Datensicherheit mit calvaDrive

Damit der Spaß beim Thema Sicherheit nicht endet und Sie sich auf Ihr Business konzentrieren können, bieten wir zusammen mit der Business Cloud calvaDrive ein umfängliches Sicherheitskonzept.

 

 

Sicherer Datenaustausch

Bequem Dateien mit Kollegen, Partnern und Kunden austauschen, aber sicher. calvaDrive arbeit dabei im Verborgenen wie eine Schleuse und stellt sicher, dass keine Trittbrettfahrer in Form von Schadsoftware (z.B Viren) hindurch gelangen. So wird gewährleistet, dass z.B. Ihre Firewalls nicht ausgehebelt werden.

  • Schutz vor Schadsoftware durch Virenprüfung 
  • Verschlüsselte Übertragung
  • Befristung von sicheren öffentlichen Links (optional)
  • Passwortschutz für sichere öffentliche Links (optional)

 

 

 

Compliance

calvaDrive unterstützt bei der Umsetzung von Unternehmensrichtlinien:

  • Zentrale Benutzerverwaltung (LDAP/AD): Verwendung zentraler Zugangsdaten (Benutzername/Passwort), zentrales Sperren von Benutzern, etc.
  • Zentraler Virenschutz
  • Befristung von Benutzerkonten
  • Flexibles Betriebsmodell (SaaS oder on Premise)
  • Im Fall SaaS:
    • deutsches Rechenzentrum eines deutschen Anbieters
    • ISO 27001 zertifiziert

 

 

Gesetzliche Vorgaben

calvaDrive ist DSGVO-Konform (EU-DSGVO / GDPR). Zusätzlich verfolgen wir die Gesetzesänderungen und berücksichtigen diese bei der Weiterentwicklung des Produktes.

Ihr Vorteil: Rechtssicherheit.

 

 

 

 

Sicherer Betrieb

Sie entscheiden, ob Sie calvaDrive selbst betreiben wollen (on Premise) oder durch uns betreiben lassen wollen (SaaS).

  • Der SaaS-Betrieb erfolgt in einem deutschen Rechenzentrum (RZ) eines deutschen Anbieters.
  • Sie erhalten eine eigene (dedizierte) calvaDrive-Installation (kein Multi-Mandantenbetrieb, wie bei Public-Cloud-Angeboten).
  • ISO 27001-Zertifizierung
  • Rechtssicherheits (DSGVO / Abschluss eines Vertrages zur Auftragsdatenverarbeitung, ADV) 

 

 

 

Was verstehen wir unter Sicherheit?

Unter Sicherheit verstehen wir angemessene Maßnahmen zur Adressierung von Sicherheitsrisiken.

 

Sicherheitsziele (Schutzziele)

Vertraulichkeit (confidentiality)

Ziel: Nicht autorisierte Zugriff auf Daten unterbinden.

Mögliche Maßnahmen: Identifikation & Authentifikation, Autorisation & Access Controll, Kryptographie

Integrität (integrity)

Ziel: Daten dürfen nicht unkontrolliert / unbemerkt verändert werden. Änderungen müssen erkennbar sein.

Mögliche Maßnahmen: Checksummen, Signaturen und Änderungsprotokolle

Verfügbarkeit (availability)

Verhinderung von Systemausfällen. Der Zugriff auf die Daten muss innerhalb definierter Parameter gewährleistet sein.

Zur Absicherung bei SaaS dienen hier Service Level Agreements (SLAs). Um die zugesicherten Parameter gewährleisten zu können, kommt es auf eine ausreichende Robustheit (resilience) der Software an. Maßnahmen in der Software Architektur, eine entsprechende Qualitätssicherung, angepasste Betriebsmodelle (z.B. Clustering), sowie Monitoring stellen hier die Grundlage dar.

Zurechenbarkeit (accountability)

Ziel: Ziel ist es, Aktionen (z.B. in der Administration oder bzgl. des Zugriffs auf Daten) zurückverfolgen und zuordnen zu können, um Sicherheitsanforderungen oder z.B. gesetzlichen Nachweispflichten nachkommen zu können.

