Datenschutz und Sicherheit

Lange vor der NSA-Affäre beschäftigten wir uns schon mit der Erhöhung von Datenschutz und -sicherheit von Web-Anwendungen. Hierzu luden wir bereits im August 2011 unabhängige Experten ein um mit uns gemeinsam Maßnahmen für ein. dem Bundesdatenschutzgesetz (BDSG) konformen, Web-Hosting zu erarbeiten [1].

Seitdem arbeiten wir kontinuierlich an der Verbesserung der Informationssicherheit. Hierfür erstellen wir ein ISMS, das nach der ISO 27000-Normenreihe zertifiziert wird.

Daher sind wir sehr glücklich, dass wir nun auch das Vertrauen der Gesellschaft für Datenschutz und Datensicherheit gewinnen konnten.

Damals wie heute orientieren wir uns im Wesentlichen an den in Anlage zu § 9 Satz 1 beschriebenen Maßnahmen zum Schutz personenbezogener Daten:

Zutrittskontrolle

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Das Hosting erfolgt über die Hostsharing eG. Deren Server sind im Alboin-Kontor in einem eigenen Cage untergebracht, für den Vor-Ort- Service nutzt die Hostsharing eG die Dienste der Sinma GmbH. Die Zutrittskontrolle zum Rechenzentrum erfolgt über die folgenden Authentifizierungs­systeme:

• Zugangskarte

• PIN

• Videoüberwachung

• Cage-Schließanlage

• Rack-Schließanlage

Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Um dies zu gewährleisten, wird ein breites Spektrum an Maßnahmen getroffen. Im Einzelnen:

Zugangsrechner

• Die Festplatten der Zugangsrechner sind verschlüsselt

• Die darauf befindlichen SSH-Schlüssel sind zusätzlich mit einer Passphrase geschützt

Passwortverfahren

Service-User

• Die Nutzer-Identifikation erfolgt ausschließlich über persönliche Nachweise (Credentials) sodass Aktionen immer auf eine bestimmte Person zurückgeführt werden können

• Geteilte Berechtigungen sind nicht zulässig

• SSH-Anmeldungen erfolgen ausschließlich mittels SSH-Keys

• Erfolgreiche SSH-Logins werden protokolliert

• Wechsel in Service-User mit sudo

Hosts

1. Reguläre Zugänge

   • VPN-Zugang ausschließlich für Hostmaster der Hostsharing eG

   • Personenbezogener ssh-Zugang mit SSH-Key

   • sudo mit persönlichem Passwort

   • Zugriffe werden protokolliert

2. Zugänge im Notfall

   • via Remote Access Cards

     • VPN-Zugang

     • Personenbezogener Login mit persönlichem Passwort

     • Login mit root-Passwort via RAC-Konsole

     • Zugriffe werden protokolliert und dokumentiert

   • via Vor-Ort-Zugriff

     • Login mit root-Passwort

     • Zugriffe werden protokolliert und dokumentiert

3. Web services

   Web services zur Auftragsdatenverarbeitung wie JIRA, Confluence, Jenkins und Sentry versenden ausschließlich an Mailboxen der Hostsharing eG. Damit kann gewährleistet werden, dass der Transport mit TLS verschlüsselt wird. Der Abruf der Mails erfolgt ausschließlich mit TLS.

4. Netzwerke

   Eine bessere Zugangskontrolle im Netzwerk wird gewährleistet durch die Einrichtung verschiedener physikalisch getrennter Netze oder VLANs, die durch eine Firewall im Gateway getrennt werden. Dabei werden die Netze im Wesentlichen danach unterschieden, welcher Traffic in ihnen zu erwarten ist:

   Frontend-Netzwerk

   physikalisch getrenntes Netz für allgemeine Anfragen

   Server-Netzwerk

   für die Kommunikation der Anwendungen untereinander

   Speichernetzwerk

   Punkt-zu-Punkt-Verbindung zur Replikation

   Die Festplatteninhalte werden mithilfe von DRBD in Echtzeit auf ein Standby-System (RAID 1 über das Netzwerk) repliziert.

   Dies soll sicherstellen, dass im Fall eines Hardwareschadens der Betrieb mit allen persistent gespeicherten Daten unverzüglich fortgesetzt werden kann, ohne dass durch das Einspielen des Backups Datenänderungen, die sich in der Zwischenzeit ergeben haben – etwa eingegangene E-Mails oder Datenbanktransaktionen – verloren gehen.

   Backup-Netzwerk

   SSH-Tunnel zum interxion- Rechenzentrum in Frankfurt

   Management-Netzwerk

   physikalisch getrenntes Netz an dem die Hosts, die aktiven Netzwerkkomponenten und die Remote-Access-Karten der Hosts angeschlossen sind

Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Wir unterscheiden zwischen Aufgaben zur Instandhaltung der Anwendungen und privilegierten Aufgaben zur Aktualisierung und Konfiguration des Betriebssystems.

• Benötigt ein Anwendungsentwickler zur Lösung eines Problems privilegierten Zugang, so erfolgt dies in einer Multiuser-Session mit GNU Screen oder TeamViewer zusammen mit einem Administrator.

• Logs

  • sie werden nicht per Mail verschickt

  • Logs der Anwendungen werden im Server-Netzwerk an den Monitoring-Server übertragen

  • Systemlogs werden über TLS-Verbindungen an die internen und externen Logging-Sever übertragen

Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Alle personenbezogenen Daten werden ausschließlich über authentifizierte und verschlüsselte Kommunikationskanäle übertragen. Hierzu gehören auch

• Anwendungsdaten, die von oder zu einem Nutzer per SFTP/SCP transferiert werden

• der Transfer persistenter Daten, die auf einem Backup-Server gespeichert sind

• Log-Dateien

  • werden zu einem zentralen Log-Server im Service-Netz übertragen

  • werden nach der Log-Retention-Period entfernt

Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Nr. 5 der Anlage zu § 9 BDSG).

• Die Eingabe als root-Nutzer wird mit ttyrec protokolliert

• JIRA protokolliert Änderungen an den Aufgaben in sog. Work-Logs

• Änderungen an den Konfigurationsdateien werden in git-Repositories protokolliert

Auftragskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

• Alle Aufgaben werden in der Auftragsverwaltung JIRA festgehalten

• Für die Verarbeitung personenbezogene Daten ist eine Weisung des Auftraggebers erforderlich

Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Backups

• täglich

• Speicherung in entferntem Rechenzentrum

• Produktivsysteme haben auf gesicherte Daten ausschließlich Lesezugriff

• Notfallpläne, die Ausfallszenarien, Vorsorgemaßnahmen und Maßnahmen zur Beseitigung beschreiben

Trennungskontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Die zu unterschiedlichen Zwecken erhobenen Daten werden getrennt verarbeitet

• Verschiedene Unix-User separieren die Verarbeitung der Daten

• Verschiedene Netzwerke trennen die Übermittlung von Daten

---

[1]

Sicherheit und Datenschutz bei Web-Anwendungen