Informationssicherheit

Zugriffskontrolle und Authentifizierung

Rollen- und Rechtekonzept

Ein kundenspezifisch anpassbares Rollen- und Rechtekonzept bietet die Voraussetzung für die Beschränkung des Daten- oder Informationszugriffs auf die berechtigte Person.
 

Single-Sign-On

BCS unterstützt eine Authentifizierung über SAML, Active Directory (LDAP/KERBEROS) oder OAuth 2.0 mit OpenID Connect.

Richtlinien für Passwörter

Projektron BCS unterstützt Richtlinien für Passwörter bezüglich Passwortkomplexität und Änderungshäufigkeit.

2-Faktor-Authentifizierung

Die Anmeldung kann durch einen nach dem TOTP-Verfahren generierten zweiten Faktor zusätzlich abgesichert werden.

Passkeys

BCS unterstützt Passkeys, eine passwortlose Authentifizierungsmethode, die Passwörter durch ein asymmetrisches Verfahren ersetzen und somit die Benutzerfreundlichkeit erhöhen und Schwachstellen wie Phishing, Passwortdiebstahl und schwache Passwörter beheben.

Datensicherheit und Schutzmechanismen

Verschlüsselte Verbindungen

Zur sicheren Datenübertragung zwischen Projektron BCS und Benutzern oder Fremdsystemen ist eine verschlüsselte Kommunikation möglich (https, imaps, smtps).

Passworttresor

Für Drittsysteme benötigte Passwörter können kryptografisch sicher in einem Passworttresor hinterlegt werden.

Sichere Passwörter

Passwörter werden in Projektron BCS mit dem PBKDF2-Algorithmus sowie Salt und Pepper gesichert.

Brute-Force-Attacken

Benutzerkonten sind durch Wartezeiten oder eine Benutzerkontensperrung bei mehreren fehlgeschlagenen Login-Versuchen geschützt. Zugriff auf einzelne Konten kann auf bestimmte IP-Adressen und IP-Bereiche beschränkt werden.

Testen und Überprüfung

Vulnerability Scanning

Die Software wird regelmäßig auf bekannte Sicherheitslücken gescannt.

Pentests

In Zusammenarbeit mit unseren Kunden werden regelmäßig Pentests durchgeführt. Die Ergebnisse dieser Tests fließen kontinuierlich in die Entwicklung und den Schutz von Projektron BCS ein.

Automatisiertes Testen

Projektron BCS wird sowohl auf Funktionalität als auch auf Benutzerfreundlichkeit getestet. Gängige Angriffsmuster können automatisiert überprüft werden. Automatisierte Tests werden in die Continuous Integration (CI) Pipeline integriert, um sicherzustellen, dass jede Änderung am Code sofort getestet wird.

Integrationstests

Wir führen Integrationstests durch, um sicherzustellen, dass verschiedene Komponenten der Software sicher zusammenarbeiten und keine neuen Sicherheitslücken entstehen.

Unit-Tests

Für jede User Story entwickeln wir Unit-Tests, um die korrekte Funktionalität und Sicherheit auf der Code-Ebene zu überprüfen.

Testabdeckungsberichte

Wir erstellen Testabdeckungsberichte, die die Abdeckung der User Storys durch die Tests anzeigen und sicherstellen, dass keine sicherheitskritischen Bereiche ungetestet bleiben.

End-to-End-Tests

Wir erstellen End-to-End-Tests, die die gesamte User Story abdecken und sicherstellen, dass die Anwendung wie erwartet funktioniert und sicher ist.

Interne Sicherheitsmaßnahmen

Definition von Sicherheitsanforderungen

Sicherheitsziele und -anforderungen werden zu Beginn des Projekts klar festgelegt.

Sicherheitsplanung

Wir befolgen einen detaillierten Sicherheitsplan, der die Sicherheitsmaßnahmen und -prozeduren beschreibt.

Expertenteam in der Produktentwicklung 

Ein spezialisiertes Team setzt sich kontinuierlich mit aktuellen Themen der IT-Sicherheit auseinander und implementiert die neuesten Sicherheitsmaßnahmen in Projektron BCS. Dies sorgt dafür, dass unsere Software stets den höchsten Sicherheitsstandards entspricht.

Interne Richtlinie „Sichere Softwareentwicklung“

Die interne Richtlinie zielt darauf ab, Sicherheitsdefizite und Schwachstellen in der Entwicklung von Projektron BCS zu minimieren und angemessen darauf zu reagieren. Dies erfolgt durch die Berücksichtigung der SANS Top 25, die die 25 gefährlichsten und relevantesten Schwachstellen in Software auflistet, sowie der OWASP Top 10, die die zehn am weitesten verbreiteten und wichtigsten Schwachstellen für Webanwendungen beschreibt.

