Informationssicherheit

Ganzheitliches Informationssicherheits- und Qualitätsmanagement

Sicherheit und Qualität sind für die Projektron GmbH von herausragender Bedeutung. Schließlich stellen eine sichere Softwareentwicklung sowie leistungsfähige Geschäftsprozesse den Kern unserer webbasierte Projektmanagementlösung und unseres Unternehmens dar. Deshalb legen wir Wert auf ein ganzheitliches Informationssicherheits- und Qualitätsmanagement. Hier erfahren Sie, welche Maßnahmen wir umgesetzt haben, um ein sicheres Umfeld zu schaffen und was wir für die Zukunft planen.

Organisatorische Maßnahmen

Wir streben ein hohes Niveau der Informationssicherheit im Unternehmen an. Über alle Unternehmensbereiche hinweg gelten für uns die allgemeinen Ziele der Informationssicherheit:

 Vertraulichkeit             Integrität             Verfügbarkeit

Diese organisatorischen Maßnahmen setzen wir um

Sicherheitscheck

Projektron BCS wird regelmäßigen auf Sicherheitslücken nach anerkannten Vorgehensmodellen wie dem OWASP Testing Guide geprüft.
  		 

Projektron BCS

Zur Umsetzung des ISMS wurde in einem Projekt die hauseigene Software Projektron BCS entsprechend weiterentwickelt.

ISMS

Mit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) wurde die Informationssicherheit organisatorisch im Unternehmen verankert und wichtige Informationssicherheitsprozesse wie das Risikomanagement etabliert.
  		 

Mitarbeiterschulung

Alle Mitarbeiter werden zum Thema Informationssicherheit sensibilisiert und geschult. Diese Schulungen finden regelmäßig zur Auffrischung oder bei aktuellen Themen statt und auch neue Mitarbeiter werden direkt in ihrer Einarbeitung geschult.

Expertenteam

Im Unternehmen wurde ein Expertenteam für die Sicherheit in der Entwicklung zusammengestellt, welches sich mit aktuellen Themen der IT-Sicherheit auseinandersetzt.
  		 

Notfallhandbücher

Um auf Sicherheitsvorfälle zügig zu reagieren und mögliche Schäden zu begrenzen, wurden Notfallversorgungskonzepte entwickelt und in Notfallhandbüchern festgehalten.

Weiterbildungen

Die Mitarbeiter erhalten bedarfsgerechte Weiterbildungen zur Sensibilisierung im Hinblick auf die Informationssicherheitsziele und Risiken.
  		 

DSMS

Wir nutzen ein Datenschutzmanagementsystem (DSMS) nach der EU Datenschutzgrundverordnung (EU DSGVO).

ISMS-Beauftragte und Team

Bei Projektron wird aktiv an der Informationssicherheit und den damit verbundenen Prozessen gearbeitet. Ein Team kümmert sich fortlaufend um die Einhaltung der Sicherheitsziele.
  		 

ISO 27001

Die wichtigsten Kernprozesse wie die Produktentwicklung, der Support, die IT-Dienstleistungen und IT-Administration wurden nach dem Standard ISO 27001 durch den TÜV Süd zertifiziert.

Systemaudits

Strukturierte Sicherheitsbetrachtung aller IT-Services anhand von jährlichen Systemaudits mit Fokus auf Risikobetrachtung, Zugriffsrechten und Verschlüsselung.
  		   

  

Produktentwicklung

Die Berücksichtigung der Informationssicherheit im Entwicklungsprozess von Projektron BCS ist grundlegend für die Erreichung der Informationssicherheitsziele der Projektron GmbH.

Diese Maßnahmen der Informationssicherheit setzen wir in der Produktentwickulung um

Rollen- und Rechtekonzept

Ein kundenspezifisch anpassbares Rollen- und Rechtekonzept bietet die Voraussetzung für die Beschränkung des Daten- oder Informationszugriffs auf die berechtigte Person.
  		 

