönliche Daten, Authentifizierungs- und Konfigurationsdaten aufgeführt, die für Datenschutz- und Sicherheitseinstellungen relevant sind.

Personenbezogene Daten aus dem VMS

Der Hauptdatentyp sind die Videodaten von den Videokameras. Diese Daten werden vom Recording Server Dienst gespeichert. Videodaten können entweder live oder im Wiedergabemodus an den XProtect Smart Client gestreamt werden. Die übrigen Daten sind die Stammdaten der VMS-Benutzer, die in der SQL-Datenbank gespeichert werden.

Personenbezogene Daten aus der Umgebung

Personenbezogene Daten über die VMS-Benutzer stammen aus der Windows-Umgebung, wo für die Benutzerauthentifizierung und als Quelle für Gruppenmitgliedschaften Active Direct (AD) verwendet wird. Der Dienst Milestone XProtect Management Server fragt über das LDAP-Protokoll das AD ab, um Informationen über die Benutzer zu erhalten, die sich am System anmelden.

Personenbezogene Daten aus dem System

Diese personenbezogenen Daten beinhalten Daten jeder Art, die dafür benötigt werden, das System zu sichern, zu konfigurieren, zu betreiben, zu warten oder in sonstiger Weise zu unterstützen. Arten personenbezogener Daten sind u.a.:

• Protokolldaten

  IT-Systeme protokollieren in der Regel Benutzer- und Systemdaten in Audit- und Debug-Protokolldateien, um beim Betrieb und bei der Wartung der Systeme zu helfen. XProtect Corporate tut dies ebenfalls. Das VMS protokolliert Informationen zu den meisten Benutzeraktionen in der SQL-Datenbank. Dieses Audit-Protokoll dient dazu, die Verantwortlichkeit für vergangene Maßnahmen und das Systemverhalten nachzuvollziehen, sowie um ggf. Missbrauch des Systems zu verfolgen. Debug-Protokolle dienen dazu, Defekte und Fehler im System zu erkennen. Debug-Daten können ggf. personenbezogene Daten enthalten.

  Log-Einträge und Debug-Daten können detaillierte Informationen zur Nutzung des Systems durch die Bediener und Administratoren offenbaren und eignen sich ggf. zur Überwachung des Verhaltens und der Leistungen von Mitarbeitern.

• Protokollierung der Authentifizierung

  Der Autorisierungsserver von Duende OAuth und Identity Provider (IDP) erstellt Audit-Log-Dateien mit personenbezogenen Daten auf dem Serverknoten, auf dem die IDP läuft.

  Eine Protokollierung erfolgt, wenn:

  • Ein Benutzer sein Passwort ändert

  • Die Anmeldung fehlschlägt

  • Das Konto gesperrt wird, weil die zulässige Anzahl Anmeldeversuche überschritten wird

  • Die Anmeldung erfolgreich war

  Die Protokolldatei wird in \\ProgramData\Milestone\IDP\Logs\idp-audit.log gespeichert.

  Die Protokolldatei ist nur für den IIS-Benutzer und die lokalen Administratoren zugänglich. Wenn sich der IIS-Benutzer ändert, müssen diese Berechtigungen aktualisiert werden.

  Die Protokolle wechseln in einem Zeitraum von 24 Stunden und werden standardmäßig nach 30 Tagen gelöscht. Die Einstellungen für die Protokollierung können in der NLog.config-Datei konfiguriert werden.

Authentifizierung und Authentifizierungsdaten

• Authentifizierung des Benutzers im VMS

  Für die VMS-Benutzer von XProtect Management Client und XProtect Smart Client gibt es zwei Optionen für die Authentifizierung. Sie können entweder die Anmeldemechanismen von Windows nutzen, oder die native VMS-Authentifizierung.

  Eine Windows Active Directory-Umgebung können Sie so konfigurieren, dass die eingebauten Anmeldemechanismen von Windows verwendet werden. Die Authentifizierung mit der Windows-Anmeldung basiert standardmäßig auf dem Kerberos-Protokoll. Dies ist die sicherste Option. In älteren Umgebungen unterstützen die Domain Controller Kerberos u.U. nicht. In diesem Fall greift die Windows-Anmeldung automatisch auf das NT-Lan-Manager Protokoll (NTLMv2) zurück, das als weniger sicher gilt als Kerberos.

  In Umgebungen ohne Windows-Domänencontroller können Sie die native Authentifizierungsmethode XProtect verwenden, d. h. die Basisauthentifizierung mit Benutzer-ID und Passwort gegenüber der Authentifizierung von SQL Server oder Windows für Arbeitsgruppen, wenn diese zur Verfügung steht.