Mögliche Maßnahmen: Eine mögliche Maßnahme ist die Aufzeichnung von Audit Records in Logs.

Sicherheitsrisiken

Schadsoftware (Viren, Trojaner, etc.)

Cloud Storage / Managed File Tranfser (MFT) Systeme helfen beim einfachen Datenaustausch, auch über Unternehmensgrenzen hinweg. 

Wichtig ist, dass auf Sicherheitsmechanismen geachtet wird, die z.B. das Einschleppen von Schadsoftware verhindert. Ein Virenscanner ist hier Pflicht.

Achtung: Zentrale Virenscanner funktionieren generell nicht mit End-to-End Encryption (E2EE), da es dem Virenscanner aufgrund der Verschlüsselung nicht möglich ist, auf den Inhalt zur Prüfung zuzugreifen. Entsprechend muss der Einsatz von E2EE wohl überlegt erfolgen und ggf. alternative Lösungen in Betracht gezogen werden.

Veraltete Software und Standards

Sicherheitsstandards (insb. im Umfeld der Kryptographie) entwickeln sich kontinuierlich weiter. Heute noch als sicher eingestufte Verfahren und Schlüssellängen können morgen schon ein Risiko darstellen.

Ein anderes Problem sind Fehler in eingesetzten Software-Komponenten. 

In beiden Fällen ist ein geeigneter Patch Management-Prozess wichtig, der dafür sorgt, dass das System auf dem aktuellen technischen Stand bleibt.

Veraltete Zugangsberechtigungen

Ein Mitarbeiter verlässt das Unternehmen und der Account wird nicht oder verspätet gesperrt. Ein Kollege wechselt das Projekt und der Zugang zu den Projektdaten wird nicht gesperrt. Das sind nur zwei Beispiele, wie in der täglichen Praxis massive Sicherheitsrisiken entstehen können.

Identity Federation ist ein Lösungansatz, der es z.B. erlaubt Accounts zentral zu sperren, unmittelbar und  für alle Systeme.

Automatisch ablaufende Zugänge oder Berechtigungen z.B. auf öffentliche Links sind weitere Maßnamen, die zur Risikominimierung dienen können.

Fehlende Rechtssicherheit

Angebote außerhalb der EU stellen ein Risiko dar. Ein Beispiel ist die Einhaltung der EU-DSGVO/GDPR. Zudem ist es wichtig, dass das Produkt / der Service kontinuierlich an die gesetzlichen Rahmenbedingungen angepasst wird.

Eine entsprechende Anbieterauswahl senkt das Risiko deutlich.

 

 

Dies sind nur einige der bestehenden Risiken. Gerne beraten wir Sie bzgl. Erkennung, Bewertung und Bekämpfung von Sicherheitsrisiken.

 

Das richtige Maß an Sicherheit

Ein zu lasch gehandhabter Umgang mit dem Schutz von Daten ist ein immenses Risiko. Umgekehrt können unüberlegte oder überzogene Anforderungen sogar kontraproduktiv für die Sicherheit sein oder Auswirkungen z.B. auf Akzeptanz und Kosten haben.
Ausgangsbasis ist hier die richtige Einstufung von Inhalten, denn nicht alle Inhalte sind gleich schützenswert.

Die Stärken von calvaDrive liegen in der Kollaboration unter Geschäftspartnern.

Neue Riskien mit End2End-Verschlüsselung
(kurz E2EE)

Mit zunehmender Nutzung von Public Cloud-Angeboten im privaten Bereich und der Verschleppung in Unternehmen (Schatten IT) wird angesichts von Datenschutzskandalen der Ruf nach Datenschutz immer lauter. E2EE wird hier als Lösung angepriesen, um dem Cloud-Anbieter den Zugriff auf die Inhalte zu entziehen. Dies birgt jedoch Nachteile und sogar neue Gefahren.

