Informationssicherheit
Ganzheitliches Informationssicherheits- und Qualitätsmanagement
Sicherheit und Qualität sind für die Projektron GmbH von herausragender Bedeutung. Schließlich stellen eine sichere Softwareentwicklung sowie leistungsfähige Geschäftsprozesse den Kern unserer webbasierte Projektmanagementlösung und unseres Unternehmens dar. Deshalb legen wir Wert auf ein ganzheitliches Informationssicherheits- und Qualitätsmanagement. Hier erfahren Sie, welche Maßnahmen wir umgesetzt haben, um ein sicheres Umfeld zu schaffen und was wir für die Zukunft planen.
Organisatorische Maßnahmen
Wir streben ein hohes Niveau der Informationssicherheit im Unternehmen an. Über alle Unternehmensbereiche hinweg gelten für uns die allgemeinen Ziele der Informationssicherheit:
Vertraulichkeit Integrität Verfügbarkeit
Diese organisatorischen Maßnahmen setzen wir um
| SicherheitscheckProjektron BCS wird regelmäßigen auf Sicherheitslücken nach anerkannten Vorgehensmodellen wie dem OWASP Testing Guide geprüft. | | Projektron BCSZur Umsetzung des ISMS wurde in einem Projekt die hauseigene Software Projektron BCS entsprechend weiterentwickelt. | |
| ISMSMit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) wurde die Informationssicherheit organisatorisch im Unternehmen verankert und wichtige Informationssicherheitsprozesse wie das Risikomanagement etabliert. | | MitarbeiterschulungAlle Mitarbeiter werden zum Thema Informationssicherheit sensibilisiert und geschult. Diese Schulungen finden regelmäßig zur Auffrischung oder bei aktuellen Themen statt und auch neue Mitarbeiter werden direkt in ihrer Einarbeitung geschult. | |
| ExpertenteamIm Unternehmen wurde ein Expertenteam für die Sicherheit in der Entwicklung zusammengestellt, welches sich mit aktuellen Themen der IT-Sicherheit auseinandersetzt. | | NotfallhandbücherUm auf Sicherheitsvorfälle zügig zu reagieren und mögliche Schäden zu begrenzen, wurden Notfallversorgungskonzepte entwickelt und in Notfallhandbüchern festgehalten. | |
| WeiterbildungenDie Mitarbeiter erhalten bedarfsgerechte Weiterbildungen zur Sensibilisierung im Hinblick auf die Informationssicherheitsziele und Risiken. | | DSMSWir nutzen ein Datenschutzmanagementsystem (DSMS) nach der EU Datenschutzgrundverordnung (EU DSGVO). | |
| ISMS-Beauftragte und TeamBei Projektron wird aktiv an der Informationssicherheit und den damit verbundenen Prozessen gearbeitet. Ein Team kümmert sich fortlaufend um die Einhaltung der Sicherheitsziele. | | ISO 27001Die wichtigsten Kernprozesse wie die Produktentwicklung, der Support, die IT-Dienstleistungen und IT-Administration wurden nach dem Standard ISO 27001 durch den TÜV Süd zertifiziert. | |
| SystemauditsStrukturierte Sicherheitsbetrachtung aller IT-Services anhand von jährlichen Systemaudits mit Fokus auf Risikobetrachtung, Zugriffsrechten und Verschlüsselung. |
Produktentwicklung
Die Berücksichtigung der Informationssicherheit im Entwicklungsprozess von Projektron BCS ist grundlegend für die Erreichung der Informationssicherheitsziele der Projektron GmbH.