Mitarbeiterschulungen

Unsere Entwickler werden regelmäßig für Sicherheitsaspekte und Best Practices geschult und sensibilisiert.

Awareness-Programme

Wir führen Programme zur Förderung des Sicherheitsbewusstseins im gesamten Entwicklungsteam durch.

Sicherheitsdokumentation

Alle Sicherheitsanforderungen, -maßnahmen und -tests werden detailliert dokumentiert.

Berichterstattung

Es erfolgt eine regelmäßige Berichterstattung über den Sicherheitsstatus und aufgetretene Vorfälle an relevante Stakeholder.

Sichere Programmierung und Entwicklungsrichtlinien

Codierstandards und -richtlinien

Wir halten bewährte Codierstandards und -richtlinien ein, um Sicherheitslücken zu vermeiden.

Code Reviews und Peer Reviews

Der Code wird regelmäßig durch Kollegen überprüft, um potenzielle Sicherheitsprobleme frühzeitig zu identifizieren.

Static Code Analysis

Zur statischen Codeanalyse kommen Tools zum Einsatz, um Schwachstellen im Quellcode zu finden.

Risikobewertung

Während des gesamten Entwicklungsprozesses erfolgt eine Identifikation und Bewertung potenzieller Sicherheitsrisiken.

Schwachstellenmanagement

Zur Erkennung, Bewertung und Behebung von Sicherheitslücken wurde ein entsprechender Prozess implementiert.

Versionskontrolle und Konfigurationsmanagement

Versionskontrolle

Wir verwenden Versionskontrollsysteme (z.B. Git), um Änderungen im Code nachzuverfolgen und die Rückverfolgbarkeit zu gewährleisten.

Konfigurationsmanagement

Wir stellen sicher, dass alle Konfigurationen sicher verwaltet und dokumentiert werden.

Incident Response und Notfallplanung

Notfallpläne

Notfallpläne wurden erstellt und werden kontinuierlich gepflegt, um im Falle eines Sicherheitsvorfalls schnell und effektiv reagieren zu können.

Incident Response

Zur Reaktion auf Sicherheitsvorfälle haben wir einen Prozess etabliert, einschließlich der Analyse und Behebung der Ursachen.

Standort und Verfügbarkeit

Rechenzentrum in Deutschland

Das Rechenzentrum steht in Deutschland und unterliegt hohen Sicherheitsstufen. Es gehört zur Tier IV Klasse mit redundanten ISP POP.

Backup und Wiederherstellung

Das Hosting bietet Backups und bei Bedarf eine schnelle Wiederherstellung.

Zertifiziert

Unser Rechenzentrum und die sicherheitsrelevanten Bereiche von Projektron sind nach ISO 27001 zertifiziert. Das Rechenzentrum besitzt außerdem weitere Zertifikate: VdS ISO 9001 NSL und IS, DIN 14675 für BMA und DIN EN 50518.

Verfügbarkeit

Wir garantieren die vereinbarte Verfügbarkeit, die permanent überwacht wird.

Physische Sicherheit und Zugangskontrolle

Zugangskontrolle

Das Rechenzentrum darf nur von den autorisierten mit der Aufgabenerfüllung betrauten Personen mit vorheriger Anmeldung betreten werden.

Wachschutz

Das Rechenzentrum wird 24/7 und an 365 Tagen pro Jahr von einem Wachschutz vor Ort betreut. 

Sicherheitstests und Updates

Automatisierte Updates

Die virtuellen Maschinen sowie Projektron BCS werden automatisiert aktualisiert, damit Sie immer auf dem neuesten und sichersten Stand sind.

Wartungsfenster

Es gibt regelmäßige geplante Wartungsfenster zum Einspielen von Updates und Patches. Bei einer akuten Sicherheitslücke werden außerplanmäßige Updates durchgeführt, die zwei Stunden vorher angekündigt werden.

Pentest

Unser Hosting wird jährlich einem Pentest unterzogen.

Daten- und Zugriffssicherheit

Getrennte Datenbankserver

Die Kundendaten liegen auf getrennten Datenbankservern. Das ermöglicht eine bessere Performance und die Einrichtung individueller Schnittstellen.

SSL

Beim Hosting greifen Sie auf Projektron BCS über einen verschlüsselten Zugang mit SSL-Zertifikat zu.