Passworttresor

Für Drittsysteme benötigte Passwörter können kryptografisch sicher in einem Passworttresor hinterlegt werden.

Verschlüsselte Verbindungen

Zur sicheren Datenübertragung zwischen Projektron BCS und Benutzern oder Fremdsystemen ist eine verschlüsselte Kommunikation möglich (https, imaps, smtps).
  		 

SQL-Injection, Cross Site Scripting & Cross Site Request Forgery

Gegen diese Angriffstechniken ist Projektron BCS geschützt.

Sichere Passwörter

Passwörter werden in Projektron BCS über PBKDF2-Algorithmus mit Salt und Pepper gesichert.
  		 

Richtlinien für Passwörter

Projektron BCS unterstützt Richtlinien für Passwörter bezüglich Passwortkomplexität und Änderungshäufigkeit.

Single-Sign-On

Unterstützung einer Authentifizierung über das Active Directory (LDAP/KERBEROS) oder OAuth 2.0 mit OpenID Connect.
  		 

Brute Force Attacken

Schutz der Benutzerkonten durch Wartezeit bei mehreren fehlgeschlagenen Login-Versuchen. Der Zugriff auf einzelne Konten kann gegebenenfalls nur für bestimmte IP-Adressen und IP-Bereiche erlaubt werden.

2-Faktor-Authentisierung

Zusätzliche Absicherung der Anmeldung über ein nach dem TOTP-Verfahren generierten zweiten Faktor.
  		 

Interne Richtlinie „Sichere Softwareentwicklung“

Ziel ist es, Sicherheitsdefizite und Schwachstellen in der Entwicklung von Projektron BCS zu minimieren und angemessen auf solche zu reagieren, unter anderem durch Zuhilfenahme der OWASP Top 10 und SANS 25.

Pentests

In Zusammenarbeit mit unseren Kunden werden regelmäßig Pentests durchgeführt. Die Ergebnisse dieser Tests fließen kontinuierlich in die Entwicklung und den Schutz von Projektron BCS ein. 		 

SANS 25

Die SANS 25 führt die 25 gefährlichsten (und relevantesten) Schwachstellen in Software auf. Die Betrachtungen sind somit ganzheitlicher als der spezifische Blick der OWASP Top 10 auf Webanwendungen.

Automatisiertes Testen

Projektron BCS wird sowohl auf Funktionen als auch auf Benutzerfreundlichkeit getestet. Gängige Angriffsmuster können automatisiert getestet werden. 		 

OWASP Top 10

Die OWASP (Open Web Application Security Project) Top 10 führt die zehn am meisten verbreiteten und wichtigsten Fehler bzw. Schwachstellen für Web-Anwendungen auf.

   

Hosting / SAAS

Wir wissen, dass Ihnen ein sicheres System wichtig ist, gerade wenn Sie Projektron BCS bei uns oder unserem Dienstleister hosten. Daher haben wir verschiedene Maßnahmen ergriffen, um unser Hosting noch sicherer zu machen.

Diese Maßnahmen ergreifen wir für sicheres Hosting

Pentest

Unser Hosting wird jährlich einem Pentest unterzogen.
  		 

SSL

Beim Hosting greifen Sie auf Projektron BCS über einen verschlüsselten Zugang mit SSL-Zertifikat zu.

Wartungsfenster

Es gibt regelmäßige geplante Wartungsfenster zum Einspielen von Updates und Patches. Bei einer akuten Sicherheitslücke werden außerplanmäßige Updates durchgeführt, die zwei Stunden vorher angekündigt werden.
  		 

Firewall

Eine zentralisierte Firewall mit strikten Filterregeln individuell pro Kunde schützt Sie vor Angriffen von außen. Eine Firewall für Webapplikationen kann auf Anfrage zur Verfügung gestellt werden.