Die Cloud-Software ist nun nicht mehr in der Lage, mit den Daten zu arbeiten. Schattenseite: Auch eine Prüfung auf Schadsoftware ist so nicht mehr möglich. Viren und Trojaner haben so leichtes Spiel, zumal Filter im Unternehmen so umgangen werden. Das Teilen von Dateien wird so zu einem Sicherheitsrisiko!

Sicherheitsmerkmale von calvaDrive

Produkt

Identifizierung & Authentifizierung von Benutzern

Der Login erfolgt via Benutzernamen und Passwort.

Bei Passwörtern lokaler Accounts greift ein System, dass dem Benutzer zu besseren, d.h., zu sichererern Passwörtern verhilft.

Für Accounts die mit LDAP/AD verbunden sind, erfolgt der Login zentral. Entsprechend gelten die zentral vorgegebenen Passwort Policies.

Authorisierung & Access Controll

calvaDrive verfügt über ein IAM (Identity and Access Management) mit einem feingranularen Berechtigungskonzept (fine grained permissions model) nach RBAC (Role Based Access Control – mit Unterstützung für: Accounts, Gruppen, Rollen und Rechten). Die Berechtigungen des IAM werden insb. für fein abgestufte Administrationsberechtigungen im IAM selbst verwendet. Die eigentliche Dateiverwaltung (Drive) erlaubt es, Ordner einzeln pro Benutzer oder/und Benutzergruppe zu berechtigen. Zudem können ganze Orderstrukturen und einzelne Dateien auch öffentlich zugänglich gemacht werden. Nur Benutzer, die über diesen sicheren Link verfügen, können auf den Inhalt zugreifen. Zur weiteren Einschränkung kann a) ein Passwort für öffentliche Links vergeben werden und b) der Freigabe ein Ablaufdatum mitgegeben werden, nach dem diese automatisch zurückgenommen wird.

Automation

calvaDrive bietet aktuell im Sicherheitskontext folgende Automatisierungen:

  • Automatisches Anlegen und Sperren von Accounts (siehe Provisioning / Federation)
  • zeitliche Befristung von Accounts mit automatischer Sperrung im Anschluss
  • zeitliche Befristung öffentlicher Links

Accounting / Auditing

Allgemeine Benutzeraktionen (z.B. Logins), wesentliche Administrationsvorgänge, sowie Datei- und Ordneroperationen werden in Form von Audit Record Logs aufgezeichnet, so das eine Vorgangshistorie vorliegt, über die sich Aktionen nachvollziehen lassen.

Identity Federation / Provisioning

calvaDrive kann mit LDAP/AD (ActiveDirectory) verbunden werden, um Accounts automatisch zu erstellen, Passwörter gegen ein zentrales System zu prüfen und Accounts auch zentral sperren zu können.

Schutz vor Schadsoftware wie z.B. Viren und Trojanern

Direkt im Anschluss an den Upload einer Datei wird diese einem AV-Scan (Anti Virus-Prüfung) unterzogen. Darüber hinaus findet eine zyklische Prüfung aller Dateien in calvaDrive statt. Da die Informationsdatenbank des Virenscanners regelmäßig aktualisiert wird, macht eine regelmäßige Prüfung Sinn, um zum Zeitpunkt des Upload noch unbekannte Schadsoftware auch nachträglich zu identifizieren. Sollte Schadsoftware gefunden werden, erfolgt eine E-Mail-Benachrichtigung. Zudem wird die Datei vom System gelöscht und durch eine Datei mit einem Informationstext ersetzt.

 

Software-Entwicklung

Software Entwicklung

In der Entwicklung von calvaDrive wird hoch qualifiziertes Personal eingesetzt:

  • Architekten (Zertifizierung nach iSAQB) 
  • Developer (Clean Code, Schulung auf "web application security" und entwickeln entsprechend der Grundsätze von OWASP (top 10+)

Software Qualitätssicherung

Jeder Change am Produkt durchläuft einen mehrstufigen Qualitätssicherungsprozess, der bereits bei der Planung des Changes beginnt.

