Datensicherheit aus der Cloud
„Wir haben alle Daten bei uns lokal gespeichert, nur das ist wirklich sicher.“
Solche Sätze hören wir oft. So plausibel es klingt, so falsch ist es oftmals: Unternehmen betreiben eine Vielzahl von IT-Systemen. Um optimale Sicherheit zu gewährleisten, müssen alle System permanent auf dem aktuellsten Sicherheitsstand gehalten werden. Außerdem müssen Angriffe durch Social Engineering und Verschlüsselungstrojaner sicher verhindert werden.
Dass immer wieder Sicherheitslücken offengelegt werden und Daten durch Erpressungstrojaner verloren gehen, zeigt, dass mittelständische Unternehmen oft nicht die notwendigen Ressourcen bereitstellen können. Eigentlich ist das auch klar, denn Ihr Kerngeschäft ist ein anderes.
Mittlerweile setzen erste Unternehmen voll auf SaaS Anwendungen. Wir haben wichtige Punkte, die es zu beachten gilt, für Sie aufgelistet:
Azure Cloud von Microsoft
Wir sind überzeugt, dass es eine gute Alternative ist, die eigenen Daten einem Dienstleister anzuvertrauen. Das Geschäftsmodell dieses Dienstleisters beruht auf der Gewährleistung von Sicherheit. Wir betreiben daher humbee aktuell in der Azure Cloud von Microsoft. Dort kümmern sich die weltweit besten Experten um den sicheren Betrieb der Rechenzentren.
FAQ – Häufig gestellte Fragen zur Datensicherheit in der Cloud
Wo liegen meine Daten?
Wir nutzen die Azure Plattform von Microsoft mit den Rechenzentren in den Niederlanden und als Backup in Irland. Sie bleiben im EU Raum und unterliegen der DSGVO.
Details zu den Sicherheitsrichtlinien von Microsoft, liefert die Microsoft Online Service Terms in verschiedenen Sprachen. Die von humbee verwendeten Dienste sind in diesem Dokument unter dem Oberbegriff „Microsoft Azure Core Services“ subsummiert. Einen zusammenfassenden Überblick erhalten Sie in dem Dokument „Windows Azure Privacy Overview“.
Welchen Standards unterliegen die Rechenzentren?
Die genannten Rechenzentren werden kontinuierlich über interne und externe Audits geprüft und zertifiziert. Für Azure werden diese Zertifikate erfüllt. Nachfolgend ein Auszug:
- ISO 27001 https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-eu-model-clauses
- ISO 27018 https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-iso-27018
- FedRAM https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-fedramp
- FERPA https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-ferpa
- FDA CFR Title 21 https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-fda-cfr-title-21-part-11
- HIPAA / HITECH https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-hipaa-hitech
- PCI-DSS https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-pci-dss
- SOC 1 und SOC 2 Typ 2 Berichte https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-soc
Hervorzuheben ist z.B. das PCI-DSS Zertifikat zur sicheren Ablage von Kreditkartendaten und HITRUST für die Speicherung von Gesundheitsdaten. Die Microsoft Azure Plattform ist Vorreiter bei Anzahl und Umfang der Zertifizierungen.
Wie werden die Daten übertragen?
Alle Netzwerkverbindungen innerhalb und außerhalb der Rechenzentren erfolgen grundsätzlich verschlüsselt. In Ihrem Browser erkennen Sie den Zugriff via HTTPS (d.h. SSL/TLS Verschlüsselungsprotokoll) am grünen Zertifikatssymbol.
Die Qualität der SSL Verschlüsselung wird regelmäßig auf die Einhaltung der aktuellen Sicherheitsempfehlungen hin überprüft.
Wie wird mein Benutzerkonto geschützt?
Eine Anmeldung an das humbee-System ist nur mit der Kenntnis über eine E-Mail-Adresse in Verbindung mit einem Passwort möglich. Ihr hinterlegtes Passwort wird dabei nicht im Klartext, sondern in Form eines sogenannten Hashwertes gespeichert. Mit Hilfe des Hashwertes kann nur geprüft werden, ob das zur Anmeldung übergebene Passwort zu dem Hashwert passt.
