Sicherheit

Die beste Technologie zum Schutz Ihrer Daten

Das Hauptziel von nCore in Bezug auf die Sicherheit der verarbeiteten Informationen ist es, die Fähigkeit zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit auf höchstem Niveau zu bringen.

Zertifizierungen

nCore ist nach ISO/IEC 27001, ISO/IEC 27017 und ISO/IEC 27018 zertifiziert.

Zertifikat herunterladen.

Die ISO/IEC 27001-Zertifizierung ist ein bedeutendes Anerkennungssiegel, das die Implementierung und Aufrechterhaltung eines hochwertigen Informationssicherheits-Managementsystems (ISMS) bestätigt. Dieser internationale Standard bietet einen umfassenden und strukturierten Rahmen für die effektive Verwaltung der Informationssicherheit und unterstützt Organisationen dabei, Sicherheitsrisiken zu identifizieren, zu steuern und zu minimieren.

ISO/IEC 27001 definiert die Anforderungen an ein ISMS, ein System, das darauf abzielt, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Der Standard legt den Fokus auf Risikoanalysen, die Implementierung geeigneter Sicherheitsmaßnahmen und die kontinuierliche Verbesserung des Systems.

Die Erlangung der ISO/IEC 27001-Zertifizierung belegt das Engagement einer Organisation für Informationssicherheit auf allen Ebenen. Dies umfasst die Einführung von Sicherheitsrichtlinien und -verfahren, das Management von IT-Risiken, die Schulung von Mitarbeitern sowie die regelmäßige Überprüfung zur Aufrechterhaltung eines hohen Sicherheitsniveaus.

Diese Zertifizierung ist für Organisationen jeder Größe und Branche von entscheidender Bedeutung und belegt das Engagement für den Schutz sensibler Informationen und das Risikomanagement im Bereich der IT-Sicherheit. Die ISO/IEC 27001 gilt als Qualitätsmerkmal für Kunden, Partner und Stakeholder und bezeugt die Implementierung robuster Sicherheitsmaßnahmen und das Engagement für den Schutz sensibler Daten.

Zertifikat herunterladen.

Die ISO/IEC 27017-Zertifizierung bietet wesentliche Leitlinien für die Informationssicherheit bei der Bereitstellung und Nutzung von Cloud-Diensten. Dieser Standard stellt spezifische Richtlinien und Kontrollen bereit, um eine sichere und geschützte Umgebung im Rahmen von Cloud-Diensten zu gewährleisten. ISO/IEC 27017 konzentriert sich auf die Aspekte des Datenschutzes und der Gewährleistung der Privatsphäre innerhalb der Cloud-Computing-Umgebung.

Diese Zertifizierung legt eine Reihe von Kontrollen und Best Practices für Cloud-Dienstleister und die Nutzer dieser Dienste fest. Insbesondere gibt sie Hinweise zu den erforderlichen Sicherheitsmaßnahmen, um sensible und persönliche Informationen zu schützen. Zu diesen Maßnahmen gehören die Implementierung von Zugriffskontrollen, Verschlüsselung, Identitätsschutz, Datenschutz und Gewährleistung der Geschäftskontinuität.

ISO/IEC 27017 ist entscheidend, um sicherzustellen, dass Daten, die in Cloud-Diensten verarbeitet werden, angemessen verwaltet und geschützt werden. Dieser Standard bietet eine Reihe von Leitlinien, die darauf abzielen, Risiken von Sicherheits- und Datenschutzverletzungen zu vermeiden und sicherzustellen, dass die Daten gemäß den internationalen Vorschriften und Best Practices behandelt werden. Die Erlangung der ISO/IEC 27017-Zertifizierung belegt das Engagement für eine angemessene Sicherheitsverwaltung im Cloud-Computing-Umfeld.

Zertifikat herunterladen.

Die ISO/IEC 27018-Zertifizierung ist ein bedeutender Standard, der spezifische Richtlinien und Kontrollen zum Schutz personenbezogener Daten in Cloud-Diensten bereitstellt. Dieser Standard legt den Schwerpunkt auf den Datenschutz und sorgt dafür, dass Cloud-Dienstleister personenbezogene Informationen gemäß den Datenschutzbestimmungen behandeln.

