Sicherheit

Verschlüsselung

Es scheint eine generelle Annahme zu sein, dass es genügt, Dateien zu verschlüsseln, um Sicherheit zu garantieren. Wir stimmen dem aber nicht zu und streben wesentlich mehr an. Während eine Verschlüsselung essentiell ist, ist sie aber die letzte Barriere, die es verhindert, dass Ihr Datenleck nicht verheerend, sondern mehr oder weniger harmlos ist. In erster Linie möchten Sie Datenlecks verhindern, dann das Ausmaß und schließlich den Inhalt der Lecks begrenzen. Dies haben wir uns zum Ziel gesetzt.

Zertifikate

SECUREDD ist Teil der SSLPost Group Europe. Dies garantiert, dass unsere Software und Server ISO27001 zertifiziert sind. Wir haben hohe Anforderungen an unsere Provider und nutzen nur Rechenzentren innerhalb der Niederlande, die Einheiten mit Sitz in der EU gehören. Dies bedeutet, dass weder Amazon noch Google, Microsoft, IBM, Oracle oder die NSA/CIA durch Hintertüren, die mit Hilfe des Patriot Acts implementiert wurden, freien Zugang zu Ihrem Speicher haben.

 

Cyber Essentials ist ein staatliches, von der Industrie unterstütztes System, das Organisationen dabei hilft, sich gegen Cyberattacken zu schützen. Cyber Essentials konzentriert sich auf die fünf essentiellen Elemente der Cybersicherheit: sichere Konfiguration, Boundary Firewalls, Zugangskontrolle, Patch-Management und Malwareschutz.

Verbindungen

Alle Verbindungen werden via HTTPS über TLS 1.2 oder TLS 1.3 bedient und erzwungen. Der Zugang zu unserem RESTful Interface ist durch starke Passwordanforderungen (vorzugsweise 32-64 Zeichen) und durch optionale IP-Filter oder zusätzliche API-Schlüssel beschränkt. Unsere Passwörter werden nur als salted Hashs mit Argon2i gespeichert.

Server

Unsere Server werden abgesichert, indem zu Beginn jeder Port blockiert ist und danach nur die notwendigen In- und Outboundports geöffnet werden. Der einzige Zugang läuft über SSH mit einem AES-256-Schlüssel. Unsere Server werden täglich nach Schwachstellen durchgescannt und entsprechend ausgebessert.

Wir nehmen Verschlüsselung sehr ernst. Wir wenden eine mehrstufige Verschlüsselung an, wobei wir nur etablierte und sichere Protokolle und Codes verwenden. Dies geht sogar so weit, dass wir eine einmalige Datenverschlüsselung pro Datei haben, sodass niemals eine unbefugte Einheit Zugang zu den Daten einer anderen Person hat. Diese verschlüsselten Dateien werden wiederum als Backup in einem externen S3-Bucket (nicht von Amazon, niederländisch) gespeichert.

Überprüfung & Sicherheitsscans

Zusätzlich zu unseren eigenen Werkzeugen für Sicherheitsscans und Bedrohungserfassung lassen wir uns auch mehrmals pro Jahr von Security-Testern überprüfen. Seit der Inbetriebnahme der Plattform im Jahr 2010 haben diese nie eine Verletzung oder ein ernsthaftes Sicherheitsrisiko finden können.

Zu unseren Richtlinien gehört es, dass es weder uns noch einer dritten Partei erlaubt ist, Ihre Daten zu analysieren oder mit jemandem zu teilen. Wenn es nicht explizit von unseren Kunden verlangt wird, dann benutzen wir nicht einmal Tracking Cookies für unsere Lösungen, sondern nur funktionale, für das System notwendige Cookies.

Einige verbreitete Irrtümer:

  • Firmen behaupten, dass ihr Datenzentrum ISO akkreditiert und Ihre Daten damit sicher sind. Aber es reicht nicht, dass der Provider ein ISO akkreditiertes Rechenzentrum benutzt, wenn die Mitarbeiter, die Software oder das Betriebssystem auf dem Server nicht denselben Standards entsprechen.
  • Es reicht nicht, dass der Provider auf ISO oder PCI-DSS Standard „arbeitet“; er wird nicht jährlich von einem unabhängigen, externen Prüfer überprüft.
  • Es reicht nicht, Ihre Dokumente mit einem Password zu schützen und sie mit einer traditionellen E-Mail, die leicht zu hacken ist, zu verschicken.
  • Alle Ihre Daten in einer verschlüsselten, einem Sharepoint ähnlichen Umgebung ohne Zugriffsmanagement zu speichern hat sich noch immer als anfällig für Phishing-Attacken erwiesen.
  • Lösungen wie WeTransfer speichern Ihre Dokumente sicher, aber jeder mit dem angegebenen Link und/oder Passwort kann sie einsehen. Diese Lösungen sind nicht dafür gedacht, sensible Daten zu teilen.

Sie brauchen eine verlässliche, robuste, sichere, die Datenschutz-Grundverordnung einhaltende* Lösung, die von einem ISO akkreditierten Spezialisten für Datensicherheit angeboten wird.