Das verwendete Hashwert Berechnungsverfahren greift auf etablierte kryptographische Verfahren und Softwarekomponenten zu (HMAC-SHA1, 128-bit Salt, 256-bit Subkey, 1000 Wiederholungen).
Versucht sich jemand an ein Konto mit ungültigem Passwort anzumelden, so werden diese Fehlversuche festgehalten und ab dem zehnten Fehlversuch für 30 Minuten gesperrt. Dies verhindert sogenannte Brute-Force-Attacken auf Ihr Konto.
Passwortregeln führen dazu, dass nicht einfachste, leicht zu erratende Passwörter verwendet werden dürfen (wie z.B. „geheim“). So sind sowohl Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen und eine Mindestlänge von sechs Zeichen Pflicht.
Zusätzlich kann, zur weiteren Erhöhung der Sicherheit, für Nutzer eine 2-Faktor Authentisierung eingerichtet werden. Die meisten Menschen kennen diesen Sicherheitsmechanismus vom Online-Banking.
Wie werden die Daten gesichert?
Die Bewegungsdaten (wie Vorgänge, Informationen, Aufgaben, Metadaten zu Dokumenten) werden in einer Instanz der Microsoft Cosmos DB abgelegt. Diese Datenbank ist hochverfügbar ausgelegt und speichert die Daten in mehrfachen Kopien auf unterschiedlichen Festplatten (Replica Sets). Von dem aktuellen Datenbestand werden in etwa alle vier Stunden Vollbackups angelegt. Die letzten beiden werden jeweils beibehalten, sodass bei unbeabsichtigter Löschung aus einem Zeitfenster der letzten 8 Stunden. Bei Löschung der kompletten Datenbank oder einer sogenannten Kollektion, werden Backups für 30 Tage aufbewahrt.
Die Komplettbackups werden nicht nur in dem Rechenzentrum in den Niederlanden gespeichert, sondern zusätzlich im Rechenzentrum in Irland hinterlegt. Im Falle eines katastrophalen Ereignisses, dass ein Rechenzentrum ausfällt, wird auf das andere automatisch geschwenkt.
Einen technischen Hintergrund liefert dieses Dokument.
Wie werden meine Dokumente gesichert?
Gespeichert werden Dateien, die Sie auf die humbee Plattform hochgeladen haben, mit insgesamt sechs Kopien. Drei Kopien liegen im niederländischen Rechenzentrum und drei weitere im irischen. Im Falle eines Katastrophenfalls wird der primäre Zugriff über die Niederlande nach Irland geschwenkt.
Bei der Speicherung der Dateien erfolgt eine Verschlüsselung nach dem AES-256 Verfahren, einem der stärksten verfügbaren Blockchiffren konform zum FIPS 140-2 Standard und ähnelt der BitLocker-Verschlüsselung unter Windows.
Wer hat Zugriff auf diese Daten?
Für den Betrieb der Plattform haben zwei Mitarbeiter der humbee solutions GmbH Zugriff auf das Azure Service Portal und können auf die einzelnen genutzten Dienste administrativ zugreifen. Dieser Zugang ist über eine Mehrwege-Authentifizierung geschützt.
Jeder Datenzugriff eines Anwenders oder weiterer Mitarbeiter der humbee solutions GmbH erfolgt über die Softwarekomponenten der humbee solutions GmbH, die Zugriffe nur anhand der Berechtigungsregeln ermöglichen.
Wann werden die Daten gelöscht?
Für Bewegungsdaten wird der Löschauftrag direkt an die Microsoft Services weitergegeben. Die direkte Abrufbarkeit endet sofort. Die Daten sind endgültig gelöscht, wenn alle Sicherungen ebenfalls vernichtet wurden. Dies ist in der Regel nach 12 Stunden der Fall.
Auch bei Dokumenten wird die beauftragte Löschung direkt und endgültig vorgenommen. Die verschiedenen Replikas sind innerhalb von Minuten nicht mehr existent und nicht wiederherstellbar.
Datensicherheit
- Verschlüsselte Speicherung Ihrer Dokumente
- ISO zertifizierte Hochsicherheitsrechenzentren in Europa
- Nutzung konform mit EU-DSGVO
- Aufbewahrungsfristen gemäß §147 AO und §§ 238 und 257 HGB
- GoBD konforme Aufbewahrung