  Es gibt daher drei Arten von Daten für die Authentifizierung:

  • Windows-Anmeldungstokens (entweder Kerberos- oder NTLM-Tokens)
  • Basis-Authentifizierungsdaten
  • Die Authentifizierung von Windows für Arbeitsgruppen

  Nach erfolgreicher Authentifizierung wird der Benutzer am VMS angemeldet, und von dem Dienst Management Server wird eine Benutzersitzung erstellt, in der die Anmeldung erfolgt. Der Client hat nun im Kontext dieser Benutzersitzung Zugriff auf die Funktionen des Management Server Dienstes. Wenn der Benutzer auf Funktionen im Recording Server Dienstes zugreifen möchte, braucht auch der XProtect Smart Client eine Benutzersitzung bei diesem Serverdienst.

• Benutzerauthentifizierung im Recording Server Dienst

  Da die Benutzersitzung zwischen dem XProtect Smart Client / XProtect Management Client und dem Management Server Dienst nicht wieder verwendet werden kann, um Zugang zum Recording Server zu erhalten, muss auch der Recording Server den Benutzer authentifizieren. Für die Authentifizierung beim Recording Server Dienst stellt der Management Server Dienst dem Client einen Authentifizierungstoken zur Verfügung, die in der Client beim Recording Server Dienst vorweisen muss. Gleichzeitig sendet der Management Server Dienst den Authentifizierungstoken an alle Recording Server Dienste in der VMS-Installation. Diese können wiederum dann zur Authentifizierung von Benutzern dienen.

  XProtect VMS verwendet eine einfache GUID als einen solchen Authentifizierungstoken, den der Client an den Recording Server Dienst sendet. Die GUIDs werden dann von dem Management Server Dienst erstellt und verwaltet, der diese Tokens nach einer gewissen Zeit erneuert. Die GUID ist schlicht eine Kennung für den Benutzer in der SQL Server Datenbank.

  Beachten Sie bitte: Diese Tokens werden vom VMS nicht kryptografisch sicher übertragen, und dies mach zusätzliche Schutzmaßnahmen auf der Netzwerkebene der Umgebung erforderlich. Weitere Einzelheiten finden Sie unter Zusätzliche Sicherungen, und Informationen zu sicheren Netzwerken finden Sie unter Anhang: Das Milestone XProtect VMS-System und die DSGVO.
  Es ist wichtig, dass Sie diese zusätzlichen Schritte durchführen, um ein EuroPriSe-konformes Produkt zu erhalten.

• Authentifizierungsdaten

  Die Authentifizierungsdaten für VMS-Benutzer werden in der SQL-Datenbank auf einem SQL Server gespeichert. Zum Startzeitpunkt ziehen die Dienste Management Server und Recording Server die entsprechenden Autorisierungsdaten, einschließlich der Authentifizierungstokens, für alle Benutzer aus der SQL-Datenbank, um spätere Zugriffe auf die Server durch Benutzer vorbereitet zu sein. Wenn ein Administrator Berechtigungen oder Rollen oder irgendetwas anderes ändert, das Auswirkungen auf die Benutzerberechtigungen hat, wird diese Aktualisierung vom Dienst Management Server in der SQL-Datenbank auf dem SQL Server gespeichert und außerdem aktiv an alle Recording Server Dienste weitergegeben. Die Recording Server Dienste speichern Benutzerautorisierungsdaten und alle Authentifizierungstoken lokal und können so Client-Benutzer sofort authentifizieren, die ihre Authentifizierungstokens vorweisen können.

• Konfigurationsdaten

  Abgesehen von den Ansichtsdaten, die über den XProtect Smart Client eingestellt werden, werden alle Konfigurationsdaten für das VMS-System über den XProtect Management Client des VMS konfiguriert und in der SQL-Datenbank gespeichert. Es gibt verschiedene Arten von Konfigurationsdaten:

  • Benutzereinstellungen und Präferenzen
  • Benutzerrechte
  • Serverkonfiguration
  • Systemeinstellungen
  • Kamera- und Gerätekonfiguration

  Wenn die Konfigurationsdaten auch keine personenbezogenen Daten enthalten mögen, können sie Einfluss auf die Art und Weise haben, wie das VMS personenbezogene Daten verarbeitet. Nur für die Auswertung sind die Autorisierungsangaben und die Sicherheits- und Datenschutzeinstellungen unter den oben aufgeführten Konfigurationsdaten relevant.