ISO/IEC 27018 bietet detaillierte Leitlinien für die Verarbeitung personenbezogener Daten in der Cloud und gewährleistet Transparenz und Kontrolle über die von Dritten verwalteten Daten. Es fordert die Implementierung spezifischer Sicherheitsmaßnahmen zum Schutz personenbezogener Daten, wie Zugriffskontrollen, Verschlüsselung, Anonymisierung und Verfahren zur Handhabung von Datenschutzverletzungen.

Diese Zertifizierung ist besonders wichtig für Organisationen, die sensible Informationen verarbeiten, da sie eine zusätzliche Garantie für die Einhaltung des Datenschutzes bietet. ISO/IEC 27018 demonstriert das Engagement zum Schutz personenbezogener Daten in der Cloud-Umgebung und stellt sicher, dass Daten gemäß den Datenschutzbestimmungen und bewährten Branchenpraktiken verwaltet und verarbeitet werden.

Die Erlangung der ISO/IEC 27018-Zertifizierung bedeutet, dass Kunden und Endnutzer darauf vertrauen können, dass personenbezogene Daten mit höchster Sorgfalt und gemäß strengen Sicherheits- und Datenschutzrichtlinien verwaltet werden. Dieser Standard betont die Bedeutung eines verantwortungsvollen Umgangs mit personenbezogenen Daten im Kontext des Cloud Computings.

Informationssicherheit

Die Verantwortlichkeiten im Bereich der Informationssicherheit werden vollständig definiert und zugewiesen. Aufgaben und Verantwortungsbereiche, die potenziell miteinander in Konflikt stehen, werden getrennt, um die Möglichkeit von Missbrauch, unbefugter oder unbeabsichtigter Modifikation der Unternehmensressourcen zu minimieren.

nCore trifft alle erforderlichen Maßnahmen, um sicherzustellen, dass Mitarbeiter und Partner sich ihrer Verantwortung für die Informationssicherheit bewusst sind und diese erfüllen.

Die zuständigen Funktionen stellen sicher, dass neue Mitarbeiter, Partner, Vertragsmitarbeiter oder allgemein Personen, die in das Unternehmen eintreten, für die jeweilige Rolle geeignet sind und ihre Verantwortlichkeiten verstehen, um das Risiko von Schäden oder Betrug zu minimieren.

Die zuständigen Unternehmensfunktionen führen Eignungsprüfungen für alle Bewerber durch, gemäß den geltenden Gesetzen, relevanten Vorschriften und ethischen Standards. Diese Prüfungen werden im Verhältnis zu den geschäftlichen Anforderungen, der Klassifizierung der zuzugreifenden Informationen und den wahrgenommenen Risiken des vorgesehenen Einsatzes durchgeführt. Die vertraglichen Vereinbarungen mit Mitarbeitern und Partnern spezifizieren deren und der Organisation Verantwortlichkeiten in Bezug auf die Informationssicherheit.

Die Geschäftsleitung von nCore verlangt von allen Mitarbeitern und Partnern, dass sie die Informationssicherheit gemäß den von der Organisation festgelegten Richtlinien und Verfahren anwenden. Alle Mitarbeiter von nCore und, falls zutreffend, externe Partner erhalten angemessene Sensibilisierung, Schulung, Ausbildung und regelmäßige Updates zu den organisatorischen Richtlinien und Verfahren, die relevant für ihre Tätigkeit sind.

Zugangsberechtigungen werden im Falle des Endes des Arbeits- oder Partnerschaftsverhältnisses entfernt oder im Falle von Änderungen in der organisatorischen Zugehörigkeit oder dem Aufgabenbereich angepasst.

nCore hat in seinen Rechenzentren sogenannte „Perimetersicherheitsysteme“ implementiert, die für alle Systeme innerhalb des Rechenzentrums gelten, insbesondere für den Zugang zu und von Internetnetzwerken. Im Folgenden werden diese Systeme und deren Verwaltung beschrieben.

nCore beschränkt den Zugang zu Informationen und Informationsverarbeitungsdiensten nach dem Prinzip des „Need to Access“, das heißt, nur auf die tatsächlichen und legitimen operativen Bedürfnisse jedes Einzelnen. nCore erlässt spezifische Richtlinien zur Nutzung von Arbeitsstationen und mobilen Endgeräten sowie zu den Diensten von E-Mail und Internet. Zusätzlich veröffentlicht nCore eine Sicherheitsrichtlinie zur Nutzung und Verwaltung von Authentifizierungsanmeldeinformationen in den IT-Systemen.