Neben funktionalen Tests gehören auch Performance, Last und Penetration-Tests dazu. Auf diese Weise werden übliche Angriffsvektoren wie z.B. Cross-Site Scripting (XSS) oder SQL-Injection überprüft, um ggf. vorhandene Sicherheitslücken zu erkennen und beheben zu können.

Im Rahmen des Qualitätssicherungsprozesses wird zudem auf besonders geschultes Personal (z.B. nach ISTQB zertifiziert) gesetzt.

 

Stellen Sie uns auf die Probe. Andere haben dies bereits -z.B. im Sinne von Code-Scans- getan. 

Betrieb (bei SaaS)

Definiertes Vorgenhensmodell für IT-Prozesse

Für den Betrieb greifen wir auf ein an ITIL v3 (IT Infrastructure Library) angelehntes Vorgehensmodell zurück, worüber Prozesse samt Verantwortlichkeiten, definiert überwacht und stetig optimiert werden.

Dedizierte Installation

Jeder Kunde erhält eine eigenständige Installation der calvaDrive-Software mit einer von anderen Kunden getrennten Speicherung von Inhalten. Auf Kundenwunsch ist sogar eine vollständige Trennung auf dedizierten Umgebungen (VMs) möglich.

Monitoring & Security Incident-Management

Der Betrieb der Systeme wird durch ein automatisches Monitoring samt Alerting überwacht, sowie teils automatische Maßnahmen eingeleitet, um die Verfügbarkeit zu gewährleisten. 

Sollten Security Incidents identifiziert werden, erfolgt eine entsprechende Kommunikation an den Kunden über einen definierten Kommunikationsweg.

Verfügbarkeit

Wir garantieren eine mindeste Verfügbarkeit von 99,5% zu den Hauptbetriebszeiten.

Schwachstellen-Management

Teils automatisiert, teils über einen manuellen Prozess prüfen wir regelmäßig Schwachstellenlisten und leiten Handlungsbedarfe ab. Das können Patches, konfigurative Maßnahmen, Kundenkommunikation/Empfehlungen, Software-Anpassungen an calvaDrive (Updates für Software von Drittanbietern), etc. sein.

Patch Management-Prozess

Über unseren Patch Management-Prozess prüfen wir regelmäßig und teils automatisiert auf neue Versionen der von uns eingesetzten Software. Im Bedarfsfall werden entsprechende Patches geplant und umgesetzt. Ziel ist es insb. von Security Patches zu profitieren.

Informationssicherheitsmanagementsystem

Der calvaDrive-Anbieter doubleSlash, sowie die im Rahmen von SaaS einbezogene Rechenzentrumsbetreiber, implementieren in relevanten Bereichen ein Informationssicherheitsmanagementsystem  nach ISO 27001 und sind entsprechend zertifiziert.

Rechenzentren

Wir setzen im Rahmen des SaaS-Betriebs ausschließlich auf deutsche Rechenzentren (RZ) deutscher Anbieter, die in relevanten Bereichen nach ISO 27001 zertifiziert sind.

Anm.: Auf Kundenwunsch sind Sonderbetriebslösungen möglich, die im Einzelfall und auf Wunsch von diesen Regeln abweichen.

 

Gesetzliche Vorgaben

Datenschutz

calvaDrive genügt der EU-DSGVO (GDPR). 

Dies bedeutet auch, dass wir im Fall von SaaS mit Ihnen einen Vertrag zur Auftragsdatenverarbeitung (ADV) schließen.

 

Zudem verfolgen wir kontinuierlich Gesetzesänderungen und passen unsere Angebote entsprechend an.

 

Weiterführende Informationen: EU-DSGVO / GDPR

 

Wollen Sie mehr erfahren oder calvaDrive ausprobieren?

Sagen Sie uns welches Paket Sie brauchen oder wie Ihr individueller Bedarf aussieht. Gern machen wir Ihnen ein Angebot.

Pflichtfelder *

Alle Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.

Kontaktieren
Sie uns

Rebecca Hilebrand
Rebecca Hilebrand
Business
Consultant

Telefon
+49 7541 70078-782