Datensicherheit aus der Cloud

„Wir haben alles Daten bei uns lokal gespeichert, nur das ist wirklich sicher“.

Solche Sätze hören wir oft. So plausibel es klingt, so falsch ist es oftmals: Unternehmen betreiben eine Vielzahl von IT-Systemen. Um optimale Sicherheit zu gewährleisten, müssen alle System permanent auf dem aktuellsten Sicherheitsstand gehalten werden. Außerdem müssen Angriffe durch Social Engineering und Verschlüsselungstrojaner sicher verhindert werden.

Dass immer wieder Sicherheitslücken offengelegt werden und Daten durch Erpressungstrojaner verloren gehen, zeigt, dass mittelständische Unternehmen oft nicht die notwendigen Ressourcen bereitstellen können. Eigentlich ist das auch klar, denn Ihr Kerngeschäft ist ein anderes.

Azure Cloud von Microsoft

Wir sind überzeugt, dass es eine gute Alternative ist, die eigenen Daten einem Dienstleister anzuvertrauen. Das Geschäftsmodell dieses Dienstleisters beruht auf der Gewährleistung von Sicherheit. Wir betreiben daher humbee aktuell in der Azure Cloud von Microsoft. Dort kümmern sich die weltweit besten Experten um den sicheren Betrieb der Rechenzentren.

Wo liegen meine Daten?

Wir nutzen die Azure Plattform von Microsoft mit den Rechenzentren in den Niederlanden und als Backup in Irland. Sie bleiben im EU Raum und unterliegen der DSGVO.

Details zu den Sicherheitsrichtlinien von Microsoft, liefert die Microsoft Online Service Terms
in verschiedenen Sprachen. Die von humbee verwendeten Dienste sind in diesem Dokument unter dem Oberbegriff „Microsoft Azure Core Services“ subsummiert. Einen zusammenfassenden Überblick erhalten Sie in dem Dokument „Windows Azure Privacy Overview.“

Welchen Standards unterliegen die Rechenzentren?

Die genannten Rechenzentren werden kontinuierlich über interne und externe Audits geprüft und zertifiziert. Für Azure werden diese Zertifikate erfüllt. Nachfolgend ein Auszug:

Hervorzuheben ist z.B. das PCI-DSS Zertifikat zur sicheren Ablage von Kreditkartendaten und HITRUST für die Speicherung von Gesundheitsdaten. Die Microsoft Azure Plattform ist Vorreiter bei Anzahl und Umfang der Zertifizierungen.

Wie werden die Daten übertragen?

Alle Netzwerkverbindungen innerhalb und außerhalb der Rechenzentren erfolgen grundsätzlich verschlüsselt. In Ihrem Browser erkennen Sie den Zugriff via HTTPS (d.h. SSL/TLS Verschlüsselungsprotokoll) am grünen Zertifikatssymbol.

Die Qualität der SSL Verschlüsselung wird regelmäßig auf die Einhaltung der aktuellen Sicherheitsempfehlungen hin überprüft.

Wie wird mein Benutzerkonto geschützt?

Eine Anmeldung an das humbee-System ist nur mit der Kenntnis über eine E-Mail-Adresse in Verbindung mit einem Passwort möglich. Ihr hinterlegtes Passwort wird dabei nicht im
Klartext, sondern in Form eines sogenannten Hashwertes gespeichert. Mit Hilfe des Hashwertes kann nur geprüft werden, ob das zur Anmeldung übergebene Passwort zu dem Hashwert passt.

Das verwendete Hashwert Berechnungsverfahren greift auf etablierte kryptographische Verfahren und Softwarekomponenten zu (HMAC-SHA1, 128-bit Salt, 256-bit Subkey, 1000 Wiederholungen).

Versucht sich jemand an ein Konto mit ungültigem Passwort anzumelden, so werden diese Fehlversuche festgehalten und ab dem zehnten Fehlversuch für 30 Minuten gesperrt. Dies verhindert sogenannte Brute-Force-Attacken auf Ihr Konto.

Passwortregeln führen dazu, dass nicht einfachste, leicht zu erratende Passwörter verwendet werden dürfen (wie z.B. „geheim“). So sind sowohl Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen und eine Mindestlänge von sechs Zeichen Pflicht.

Wie werden die Daten gesichert?

Die Bewegungsdaten (wie Vorgänge, Informationen, Aufgaben, Metadaten zu Dokumenten) werden in einer Instanz der Microsoft Cosmos DB abgelegt. Diese Datenbank ist hochverfügbar ausgelegt und speichert die Daten in mehrfachen Kopien auf unterschiedlichen Festplatten (Replica
Sets). Von dem aktuellen Datenbestand werden in etwa alle vier Stunden Vollbackups angelegt. Die letzten beiden werden jeweils beibehalten, sodass bei unbeabsichtigter Löschung aus einem Zeitfenster der letzten 8 Stunden. Bei Löschung der kompletten Datenbank oder einer sogenannten Kollektion, werden Backups für 30 Tage aufbewahrt.

Die Komplettbackups werden nicht nur in dem Rechenzentrum in den Niederlanden gespeichert, sondern zusätzlich im Rechenzentrum in Irland hinterlegt. Im Falle eines katastrophalen Ereignisses,
dass ein Rechenzentrum ausfällt, wird auf das andere automatisch geschwenkt.

Einen technischen Hintergrund liefert dieses Dokument.

Wie werden meine Dokumente gesichert?

Gespeichert werden Dateien, die Sie auf die humbee Plattform hochgeladen haben, mit insgesamt sechs Kopien. Drei Kopien liegen im niederländischen Rechenzentrum und drei weitere im
irischen. Im Falle eines Katastrophenfalls wird der primäre Zugriff über die Niederlande nach Irland geschwenkt.

Bei der Speicherung der Dateien erfolgt eine Verschlüsselung nach dem AES-256 Verfahren, einem der stärksten verfügbaren Blockchiffren konform zum FIPS 140-2 Standard und ähnelt der BitLocker-Verschlüsselung unter Windows.

Wer hat Zugriff auf diese Daten?

Für den Betrieb der Plattform haben zwei Mitarbeiter der humbee solutions GmbH Zugriff auf das Azure Service Portal und können auf die einzelnen genutzten Dienste administrativ zugreifen. Dieser
Zugang ist über eine Mehrwege-Authentifizierung geschützt.

Jeder Datenzugriff eines Anwenders oder weiterer Mitarbeiter der humbee solutions GmbH erfolgt über die Softwarekomponenten der humbee solutions GmbH, die Zugriffe nur anhand der
Berechtigungsregeln ermöglichen.

Wann werden die Daten gelöscht?

Für Bewegungsdaten wird der Löschauftrag direkt an die Microsoft Services weitergegeben. Die direkte Abrufbarkeit endet sofort. Die Daten sind endgültig gelöscht, wenn alle Sicherungen ebenfalls vernichtet wurden. Dies ist in der Regel nach 12 Stunden der Fall.

Auch bei Dokumenten wird die beauftragte Löschung direkt und endgültig vorgenommen. Die verschiedenen Replikas sind innerhalb von Minuten nicht mehr existent und nicht wiederherstellbar.