Datenschutz und Sicherheit
==========================
Lange vor der NSA-Affäre beschäftigten wir uns schon mit der Erhöhung von
Datenschutz und -sicherheit von Web-Anwendungen. Hierzu luden wir bereits im
August 2011 unabhängige Experten ein um mit uns gemeinsam Maßnahmen für ein. dem
Bundesdatenschutzgesetz (BDSG) konformen, Web-Hosting zu erarbeiten [#]_.
Seitdem arbeiten wir kontinuierlich an der Verbesserung der
Informationssicherheit. Hierfür erstellen wir ein :abbr:`ISMS
(Informationssicherheits-Managementsystem)`, das nach der ISO 27000-Normenreihe
zertifiziert wird.
Daher sind wir sehr glücklich, dass wir nun auch das Vertrauen der `Gesellschaft
für Datenschutz und Datensicherheit `_ gewinnen konnten.
.. Aber auch Sie können von unseren Services profitieren. So sind unsere Services
gut geschützt gegen:
* `Elementare Gefährdungen
`_
* `Höhere Gewalt
`_
* `Organisatorische Mängel
`_
* `Menschliche Fehlhandlungen
`_
* `Technisches Versagen
`_
* `Vorsätzliche Handlungen
`_
Damals wie heute orientieren wir uns im Wesentlichen an den in `Anlage zu § 9
Satz 1`_ beschriebenen Maßnahmen zum Schutz personenbezogener Daten:
.. _`Anlage zu § 9 Satz 1`: http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html
Zutrittskontrolle
-----------------
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Das Hosting erfolgt über die `Hostsharing eG `_. Deren Server
sind im Alboin-Kontor in einem eigenen Cage untergebracht, für den Vor-Ort-
Service nutzt die Hostsharing eG die Dienste der `Sinma GmbH
`_. Die Zutrittskontrolle zum Rechenzentrum erfolgt über
die folgenden Authentifizierungssysteme:
* Zugangskarte
* PIN
* Videoüberwachung
* Cage-Schließanlage
* Rack-Schließanlage
Zugangskontrolle
----------------
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt
werden können.
Um dies zu gewährleisten, wird ein breites Spektrum an Maßnahmen getroffen. Im
Einzelnen:
Zugangsrechner
~~~~~~~~~~~~~~
* Die Festplatten der Zugangsrechner sind verschlüsselt
* Die darauf befindlichen SSH-Schlüssel sind zusätzlich mit einer Passphrase
geschützt
Passwortverfahren
~~~~~~~~~~~~~~~~~
Service-User
::::::::::::
* Die Nutzer-Identifikation erfolgt ausschließlich über persönliche Nachweise
(Credentials) sodass Aktionen immer auf eine bestimmte Person zurückgeführt
werden können
* Geteilte Berechtigungen sind nicht zulässig
* SSH-Anmeldungen erfolgen ausschließlich mittels SSH-Keys
* Erfolgreiche SSH-Logins werden protokolliert
* Wechsel in Service-User mit ``sudo``
Hosts
:::::
#. Reguläre Zugänge
* VPN-Zugang ausschließlich für Hostmaster der Hostsharing eG
* Personenbezogener ssh-Zugang mit SSH-Key
* ``sudo`` mit persönlichem Passwort
* Zugriffe werden protokolliert
#. Zugänge im Notfall
* via Remote Access Cards
* VPN-Zugang
* Personenbezogener Login mit persönlichem Passwort
* Login mit ``root``-Passwort via RAC-Konsole
* Zugriffe werden protokolliert und dokumentiert
* via Vor-Ort-Zugriff
* Login mit ``root``-Passwort
* Zugriffe werden protokolliert und dokumentiert
#. Web services
Web services zur Auftragsdatenverarbeitung wie `JIRA
`_,
`Confluence `_, `Jenkins
`_ und `Sentry
`_ versenden ausschließlich an Mailboxen
der Hostsharing eG. Damit kann gewährleistet werden, dass der Transport mit
``TLS`` verschlüsselt wird. Der Abruf der Mails erfolgt ausschließlich mit
``TLS``.