Alle Mitarbeiter von nCore und beteiligte Dritte werden über die Existenz einer spezifischen Richtlinie für das Management und die Kontrolle von logischen Zugängen zu den Ressourcen informiert und sind, abhängig von ihren Verantwortlichkeiten oder Befugnissen, verpflichtet, die Vorschriften einzuhalten.

Die Instrumente und Anweisungen zur Zugangskontrolle werden kontinuierlich an die geschäftlichen und sicherheitsrelevanten Anforderungen angepasst, auch im Hinblick auf organisatorische und technologische Entwicklungen.

Um eine korrekte und effektive Nutzung der Verschlüsselung zum Schutz der Vertraulichkeit, Authentizität und/oder Integrität von Informationen zu gewährleisten, sieht nCore die Verwendung geeigneter kryptografischer Kontrollen vor.

Wenn notwendig, basierend auf einer angemessenen Risikoanalyse der betreffenden Vermögenswerte, werden kryptografische Kontrollen zum Schutz der Informationen vor Bedrohungen der Vertraulichkeit und Integrität der Daten implementiert, auch zum Zwecke der „Nichtabstreitbarkeit“ der Authentizität.

Die für die durch kryptografische Kontrollen geschützten Vermögenswerte verantwortlichen Funktionen legen geeignete Schutztechniken fest und bestimmen die Dauer der kryptografischen Schlüssel über ihren gesamten Lebenszyklus.

nCore beabsichtigt, relevante Geschäfts- und Informationssicherheitsressourcen gegen Risiken wie Beschädigung, Diebstahl, Verlust der Vertraulichkeit, Naturkatastrophen oder böswillige Handlungen zu schützen. nCore implementiert geeignete Maßnahmen zur Kontrolle des physischen Zugangs und legt Zugangsregeln für das Personal fest. Außerdem sorgt nCore für die Sicherheit bei der Verwaltung von Geräten, die zur Bereitstellung von Technologiediensten erforderlich sind, wie Notstromgeneratoren, Brandmeldeanlagen, Hochwasserschutzsysteme und Einbruchsschutzsysteme. Diese Maßnahmen umfassen regelmäßige Überprüfungen der Standort- und Betriebsbereitschaft der Vermögenswerte, Anlagen, Maschinen und Ausrüstungen sowie die Planung von Wartungsarbeiten an Anlagen, Maschinen und Ausrüstungen im Allgemeinen. Zudem wird die Entsorgung von nicht mehr nutzbaren Vermögenswerten, die veraltet und/oder nicht mehr reparierbar sind, geregelt.

Sicherheit der Betriebsvorgänge

nCore beabsichtigt, den Verlust, die Beschädigung, den Diebstahl oder die Kompromittierung von Vermögenswerten sowie Unterbrechungen der betrieblichen Aktivitäten der Organisation zu verhindern.

nCore stellt sicher, dass die Betriebsaktivitäten in den Informationsverarbeitungseinrichtungen den „Best Practices“ der Informationssicherheit entsprechen. Geeignete Betriebsverfahren werden dokumentiert und allen Nutzern zur Verfügung gestellt, die sie benötigen. Änderungen an der Organisation, den Geschäftsprozessen, den Informationsverarbeitungseinrichtungen und den Systemen, die die Informationssicherheit beeinflussen könnten, werden kontrolliert. Die Nutzung der Ressourcen wird überwacht und angepasst. Zukünftige Kapazitätsanforderungen werden projiziert, um die erforderliche Systemleistung sicherzustellen.

Die von nCore besessenen oder verwalteten Informationen sowie die Einrichtungen, die für deren Verarbeitung zuständig sind, sind gegen Malware geschützt. Es werden Kontrollen zur Erkennung, Prävention und Wiederherstellung im Zusammenhang mit Malware implementiert.

Sicherungsmaßnahmen werden für Informationen, Software und Systemabbilder durchgeführt und regelmäßig gemäß einer vereinbarten Backup-Politik getestet.

