Datenschutz ist ein wichtiges Thema, das wir ernst nehmen. Im folgenden möchten wir kurz erklären, welche Daten wir auf der Homepage erheben und wie wir damit umgehen - Transparenz ist uns wichtig.

Statistik:

Für die Statistik unserer Besucher verwenden wir die Open-Source-Software Piwik - sie bietet einen ähnlichen Funktionsumfang wie Google Analytics. Piwik läuft allerdings auf unserem eigenen Server, so dass keine Daten weitergegeben werden. Von uns ausgewertet werden Daten wie z.B. Angaben zum Browser, zur Bildschirmauflösung, wie viele Benutzer verwenden ein Smartphone usw. Diese Daten werden von uns verwendet, um die Homepage bedarfsgerecht gestalten zu können. Selbstverständlich findet keine personenbezogene Auswertung statt.

Newsletter:

Der Newsletter wird über eine in die Homepage integrierte Software verschickt. Eine An- und Abmeldung ist direkt über die Homepage möglich. Die hinterlegten E-Mail-Adressen werden von uns nicht an Dritte weitergegeben. Die Newsletter-E-Mails werden einzeln verschickt, d.h. ein Adressat sieht keinesfalls Mailadressen von anderen Abonnenten.

Buchungssystem:

Im Buchungssystem hinterlegte persönliche Daten sind nur für den Durchführer der Veranstaltung (und den Administrator) einsehbar. Wir versichern eine vertrauliche Behandlung der Daten und geben keine Daten an Dritte weiter.

Passwort:

Zum Einloggen auf der Seite, z. B. für Autoren bzw. in unserem Webmailsystem werden Benutzername und Passwort abgefragt. Die Übertragung findet verschlüsselt statt. In unseren Systemen werden die Passworte nicht im Klartext sondern ebenfalls verschlüsselt gespeichert. (Die Homepage verwendet dafür z.B. einen mit einem Salt geimpften MD5-Hash.) Daher ist es auch für Administratoren nicht möglich die Passworte zu sehen.

MD5 ist im Prinzip eine Einbahnstraße: man kann den Hash aus dem Passwort berechnen aber es gibt keine Rechenoperation, die in umgekehrter Richtung aus einem Hash das Passwort berechnet. In der Praxis funktioniert das so: beim ersten Erstellen wird das Passwort in den Hash umgerechnet und dieser gespeichert. Bei jeder Anmeldung gibt der Benutzer sein Passwort ein. Daraus wird wieder der Hash berechnet - die zwei Hashwerte werden verglichen, wenn sie übereinstimmen, war das Passwort richtig.

Ein genereller Tipp zu diesem Thema. Im Prinzip ist es natürlich möglich verschlüsselte Passworte zu knacken. Dazu gibt es prinzipiell zwei Möglichkeiten:

1. Brute Force: d.h. mehr oder weniger strukuriertes Ausprobieren bis man das richtige Passwort gefunden hat. Prinzipiell ist das auch direkt über das Login-Modul der Seite möglich, wenn auch relativ langsam.
2. Rainbow-Tabellen: Dazu braucht der Hacker den MD5-Hash, d.h. eine Kopie der Datenbank, die hinter dem System steckt. In der riesigen Tabelle stehen alle möglichen Passworte bis zu einer gewissen Länge und die dazugehörigen Hash-Werte. Man kann nun über einen Datenvergleich den richtigen Hashwert raussuchen und aus der Tabelle das Passwort auslesen. Rainbow-Tabellen haben eine beindruckende Größe, daher ist aktuell eine Verwendung bei einem System, das mit einem Salt geimpft ist, praktisch unmöglich.

Ein Angriff über Rainbow-Tabellen ist prinzipiell nur möglich, wenn der Hacker es schon geschafft hat, die Datenbank zu stehlen - und auch eine Brute-Force-Attacke wird dadurch prinzipiell einfacher. Die Rechenzeit ist aber wegen der Impfung über den Salt immer noch beeindruckend hoch.

Leider ist es aber so, dass nicht alle Systeme geschützte Passworte verwenden. Meistens weiß der Benutzer nicht einmal wie gut das System gesichert ist. Daher ist zumindest dringend zu empfehlen, nicht überall das gleiche Passwort als Generalschlüssel zu verwenden. Sonst hätte der Hacker plötzlich auf alle Systeme des Benutzers Zugriff.

Facebook-Integration:

Auf der Homepage werden teilweise Komponenten von Facebook eingeblendet. Unsere Facebook-Fanseiten funktonieren wie alle anderen Fanseiten auch. Der Administrator der Fanseite kann sehen, wer Fan ist. Ein weitergehender Zugriff auf den Facebook-Account ist nicht möglich.

Umgekehrt kann allerdings Facebook über die integrierte Komponente feststellen, wann ein Fan auf der TSV Homepage war - wie bei allen anderen Internetseiten, in die Facebook integriert ist (z.B. über einen Like-Button).

Änderung 30.9.2011: Aufgrund der aktuellen Nachrichtenlage (ARD, Tagesschau, Hauptnachrichten 29.9.11/20:00 Uhr) sind die Facebook Komponenten deaktivert worden. Es ist nicht ausgeschlossen die Module wieder zu aktivieren, wenn entsprechend günstigere Bewertungen vorliegen.