Diese Maßnahmen der Informationssicherheit setzen wir in der Produktentwickulung um
| Rollen- und RechtekonzeptEin kundenspezifisch anpassbares Rollen- und Rechtekonzept bietet die Voraussetzung für die Beschränkung des Daten- oder Informationszugriffs auf die berechtigte Person. | | PassworttresorFür Drittsysteme benötigte Passwörter können kryptografisch sicher in einem Passworttresor hinterlegt werden. | |
| Verschlüsselte VerbindungenZur sicheren Datenübertragung zwischen Projektron BCS und Benutzern oder Fremdsystemen ist eine verschlüsselte Kommunikation möglich (https, imaps, smtps). | | SQL-Injection, Cross Site Scripting & Cross Site Request ForgeryGegen diese Angriffstechniken ist Projektron BCS geschützt. | |
| Sichere PasswörterPasswörter werden in Projektron BCS über PBKDF2-Algorithmus mit Salt und Pepper gesichert. | | Richtlinien für PasswörterProjektron BCS unterstützt Richtlinien für Passwörter bezüglich Passwortkomplexität und Änderungshäufigkeit. | |
| Single-Sign-OnUnterstützung einer Authentifizierung über das Active Directory (LDAP/KERBEROS) oder OAuth 2.0 mit OpenID Connect. | | Brute Force AttackenSchutz der Benutzerkonten durch Wartezeit bei mehreren fehlgeschlagenen Login-Versuchen. Der Zugriff auf einzelne Konten kann gegebenenfalls nur für bestimmte IP-Adressen und IP-Bereiche erlaubt werden. | |
| 2-Faktor-AuthentisierungZusätzliche Absicherung der Anmeldung über ein nach dem TOTP-Verfahren generierten zweiten Faktor. | | Interne Richtlinie „Sichere Softwareentwicklung“Ziel ist es, Sicherheitsdefizite und Schwachstellen in der Entwicklung von Projektron BCS zu minimieren und angemessen auf solche zu reagieren, unter anderem durch Zuhilfenahme der OWASP Top 10 und SANS 25. | |
| PentestsIn Zusammenarbeit mit unseren Kunden werden regelmäßig Pentests durchgeführt. Die Ergebnisse dieser Tests fließen kontinuierlich in die Entwicklung und den Schutz von Projektron BCS ein. | | SANS 25Die SANS 25 führt die 25 gefährlichsten (und relevantesten) Schwachstellen in Software auf. Die Betrachtungen sind somit ganzheitlicher als der spezifische Blick der OWASP Top 10 auf Webanwendungen. | |
| Automatisiertes TestenProjektron BCS wird sowohl auf Funktionen als auch auf Benutzerfreundlichkeit getestet. Gängige Angriffsmuster können automatisiert getestet werden. | | OWASP Top 10Die OWASP (Open Web Application Security Project) Top 10 führt die zehn am meisten verbreiteten und wichtigsten Fehler bzw. Schwachstellen für Web-Anwendungen auf. |
Hosting / SAAS
Wir wissen, dass Ihnen ein sicheres System wichtig ist, gerade wenn Sie Projektron BCS bei uns oder unserem Dienstleister hosten. Daher haben wir verschiedene Maßnahmen ergriffen, um unser Hosting noch sicherer zu machen.
Diese Maßnahmen ergreifen wir für sicheres Hosting
| PentestUnser Hosting wird jährlich einem Pentest unterzogen. | | SSLBeim Hosting greifen Sie auf Projektron BCS über einen verschlüsselten Zugang mit SSL-Zertifikat zu. | |
| WartungsfensterEs gibt regelmäßige geplante Wartungsfenster zum Einspielen von Updates und Patches. Bei einer akuten Sicherheitslücke werden außerplanmäßige Updates durchgeführt, die zwei Stunden vorher angekündigt werden. | | FirewallEine zentralisierte Firewall mit strikten Filterregeln individuell pro Kunde schützt Sie vor Angriffen von außen. Eine Firewall für Webapplikationen kann auf Anfrage zur Verfügung gestellt werden. | |
| Getrennte DatenbankserverDie Kundendaten liegen auf getrennten Datenbankservern. Das ermöglicht eine bessere Performance und die Einrichtung individueller Schnittstellen. | | Automatisierte UpdatesDie virtuellen Maschinen sowie Projektron BCS werden automatisiert aktualisiert, damit Sie immer auf dem neusten und sichersten Stand sind. | |
| KVDUnsere Kunden sind automatisch an den Konfigurationsversionierungsdienst (KVD) angeschlossen. Das bedeutet, dass ihre Konfigurationen innerhalb eines SVN Repositorys verwaltet werden. | | HTTPS/SFTP/SSH & SCPAuf Ihre virtuelle Maschine greifen Sie generell nur über sichere Verbindungen zu (via HTTPS/SFTP/SSH) und erstellen so beispielsweise Backups oder Datenkopien (via SCP). | |
| VPN-TunnelDie virtuellen Maschinen sind nicht über das Internet erreichbar. Projektron greift auf diese nur über VPN-Tunnel zu. | | Backup und WiederherstellungDas Hosting bietet Backups und bei Bedarf eine schnelle Wiederherstellung. | |
| VerfügbarkeitWir garantieren die vereinbarte Verfügbarkeit, die permanent überwacht wird. | | WachschutzDas Rechenzentrum wird 24/7 von einem Wachschutz vor Ort betreut. | |
| Standort in DeutschlandDas Rechenzentrum steht in Deutschland und unterliegt hohen Sicherheitsstufen. Es gehört zur Tier IV Klasse mit redundanten ISP POP. | | ZugangskontrolleDas Rechenzentrum darf nur von den autorisierten mit der Aufgabenerfüllung betrauten Personen mit vorheriger Anmeldung betreten werden. | |
| ZertifiziertUnser Rechenzentrum und die sicherheitsrelevanten Bereiche von Projektron sind nach ISO 27001 zertifiziert. Das Rechenzentrum besitzt außerdem weitere Zertifikate: VdS ISO 9001 NSL und IS, DIN 14675 für BMA und DIN EN 50518. |
Kevin Botsch
Fachliches Produktmanagement BCS, Finanz Informatik Solutions Plus GmbH
"Als Beratungs-, Entwicklungs- und Integrationsdienstleister für Geschäftsanwendungen in der Finanzwirtschaft sind uns die Sicherheit einer Software und transparente Abläufe wichtig. Durch unser bisheriges Wachstum und die stetig wachsende Anwenderzahl sind auch Anwenderfreundlichkeit und eine intuitive Bedienung zu einem wichtigen Faktor geworden. Mit Projektron BCS haben wir ein System gefunden, das genau diesen Anforderungen entspricht. Darüber hinaus lässt sich BCS auch flexibel auf unsere Bedürfnisse anpassen und ermöglicht uns zahlreiche Prozessverbesserungen."