Wichtige Ereignisse werden protokolliert und Beweise werden erstellt.
Die Protokollierung von Ereignissen, Benutzeraktivitäten, Ausnahmen, Fehlfunktionen und sicherheitsrelevanten Ereignissen wird durchgeführt, aufrechterhalten und regelmäßig überprüft.
Die Systeme zur Protokollierung und die Protokollinformationen sind gegen Manipulationen und unbefugte Zugriffe geschützt.

Die Aktivitäten der Administratoren und Systembetreuer werden durch Protokolle erfasst, die geschützt und regelmäßig überprüft werden.

Die Integrität der Produktionssysteme ist eine wesentliche Sicherheitsanforderung für nCore. Es werden Verfahren implementiert, um die Installation von Software auf Produktionssystemen zu kontrollieren.

Kommunikationssicherheit

nCore erlässt spezifische Richtlinien zur Zugriffskontrolle des Netzwerks.

Die Netzwerke werden angemessen und kontinuierlich überwacht und gegen Versuche von Eindringlingen, Abhörversuche und Angriffe geschützt, um die Informationen in Systemen und Anwendungen zu sichern. Sicherheitsmechanismen, Dienstebenen und Anforderungen an das Management von Netzwerkdiensten werden identifiziert und in den Service Level Agreements (SLAs) für das Netzwerk berücksichtigt, unabhängig davon, ob diese Dienste intern bereitgestellt oder extern vergeben werden. Innerhalb der Netzwerke werden Gruppen von Diensten, Benutzern und Informationssystemen entsprechend dem Risiko für die betreffenden Vermögenswerte getrennt. Entwicklungs- und Produktionsumgebungen sind voneinander getrennt, wobei geeignete Subnetze definiert werden, die isoliert oder unter kontrollierter Verbindung zueinander stehen.

Zum Schutz der Perimeter der Server ist ein Firewall-Cluster vorhanden. Bei diesem Werkzeug können zwei verschiedene Verwaltungsebenen unterschieden werden: systemtechnisch und administrativ:

  • Systemtechnische Verwaltung des Firewalls: Der Firewall als Software-System unterliegt Versionsaktualisierungen. Die Aktualisierungen werden gemäß den Empfehlungen des Herstellers durchgeführt, um eine kontinuierliche volle Effizienz sicherzustellen;
  • Administrative Verwaltung des Firewalls: Unter administrativer Verwaltung versteht man die Implementierung von Regeln, die den Zugriff auf Systeme hinter dem Firewall erlauben oder verweigern, oder den Zugang zum Internet von diesen Systemen aus. Die Regeln werden auf Basis der Anwendungsbedürfnisse auf Anfrage des Kunden implementiert, nach gemeinsamer Bewertung der Übereinstimmung mit den allgemeinen Richtlinien und der möglichen Sicherheitsrisiken, die diese Regeln mit sich bringen können.

Ein zusätzliches System zum Schutz der Perimeter der Webserver, das von nCore bereitgestellt wird, ist ein Intrusion Prevention System, im Folgenden als IPS bezeichnet. Beim IPS können zwei verschiedene Verwaltungsebenen unterschieden werden: systemtechnisch und administrativ:

  • Systemtechnische Verwaltung des IPS: Das IPS als Software-System unterliegt Versionsaktualisierungen. Die Aktualisierungen erfolgen gemäß den Empfehlungen des Herstellers, um stets volle Effizienz zu gewährleisten;
  • Administrative Verwaltung des IPS: Unter administrativer Verwaltung versteht man die Implementierung von Regeln zur Analyse des Datenverkehrs, die darauf abzielen, mögliche Versuche zur Verletzung der Systeme zu identifizieren. Die Aktualisierung dieser Regeln erfolgt, wenn (typischerweise mehrmals im Monat) der Anbieter ein neues Set veröffentlicht. Regelaktualisierungen werden automatisch gemäß den vom Anbieter empfohlenen Konfigurationen angewendet, wobei gegebenenfalls manuelle Eingriffe erforderlich sind, wenn Fehlalarme auftreten, die die Anwendungsfunktionen blockieren.