Getrennte Datenbankserver

Die Kundendaten liegen auf getrennten Datenbankservern. Das ermöglicht eine bessere Performance und die Einrichtung individueller Schnittstellen.
  		 

Automatisierte Updates

Die virtuellen Maschinen sowie Projektron BCS werden automatisiert aktualisiert, damit Sie immer auf dem neusten und sichersten Stand sind.

KVD

Unsere Kunden sind automatisch an den Konfigurationsversionierungsdienst (KVD) angeschlossen. Das bedeutet, dass ihre Konfigurationen innerhalb eines SVN Repositorys verwaltet werden.
  		 

HTTPS/SFTP/SSH & SCP

Auf Ihre virtuelle Maschine greifen Sie generell nur über sichere Verbindungen zu (via HTTPS/SFTP/SSH) und erstellen so beispielsweise Backups oder Datenkopien (via SCP).

VPN-Tunnel

Die virtuellen Maschinen sind nicht über das Internet erreichbar. Projektron greift auf diese nur über VPN-Tunnel zu.
  		 

Backup und Wiederherstellung

Das Hosting bietet Backups und bei Bedarf eine schnelle Wiederherstellung.

Verfügbarkeit

Wir garantieren die vereinbarte Verfügbarkeit, die permanent überwacht wird.
  		 

Wachschutz

Das Rechenzentrum wird 24/7 von einem Wachschutz vor Ort betreut.

Standort in Deutschland

Das Rechenzentrum steht in Deutschland und unterliegt hohen Sicherheitsstufen. Es gehört zur Tier IV Klasse mit redundanten ISP POP.
  		 

Zugangskontrolle

Das Rechenzentrum darf nur von den autorisierten mit der Aufgabenerfüllung betrauten Personen mit vorheriger Anmeldung betreten werden.

Zertifiziert

Unser Rechenzentrum und die sicherheitsrelevanten Bereiche von Projektron sind nach ISO 27001 zertifiziert. Das Rechenzentrum besitzt außerdem weitere Zertifikate: VdS ISO 9001 NSL und IS, DIN 14675 für BMA und DIN EN 50518.
  		   

  

Thomas Hackenbuchner

Head of Finance & Administration, MicroNova AG

"Bei der Informationssicherheit unterstützt BCS durch die Möglichkeit, Projekte mit zusätzlichen Attributen zu versehen. So können wir zum Beispiel Projekte hinsichtlich ihres Schutzbedarfs klassifizieren oder markieren, ob es sich um ein Projekt mit Prototypenschutz handelt. Anhand dieser Markierungen können wir weitere Prozessschritte ableiten und initiieren."

Kevin Botsch

Fachliches Produktmanagement BCS, Finanz Informatik Solutions Plus GmbH

"Als Beratungs-, Entwicklungs- und Integrationsdienstleister für Geschäftsanwendungen in der Finanzwirtschaft sind uns die Sicherheit einer Software und transparente Abläufe wichtig. Durch unser bisheriges Wachstum und die stetig wachsende Anwenderzahl sind auch Anwenderfreundlichkeit und eine intuitive Bedienung zu einem wichtigen Faktor geworden. Mit Projektron BCS haben wir ein System gefunden, das genau diesen Anforderungen entspricht. Darüber hinaus lässt sich BCS auch flexibel auf unsere Bedürfnisse anpassen und ermöglicht uns zahlreiche Prozessverbesserungen."

 

Support

Für die technische Unterstützung unserer Kunden arbeiten wir mit dem hauseigenen Supportportal. Dabei achten wir stets auf die Qualität und vor allem die Sicherheit im Umgang mit Informationen.

Unsere Maßnahmen für die Sicherheit im Umgang mit Informationen im Support

Supportportal

Das Supportportal für Kunden dient dem sicheren Austausch von Informationen und dem Transfer von Daten. Die Kommunikation erfolgt über Tickets mit einem Ordner für den Datenaustausch.
  		 