VPN-Tunnel

Die virtuellen Maschinen sind nicht über das Internet erreichbar. Projektron greift auf diese nur über VPN-Tunnel zu.

Firewall

Eine zentralisierte Firewall mit strikten Filterregeln individuell pro Kunde schützt Sie vor Angriffen von außen. Eine Firewall für Webapplikationen kann auf Anfrage zur Verfügung gestellt werden.

Sichere Verbindungen via HTTPS/SFTP/SSH & SCP

Auf Ihre virtuelle Maschine greifen Sie generell nur über sichere Verbindungen zu (via HTTPS/SFTP/SSH) und erstellen so beispielsweise Backups oder Datenkopien (via SCP).

Zusatzdienste und Weiterbildungen

KVD

Unsere Kunden sind automatisch an den Konfigurationsversionierungsdienst (KVD) angeschlossen. Das bedeutet, dass ihre Konfigurationen innerhalb eines SVN Repositorys verwaltet werden.

Weiterbildungen

Mitarbeiter erhalten bedarfsgerechte Weiterbildungen zur Sicherheit von Hosting-Diensten.

Supportportal

Transportsicherheit

Die Transportsicherheit im Supportportal wird durch die optionale, jedoch empfohlene Nutzung von HTTPS gewährleistet.

Nachrichtenaustausch und Authentifizierung

Der Nachrichtenaustausch erfolgt über SOAP, wobei die Authentifizierung über Username und Passwort im SOAP-Header sichergestellt wird. Der Synchronisation-User sollte mit einem starken Passwort geschützt sein, da er über umfangreiche Rechte verfügt. Dieses Passwort sollte im Passworttresor hinterlegt werden.

Konfiguration der zu synchronisierenden Attribute

Die zu synchronisierenden Attribute können konfiguriert werden, wobei sensible Attribute von der Synchronisation ausgeschlossen werden können.

Port-Restriktionen

Es können Port-Restriktionen angewendet werden, um den HTTP-Austausch zwischen den beteiligten Systemen gezielt einzuschränken.

Web App

Transportsicherheit

Die Transportsicherheit der Web App wird gewährleistet, da sie ausschließlich in Verbindung mit HTTPS genutzt werden kann.

Authentifizierung und Cookie-Verwaltung

Die Authentifizierung erfolgt über Benutzername und Passwort, gefolgt von der Verwendung eines langlebigen Cookies, das sicher im Speicher gehalten und bei expliziter Abmeldung aus der App entfernt wird.

Rechteanwendung bei Synchronisation

Bei der Synchronisation von der Web App nach Projektron BCS werden die in BCS gesetzten Rechte angewendet.

Microsoft Exchange On-Premises

Transportsicherheit

Die Transportsicherheit für Microsoft Exchange On-Premises wird durch die optionale, aber empfohlene Nutzung von HTTPS gewährleistet.

Authentifizierung

Projektron BCS unterstützt die Authentifizierungsarten BASIC, DIGEST und NTLM, die jedoch anfällig für bestimmte Angriffsmuster sind. BCS unterstützt noch nicht die moderne Authentifizierungsart AD FS, die auf OAuth 2.0 basiert und von Exchange 2019 genutzt wird.

Microsoft Exchange Online

Transportsicherheit

Die Transportsicherheit bei der Nutzung von Microsoft Exchange Online wird durch die ausschließliche Verwendung von HTTPS gewährleistet.

Authentifizierung

Die sichere, tokenbasierte Authentifizierung sorgt für zusätzlichen Schutz bei der Nutzung von Exchange Online.

Jira On-Premises

Transportsicherheit

Die Transportsicherheit für Jira On-Premises wird durch die optionale, aber empfohlene Nutzung von HTTPS gewährleistet.

Nachrichtenaustausch

Der Nachrichtenaustausch erfolgt über SOAP, wobei das Passwort des Sync-Users sicher geschützt sein muss.

Impersonation und Sicherheit

Nach der Anmeldung über den Sync-User wird die Impersonation genutzt, um Aktionen im Kontext des angemeldeten Benutzers zu speichern.

Jira Cloud

Authentifizierung

In Jira Cloud erfolgt die Authentifizierung über einen API-Key am Benutzer über die REST-Schnittstelle in BCS, wobei der API-Key sicher erstellt und gespeichert wird.

Sicherheitsempfehlung

Es wird empfohlen, die Installation von Jira Cloud und Projektron BCS auf demselben System vorzunehmen, um Ports durch eine Firewall blockieren zu können.

Benutzerverwaltung

Die Verwaltung der Benutzer-Zuordnungs-Mappings in BCS ist ausschließlich durch den Administrator möglich.