#. Netzwerke
Eine bessere Zugangskontrolle im Netzwerk wird gewährleistet durch die
Einrichtung verschiedener physikalisch getrennter Netze oder VLANs, die durch
eine Firewall im Gateway getrennt werden. Dabei werden die Netze im
Wesentlichen danach unterschieden, welcher Traffic in ihnen zu erwarten ist:
Frontend-Netzwerk
physikalisch getrenntes Netz für allgemeine Anfragen
Server-Netzwerk
für die Kommunikation der Anwendungen untereinander
Speichernetzwerk
Punkt-zu-Punkt-Verbindung zur Replikation
Die Festplatteninhalte werden mithilfe von `DRBD `_ in
Echtzeit auf ein Standby-System (`RAID 1
`_
über das Netzwerk) repliziert.
Dies soll sicherstellen, dass im Fall eines Hardwareschadens der Betrieb mit
allen persistent gespeicherten Daten unverzüglich fortgesetzt werden kann,
ohne dass durch das Einspielen des Backups Datenänderungen, die sich in der
Zwischenzeit ergeben haben – etwa eingegangene E-Mails oder
Datenbanktransaktionen – verloren gehen.
Backup-Netzwerk
SSH-Tunnel zum `interxion
`_-
Rechenzentrum in Frankfurt
Management-Netzwerk
physikalisch getrenntes Netz an dem die Hosts, die aktiven
Netzwerkkomponenten und die Remote-Access-Karten der Hosts angeschlossen
sind
Zugriffskontrolle
-----------------
Es ist zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer
Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass
personenbezogene Daten bei der Verarbeitung, Nutzung und nach der
Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden
können.
* Wir unterscheiden zwischen Aufgaben zur Instandhaltung der Anwendungen und
privilegierten Aufgaben zur Aktualisierung und Konfiguration des
Betriebssystems.
* Benötigt ein Anwendungsentwickler zur Lösung eines Problems privilegierten
Zugang, so erfolgt dies in einer Multiuser-Session mit `GNU Screen
`_ oder `TeamViewer
`_ zusammen mit einem Administrator.
* Logs
* sie werden nicht per Mail verschickt
* Logs der Anwendungen werden im Server-Netzwerk an den Monitoring-Server
übertragen
* Systemlogs werden über ``TLS``-Verbindungen an die internen und externen
Logging-Sever übertragen
Weitergabekontrolle
-------------------
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen
Übertragung oder während ihres Transports oder ihrer Speicherung auf
Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden
können, und dass überprüft und festgestellt werden kann, an welche Stellen
eine Übermittlung personenbezogener Daten durch Einrichtungen zur
Datenübertragung vorgesehen ist.
Alle personenbezogenen Daten werden ausschließlich über authentifizierte und
verschlüsselte Kommunikationskanäle übertragen. Hierzu gehören auch
* Anwendungsdaten, die von oder zu einem Nutzer per ``SFTP``/``SCP``
transferiert werden
* der Transfer persistenter Daten, die auf einem Backup-Server gespeichert sind
* Log-Dateien
* werden zu einem zentralen Log-Server im Service-Netz übertragen
* werden nach der Log-Retention-Period entfernt
Eingabekontrolle
----------------
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden
kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt worden sind (Nr. 5 der Anlage zu § 9
BDSG).
* Die Eingabe als ``root``-Nutzer wird mit `ttyrec `_
protokolliert
* JIRA protokolliert Änderungen an den Aufgaben in sog. *Work-Logs*
* Änderungen an den Konfigurationsdateien werden in git-Repositories
protokolliert
Auftragskontrolle
-----------------
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag
verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers
verarbeitet werden können.
* Alle Aufgaben werden in der Auftragsverwaltung JIRA festgehalten
* Für die Verarbeitung personenbezogene Daten ist eine Weisung des Auftraggebers
erforderlich
Verfügbarkeitskontrolle
-----------------------
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige
Zerstörung oder Verlust geschützt sind.
Backups
* täglich
* Speicherung in entferntem Rechenzentrum
* Produktivsysteme haben auf gesicherte Daten ausschließlich Lesezugriff
* Notfallpläne, die Ausfallszenarien, Vorsorgemaßnahmen und Maßnahmen zur
Beseitigung beschreiben
Trennungskontrolle
------------------
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten
getrennt verarbeitet werden können.
* Die zu unterschiedlichen Zwecken erhobenen Daten werden getrennt verarbeitet
* Verschiedene Unix-User separieren die Verarbeitung der Daten
* Verschiedene Netzwerke trennen die Übermittlung von Daten
----
.. [#] `Sicherheit und Datenschutz bei Web-Anwendungen `_