Skip to content

Generelle Security Richtlinien

Rechenzentren

  • 24x7x365 Erreichbarkeit und Zutritt
  • Redundante High-Speed Glasfaseranbindung
  • providerunabhängig
  • Hochverfügbare Stromanbindung (99,9%)
  • Redundante USV Anlage mit Batterie und Generator
  • Energieeffizientes, redundantes Klimakonzept
  • Brandfrühesterkennung und Brandlöschanlage
  • Überwachung durch Netzwerk-Management und Building-Management-System
  • Protokolliertes Zutritts-System
  • Zertifizierung nach ISO/IEC 27001
  • Green IT: umweltschonend und sparsam

Büro Infrastruktur + Mitarbeiter/innen

Die Kommunikation zwischen unseren Büroinfrastrukturen und Rechenzentren erfolgt ausschließlich über VPN-Verbindungen. Mitarbeiter/innen nutzen ebenfalls ausschließlich VPN-Verbindungen, Laptops von Techniker/innen sind voll verschlüsselt. Es gilt eine strenge Passwort-Policy wobei alle relevanten Systeme nicht mit Passwort-Schutz sondern ausschließlich über valide Keys/Zertifikate erreichbar sind.

Es werden generell keine unverschlüsselten Medien außerhalb der Rechenzentren verwendet. Unverschlüsselte Datenverbindungen sind nicht möglich (es kommt vor allem SSH im VPN zum Einsatz).

Es gibt Out-Of-House Backupserver die nicht im Rechenzentrum und geografisch getrennt betrieben werden. Diese Server haben ebenfalls verschlüsselte Dateisysteme (luks/crypt), die Datensicherung erfolgt via VPN/SSH. Das Selbe gilt für externe Monitoring-Server.

Alle Mitarbeiter/innen haben ein NDA unterzeichnet und sind zu Stillschweigen verpflichtet. Es finden regelmäßig Teambesprechungen zum Thema Security statt, aktuelle Sicherheitslücken, Social-Engineering und Vorfälle der Vergangenheit aber auch absehbare Bedrohungen der Zukunft sind dabei immer ein Thema. Fachliteratur zum Thema und Besuch von einschlägigen Veranstaltungen sind Pflicht.

Technische Infrastruktur

Alle unsere Server werden mit GNU/Linux in aktueller, gewarteter Version betrieben.

Das Netzwerk ist stark segmentiert und in unterschiedliche Sicherheits-Zonen unterteilt. So werden diverse LAN-Segmente, Backup-, Monitoring, Konfigurations-, Kunden-Server und Managed-Services unterschieden und entsprechend physisch getrennt geführt.

Wir verfügen über ein Patch-Management, Updates werden mindestens täglich eingespielt. Bei schweren Sicherheitslücken reagieren wir prompt. Alle Server sind außerdem durch IPS, Integrity Checker und das Monitoring überwacht.

Das Monitoring meldet hierbei auch “verdächtige” Aktivitäten (zb geografisch verteilte Logins auf den selben Account innerhalb kurz Zeit, öffnen von Netzwerkverbindungen die auf C&C hinweisen, usw usf..).

Server Daten werden statistisch erfasst und heuristisch ausgewertet um Trends oder Auffälligkeiten frühzeitig erkennen zu können.

Unsere Technik ist 24/7 erreichbar und greift bei Vorfällen prompt ein. Diese werden auch im Abuse-/und Incident Management erfasst und nach vorgefertigten Workflows abgehandelt.

Bei Incidents jeglicher Art (Spam, Einbruch in Systeme etc..) werden Accounts oder Server sofort gesperrt und bei nicht angemessener Reaktion des Kunden auch gekündigt. Wir betreiben eine offene Informationspolitik, dh. Kunden werden immer von sicherheitsrelevanten Ereignissen informiert.