Nun will der Kunde, dass neben dem CMS sich auch seine Kunden (Privatunternehmen) einloggen können. Teiwleise ist da z.B. ein grosser Möbelkonzern bei oder eine bekannte Firma für Schuhe. Ich mache mir daher etwas sorgen, da diese Firmen sensible Daten in einem gesonderten Bereich ablegen sollen. Doch ist Sicher nicht Sicher? Ich meine, ich habe die Redakteuren-DB nach meinem verständnis sicher gebaut, reicht diese Sicherheit nicht auch für die Kunden?

Wenn in deinem System sichergestellt ist, dass der angemeldete Benutzer nur das darf, was er dürfen soll ist eine Unterscheidung unerheblich.

Eine "höhere" Sicherheit ist aber eine Konzeptionsfrage - z.B. "will ich bestimmte Daten nur verschlüsselt übertragen?".

Etwa: Rechnungen und Lieferscheine die Von Kunden hoch und runtergeladen werden können, gibts nur per SSL - die Redakteure auf der Seite die Datenblätter warten die ohnehin öffentlich zugänglich sind, brauchen kein SSL.

Oder Umgekehrt: Redakteure die Rohdaten hochladen müssen über eine geschützte Verbindung nutzen, die Kunden wiederum bekommen jeweils einen Auszug der Daten bei dem es wieder keine Rolle spielt, ob diese öffentlich einsehbar sind oder nicht.

Sollte man z.B. lieber keien Datenbank nehmen und dort nur hashkeys anlegen und die Daten lieber in einem FS sichern?

Wo du die Daten ablegst spielt sicherheitstechnisch keine Rolle - zumindest wenn man von Lücken im DBMS oder im Betriebssystem/Filesystem absieht.