Support
Für die technische Unterstützung unserer Kunden arbeiten wir mit dem hauseigenen Supportportal. Dabei achten wir stets auf die Qualität und vor allem die Sicherheit im Umgang mit Informationen.
Unsere Maßnahmen für die Sicherheit im Umgang mit Informationen im Support
| Support portalDas Supportportal für Kunden dient dem sicheren Austausch von Informationen und dem Transfer von Daten. Die Kommunikation erfolgt über Tickets mit einem Ordner für den Datenaustausch. | | KVDDer Konfigurationsversionierungsdienst (KVD) ist ein zentraler Konfigurationsspeicher für Kunden und Projektron selbst. Die Konfigurationen werden dabei innerhalb eines SVN Repositorys verwaltet. | |
| ZugangsberechtigungDie Ansprechpartner des Kunden verfügen über einen personalisierten Zugang auf das Supportportal. | | FAQWir stellen sicherheitsrelevante Informationen für die Kunden regelmäßig innerhalb des Supportportals bereit. | |
| VerschlüsselungAuf das Supportportal kann nur über einen verschlüsselten Zugang zugegriffen werden. |
IT-Administration
Auch unserer internen IT-Administration ist die Informationssicherheit ein wichtiges Anliegen. Wir orientieren uns zur Absicherung der Systeme am Stand der Technik und sichern diese fortwährend weiter ab.
Unsere Maßnahmen für die Absicherung unserer Systeme in der IT-Administration
| Zentrale SoftwaredistributionAuf den Betriebsrechnern wird benötigte Software zentral ausgespielt und auf dem neusten Stand gehalten. | | MonitoringInterne Dienste werden überwacht, um die Verfügbarkeit zu gewährleisten und bei Problemen schnell reagieren zu können. | |
| Redundante NetzwerktechnikInternetleitung, Firewall und zentrale Switche sind redundant. | | KryptografieEmpfehlungen der Technischen Richtlinien des BSI (BSI TR-02102) werden jährlich geprüft. | |
| Interne ZertifizierungsstelleInterne Dienste werden über eine eigene Zertifizierungsstelle verschlüsselt. | | SVNInterne Versionierungsdienste sind thematisch getrennt und der Zugang wird über Personengruppen gesteuert. | |
| | VPNFür mobiles Arbeiten stehen den Mitarbeitern VPN Zugänge zur Verfügung. | ||
| Backup & WiederherstellungInterne Dienste werden täglich gesichert und können schnell auf den Stand der letzten Sicherung wiederhergestellt werden. Der Wiederherstellungsprozess wird halbjährlich getestet. | | Verschlüsselter DatentransferMöchten Mitarbeiter freigegebene Daten mit in das mobile Arbeiten nehmen, können sie dafür verschlüsselte USB-Sticks mit Zahlencode benutzen. |
Weitere Maßnahmen
Wir hören an dieser Stelle natürlich nicht auf, an uns und unseren Prozessen sowie Systemen zu arbeiten. Um stets auf die aktuellen Gefahren und Anforderungen vorbereitet zu sein, pflegen wir einen aktiven Erfahrungsaustausch mit unseren Kunden. Wir bauen außerdem unser Expertenteam weiter aus und lassen bestimmte Mitarbeiter als Spezialisten zum Thema Sicherheit schulen. Weitere Maßnahmen sind zur Zeit in Arbeit oder in nächster Zeit geplant:
| DatenschutzzertifikatMit dem DSMS wollen wir ein Zertifikat für den Datenschutz erhalten, einerseits für unser Unternehmen und andererseits für unser Produkt Projektron BCS. |
| ITILEinige Best Practices der IT Infrastructure Library (ITIL) haben wir bereits umgesetzt und planen weitere davon in unserem Unternehmen zu integrieren. |