nCore hat ein Verteidigungssystem gegen DDoS-Angriffe (Distributed Denial of Service) entwickelt, das in der Lage ist, anomalen Verkehr zu erkennen und zu blockieren, bevor er die Internetverbindung des Kunden erreicht. Unter anomalen Verkehr versteht man in diesem Kontext einen massiven Strom an bösartigen Anfragen, die von verteilten Quellen kommen und auf einen der bereitgestellten Dienste abzielen, um die Übertragungsbandbreite oder die Verarbeitungsfähigkeit der Netzwerkgeräte zu überlasten. Ein effektiver Schutz vor DDoS-Angriffen erfordert Mechanismen zur Erfassung des bösartigen Verkehrs, die in der Netzwerk-Infrastruktur des Connectivity-Anbieters (Telekommunikationsanbieter) verteilt sind, um so weit wie möglich „stromaufwärts“ in den Flüssen, die von den Angriffsquellen zu den Zielen führen (die in unserem Fall in den nCore-Rechenzentren untergebracht sind), eingreifen zu können. Im Falle eines solchen Alarms, der von den Kontrollsystemen von nCore oder vom Telekommunikationsanbieter gemeldet wird, sieht das DDoS-System vor, dass der Betreiber den anomalen Verkehr an ein „Reinigungssystem“ weiterleitet, das nur den „sauberen“ Verkehr an nCore weiterleitet. Um Fehlalarme zu vermeiden, wird der Umleitungsprozess nicht automatisch aktiviert, sondern nur auf ausdrückliche Anfrage von nCore.

Zum Schutz der Sicherheit der Informationen, die sowohl innerhalb von nCore als auch gegenüber externen Entitäten übertragen werden, gilt Folgendes:

  • nCore sieht Kontrollen zum Schutz des Informationsübertrags für alle Kommunikationsarten vor;
  • Sichere Informationsübertragungen zwischen der Organisation und externen Parteien sind in speziellen Vereinbarungen formalisiert;
  • Informationen, die über elektronische Nachrichtenübermittlung übertragen werden, sind entsprechend dem Risiko von Abhörung, Veränderung und Vertraulichkeitsverletzung geschützt;
  • Vertraulichkeits- oder Geheimhaltungsvereinbarungen (NDA) werden je nach Notwendigkeit zum Schutz sicherheits- und geschäftsrelevanter Informationen in Verträgen und Vereinbarungen mit Dritten getroffen.

Management der Betriebskontinuität

Die Kontinuität der Informationssicherheit ist in die Systeme des Organisations-Managements für die Betriebskontinuität integriert.

Die Organisation legt ihre Anforderungen an die Informationssicherheit und die Kontinuität des Sicherheitsmanagements in Krisen- oder Katastrophensituationen fest. Den Mitarbeitern werden geeignete Anweisungen gegeben, um das erforderliche Niveau der Informationssicherheitskontinuität während solcher widrigen Situationen sicherzustellen.
nCore überprüft in regelmäßigen Abständen die festgelegten und implementierten Kontrollen zur Sicherstellung der Informationssicherheitskontinuität, um deren Gültigkeit und Wirksamkeit in Krisensituationen sicherzustellen.

Alle Dienste am primären Standort werden in einer logischen und physischen Hochverfügbarkeitsarchitektur bereitgestellt und entsprechen strengen Backup-Richtlinien. Es wurden Risikofaktoren analysiert und geeignete Gegenmaßnahmen implementiert. Das Gebiet weist ein minimales seismisches Risiko auf, und es gibt keine Hinweise auf Gefahren durch Naturereignisse. Ähnliche Ergebnisse ergeben sich aus den Karten des Zivilschutzes, die keine Situationen mit hoher Wahrscheinlichkeit und/oder Magnitude potenzieller Risiken aufzeigen.

nCore verfügt zudem über ein Disaster-Recovery-Rechenzentrum in weiteren Zonen in Frankfurt.

nCore strebt die höchstmögliche Verfügbarkeit der Informationsverarbeitungseinrichtungen an, in Übereinstimmung mit den mit den Kunden vereinbarten SLA und den geltenden Vorschriften. Die Informationsverarbeitungseinrichtungen sind mit einer ausreichenden Redundanz ausgestattet, um die Verfügbarkeitsanforderungen zu erfüllen.