KVD

Der Konfigurationsversionierungsdienst (KVD) ist ein zentraler Konfigurationsspeicher für Kunden und Projektron selbst. Die Konfigurationen werden dabei innerhalb eines SVN Repositorys verwaltet.

Zugangsberechtigung

Die Ansprechpartner des Kunden verfügen über einen personalisierten Zugang auf das Supportportal.
  		 

FAQ

Wir stellen sicherheitsrelevante Informationen für die Kunden regelmäßig innerhalb des Supportportals bereit.

Verschlüsselung

Auf das Supportportal kann nur über einen verschlüsselten Zugang zugegriffen werden.
  		   

  

IT-Administration

Auch unserer internen IT-Administration ist die Informationssicherheit ein wichtiges Anliegen. Wir orientieren uns zur Absicherung der Systeme am Stand der Technik und sichern diese fortwährend weiter ab.

Unsere Maßnahmen für die Absicherung unserer Systeme in der IT-Administration

Zentrale Softwaredistribution

Auf den Betriebsrechnern wird benötigte Software zentral ausgespielt und auf dem neusten Stand gehalten.
  		 

Monitoring

Interne Dienste werden überwacht, um die Verfügbarkeit zu gewährleisten und bei Problemen schnell reagieren zu können.

Redundante Netzwerktechnik

Internetleitung, Firewall und zentrale Switche sind redundant.
  		 

Kryptografie

Empfehlungen der Technischen Richtlinien des BSI (BSI TR-02102) werden jährlich geprüft.

Interne Zertifizierungsstelle

Interne Dienste werden über eine eigene Zertifizierungsstelle verschlüsselt.
  		 

SVN

Interne Versionierungsdienste sind thematisch getrennt und der Zugang wird über Personengruppen gesteuert.

E-Mail

Eingehender Mailverkehr wird überwacht und im Zweifelsfall zunächst in Quarantäne gestellt.
  		 

VPN

Für mobiles Arbeiten stehen den Mitarbeitern VPN Zugänge zur Verfügung.

Backup & Wiederherstellung

Interne Dienste werden täglich gesichert und können schnell auf den Stand der letzten Sicherung wiederhergestellt werden. Der Wiederherstellungsprozess wird halbjährlich getestet.
  		 

Verschlüsselter Datentransfer

Möchten Mitarbeiter freigegebene Daten mit in das mobile Arbeiten nehmen, können sie dafür verschlüsselte USB-Sticks mit Zahlencode benutzen.

  

Weitere Maßnahmen

Wir hören an dieser Stelle natürlich nicht auf, an uns und unseren Prozessen sowie Systemen zu arbeiten. Um stets auf die aktuellen Gefahren und Anforderungen vorbereitet zu sein, pflegen wir einen aktiven Erfahrungsaustausch mit unseren Kunden. Wir bauen außerdem unser Expertenteam weiter aus und lassen bestimmte Mitarbeiter als Spezialisten zum Thema Sicherheit schulen. Weitere Maßnahmen sind zur Zeit in Arbeit oder in nächster Zeit geplant:

Datenschutzzertifikat

Mit dem DSMS wollen wir ein Zertifikat für den Datenschutz erhalten, einerseits für unser Unternehmen und andererseits für unser Produkt Projektron BCS.
 

ITIL

Einige Best Practices der IT Infrastructure Library (ITIL) haben wir bereits umgesetzt und planen weitere davon in unserem Unternehmen zu integrieren.
 

  

Ihr Kontakt

Unsere Kundenbetreuung

ist Ihr Ansprechpartner
rund um Projektron BCS.

+49 30 3 47 47 64-200
kundenbetreuung(at)projektron.de

Kostenlose
Online-Präsentation

Lassen Sie sich die Projektmanagement-Software Projektron BCS via Web-Konferenz zeigen.

Anmelden

ISO 27001
Qualitätsauszeichnung Berlin-Brandenburg
Alle Referenzen Seitenanfang