Direkt zum Inhalt | Direkt zur Navigation

Sektionen

Focus on your applications!

Benutzerspezifische Werkzeuge

Sie sind hier: Startseite / Sicherheit und Datenschutz / Technische und organisatorische Datenschutzmaßnahmen

Technische und organisatorische Datenschutzmaßnahmen

erstellt von Veit Schiele zuletzt verändert: 15.08.2017 19:44 © cusy GmbH, Berlin 2015–2016

Wir bieten Ihnen ein hohes Maß an Datenschutz und Datensicherheit in Übereinstimmung mit dem Bundesdatenschutzgesetz.

Zutrittskontrolle

Maßnahmen zur Zutrittskontrolle gewährleisten, dass Unbefugte nicht physisch auf die Geräte zur Datenverarbeitung zugreifen können.

Die Geräte (Server, Switches, Festplatten, …) werden in deutschen Rechenzentren von Dritten betrieben.

Jedes diese Rechenzentren gewährleistet die folgende Maßnahmen:

  • Videoüberwachung (Außengelände, Türen und Regalgänge)
  • Zwei-Faktor-Authentifizierung für den Zutritt (z.B. persönliches Passwort und Transponderkarte) mit Protokollierung des Zutritts.
  • 24-Stunden Wachdienste mit verknüpftem Alarmsystem
  • separate physikalische Sicherheitszonen für
    • allgemeine Bereiche
    • Rechenzentrums-Infrastruktur und
    • Kunden zugängliche Bereiche
  • Separat verriegelte Racks mit der Möglichkeit, benutzerdefinierte Schlösser und Schlüssel zu verwenden.
Zugangskontrolle

Auf die Maschinen kann zu Verwaltungszwecken auf verschiedene Arten zugegriffen werden: SSH, Web-Interfaces etc. Der Zugang zu Verwaltungszwecken verwendet ausschließlich verschlüsselte Kommunikationskanäle.

Die Identifizierung und Autorisierung von Kundenanwendungen, die nicht von der Cusy-Infrastruktur verwaltet werden, fallen nicht unter die Sicherheitsverantwortung von Cusy. Unsere Kunden sind verpflichtet, die Sicherheit ihrer Anwendungen selbst zu gewährleisten.

Die Benutzerkennung muss mit persönlichen Anmeldedaten durchgeführt werden, damit Aktionen auf eine einzelne Person zurückverfolgt werden können. So ist die gemeinsame Nutzung von Anmeldedaten mit einer anderen Person verboten. Anmeldedaten können je nach Anwendung entweder ein Benutzername und ein kryptografisches Verfahren (z.B. ein asymmetrisches Verschlüsselungsverfahren) oder ein Passwort sein.

Benutzer mit einem Cusy-Account sind verpflichtet, ihr Passwort sicher zu verwalten: Unerlaubter physischer oder logischer Zugriff auf Objekte, die potenziell Passwörter speichern können, dürfen nicht zu kompromittierten Passwörtern führen. Beispiele sind:

  • Home-Verzeichnis auf einem Laptop,
  • Passwort-Manager,
  • Backups,
  • USB-Sticks,
  • Smartphones.

Alle Maschinen verfügen über Root-Logins für den Notfall, die nur von Administratoren der Maschinen verwendet werden dürfen, wenn die übliche Benutzerauthentifizierung nicht korrekt funktioniert. Die Verwendung des Root-Logins muss dokumentiert werden.

Alle privilegierten Aktionen müssen sicher protokolliert werden. SSH-Anmeldungen müssen mit SSH-Schlüsseln durchgeführt werden. Erfolgreiche SSH-Anmeldungen an Maschinen sind protokolliert, erfolglose SSH-Anmeldeversuche jedoch nicht.

Zugriffskontrolle

Cusy implementiert ein Berechtigungskonzept, um Aufgaben zur Anwendungsadministration und -entwicklung von Aufgaben zur Wartung von Infrastruktur- und Plattform mit privilegierten administrativen zugriffen zu trennen.

Privilegierter administrativer Zugang wird in der Regel nicht an Kunden gewährt. In Fällen, in denen eine andere Person, die kein Administrator ist, benötigt wird, um ein Problem zu lösen, muss eine gemeinsame Sitzung zwischen einem Administrator und der anderen Person eingerichtet werden (z.B. mit Screen).

Technisch gibt es drei Varianten, um privilegierte Zugriffe durchzuführen:

  • Verwenden eines Benutzerkontos, dem die Berechtigungen login und wheel für ein bestimmtes Projekt erteilt wurden. Dies erfordert, dass sich der Benutzer mit seinem SSH-Schlüssel anmeldet und zusätzlich sein Passwort für den Zugriff auf privilegierte Operationen eingibt.
  • Verwenden eines Benutzerkontos, das Mitglied der globalen Gruppe von Cusy-Administratoren, die Zugriff auf alle Maschinen innerhalb der Cusy-Infrastruktur gewährt.
  • Root-Logins für den Notfall (s.o. in Zugangskontrolle).

Autorisierter und unberechtigter Zugriff auf privilegierte Operationen wird protokolliert.

Cusy unterhält eine Reihe von Berechtigungen, die es Benutzern ermöglichen, ihre Anwendungen zu warten und andere Aufgaben auszuführen, wie z.B. den Zugriff auf Service-Accounts oder Rechte zur Verwaltung von Datenbanken. Berechtigungen werden einzelnen Kunden nach Kundenwunsch erteilt.

Weitergabekontrolle

Die Maßnahmen zur Weitergabekontrolle sorgen dafür, dass Daten, die gespeichert oder übertragen werden, vor unbefugtem Lesen, Kopieren, Ändern oder Löschen geschützt sind. Zudem muss überprüft werden können, wohin die personenbezogenen Daten übermittelt wurden.

Alle personenbezogenen Daten, die an Maschinen von Cusy übergeben werden, müssen einen der folgenden authentifizierten und verschlüsselten Kommunikationskanäle verwenden:

  • Anwendungsdaten (z.B. Datenbankinhalte) werden mit dem Standard-SCP/SFTP-Protokoll von oder an den Kunden übertragen.
  • Persistente Daten werden auf Storage-Servern gespeichert. Der Storage-Traffic wird zwar aus Gründen der Performance nicht verschlüsselt, aber die Storage-Server sind über ein privates Netzwerk mit den Anwendungsservern verbunden.
  • Backups werden in einem verschlüsselten Kommunikationskanal auf Backup-Server übertragen.
  • Zusätzlich zu den Anwendungsdaten kann ein System zur Laufzeit Daten erzeugen, die sensible Informationen enthalten, z. B. Protokolldateien. Protokolldateien verbleiben in der Regel nicht auf der Maschine, auf der sie generiert wurden, sondern werden über einen verschlüsselten Kanal auf einen zentralen Log-Server übertragen. Nur Cusy-Administratoren haben Zugriff auf diesen zentralen Log-Server.
Eingabekontrolle

Die Maßnahmen zur Eingabekontrolle gewährleisten, dass die Eingabe, Änderung und Löschung von Daten protokolliert werden.

Die Sicherheit der Dateneingabe, Änderung und Löschung ist in der Regel Teil der Kundenanwendung. Daher muss der Kunde selbst sicherstellen, dass die Dateneingabe, Löschung und Beseitigung entsprechend den geltenden Datenschutzgesetzen angemessen vorgenommen werden.

Bei der Durchführung von Wartungsarbeiten kann es jedoch erforderlich sein, dass Administratoren Daten eingeben, ändern oder löschen müssen, um den fortlaufenden Betrieb des Gesamtsystems zu gewährleisten. Dies geschieht nur, nachdem die betroffenen Kunden von uns über den Service Desk informiert wurden und eine explizite Freigabe erhalten haben.

Log-Dateien werden von der Cusy-Infrastruktur automatisch mit sinnvollen Aufbewahrungszeiten rotiert.

Auftragskontrolle

Maßnahmen zur Auftragskontrolle sollen sicherstellen, dass Daten nur nach Beauftragung durch den Kunden verarbeitet werden.

Cusy stellt sicher, dass alle von den Administratoren ausgeführten Maßnahmen durch einen Auftrag mit den Kunden abgedeckt sind. Dies kann auf Basis von Wartungs- oder Supportaufträgen geschehen.

Individuelle Änderungswünsche müssen ein Ticket im Cusy- Servicedesk haben.

Verfügbarkeitskontrolle

Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust geschützt durch

  • redundante Hardware und Virtualisierung;
  • Backup-Services;
  • Notfallpläne, die detailliert Fehlerszenarios, Vorsichtsmaßnahmen und Verfügbarkeitsmessungen beschreiben.
Trennungskontrolle

Zu unterschiedlichen Zwecken erhobene Daten werden getrennt verarbeitet:

  • Um Daten von verschiedenen Kunden zu trennen, werden diese sowohl durch virtuelle Maschinen, virtuelle Netzwerke wie auch SAN getrennt. Dies sorgt dafür, dass Kunden nur auf die Daten zugreifen können, die ihnen zugeordnet sind. Innerhalb einer virtuellen Maschine ist der Zugriff auf verschiedene Dateien und Prozesse mit Hilfe von Standard-UNIX Berechtigungen möglich.
  • Maschinen (sowohl virtuelle wie auch physische) werden in zwei getrennten Access-Rings separiert:
    • Ring 0-Maschinen führen Infrastrukturaufgaben durch. Sie verarbeiten Daten mehrerer Kunden. Auf solchen Maschinen sind nur administrative Zugriffe erlaubt. Beispiele sind VM-Hosts und Storage-Server.
    • Ring 1-Maschinen verarbeiten Daten für einen bestimmten Kunden und sind für Benutzer zugänglich, die diesem Kunden zugeordnet sind. Beispiele sind Kunden-VMs.
  • Alle Ressourcen, die logisch zusammengehören (z.B. VMs, Storages etc.) werden in Projekte gebündelt, die sich dieselben Benutzerkonten und Berechtigungen teilen