Technische und organisatorische Maßnahmen zum Datenschutz

Veit Schiele

28. September 2020

13–15 Minuten

../_images/security.png

Wir bieten euch ein hohes Maß an Datenschutz und Datensicherheit auf der Grundlage des Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung (DSGVO).

Allgemeine Informationen

Auftragsdatenverarbeitung

gilt im Rahmen der Datenschutz-Grundverordnung (DSGVO). Wir schließen mit euch einen Vertrag zur Datenverarbeitung gemäß der Datenschutzgrundverordnung (DSGVO) ab.

Auskunftspflicht

Von der Datenverarbeitung betroffene Personen haben das Recht, Auskunft darüber zu verlangen, welche Daten über sie gespeichert sind und wie diese Daten gesichert werden.

Regelmäßige Kontrolle der Einhaltung der Vorschriften

Als Kunde seid ihr dafür verantwortlich, regelmäßig zu überprüfen, ob die geltenden Vorschriften von euren Vertragspartner*innen eingehalten werden.

Kontrolle

Zutrittskontrolle

Maßnahmen der Zutrittskontrolle stellen sicher, dass Unbefugte keinen physischen Zugang zu den Datenverarbeitungsgeräten haben.

Die Geräte (Server, Switches, Festplatten, …) werden in deutschen Rechenzentren von Dritten betrieben.

Für jedes dieser Rechenzentren verlangen wir die folgenden Maßnahmen:

  • Videoüberwachung (Außenanlagen, Innenräume und Rackkorridore)

  • Zwei-Faktor-Authentifizierung für den Zugang (z. B. persönliches Passwort und Transponderkarte) mit Protokollierung des Zugangs.

  • 24-Stunden-Sicherheitsdienste mit angeschlossenem Alarmsystem

  • Getrennte physische Sicherheitszonen für

    • allgemeine Bereiche

    • Infrastruktur des Rechenzentrums und

    • für Kunden zugängliche Bereiche

  • Getrennt verschlossene Racks mit der Möglichkeit, kundenspezifische Schlösser und Schlüssel zu verwenden.

Der physische Zugang zu den Datenverarbeitungsanlagen darf nur von vertrauenswürdigen Administrator*innen vorgenommen werden, die den physischen Zugang an andere Personen (z. B. Mitarbeiter*innen des Rechenzentrums) delegieren können.

Zugangskontrolle

Die Zugangskontrolle stellt sicher, dass unbefugte Dritte die Datenverarbeitungssysteme nicht nutzen können.

Auf die von cusy verwalteten Maschinen kann zu Administrationszwecken auf verschiedenen Wegen zugegriffen werden: SSH, Webinterfaces etc. Zu diesem Zweck verwenden wir ein standardisiertes Schema zur Identifizierung und Autorisierung der User. Der Managementzugang zu den Systemen muss über verschlüsselte Kommunikationskanäle erfolgen.

Die Identifizierung und Autorisierung von Anwendungen unserer Kundi*inneen, die nicht über die cusy-Infrastruktur verwaltet werden, fallen nicht in die Sicherheitsverantwortung von cusy. Unsere Kund*innen sind verpflichtet, die Sicherheit ihrer Anwendungen selbst zu gewährleisten.

Die User müssen mit persönlichen Zugangsdaten identifiziert werden, so dass Aktionen auf eine einzelne Person zurückgeführt werden können. Die Weitergabe von Login-Informationen an andere Personen ist daher untersagt. Bei den Anmeldedaten kann es sich je nach Anwendungsfall um einen User-Namen und eine kryptografische Maßnahme (z. B. ein privates/öffentliches Schlüsselschema) oder um ein Passwort handeln.

User mit einem vertraulichen Account müssen ihr Passwort sicher verwalten: Passwörter dürfen nicht kompromittiert werden, wenn auf ein Gerät unbefugt zugegriffen wird (logisch oder physisch). Beachtet z. B. die folgenden Punkte:

  • Home-Verzeichnis auf einem Notebook

  • Schlüsselbund oder Passwort-Management-Software

  • Backups

  • USB-Sticks

  • Smartphones.

Eine stark verschlüsselte Speicherung von Passwörtern ist zulässig und wird sogar empfohlen.

Alle Hardware-Rechner verfügen über Notfall-Root-Logins, die nur von vertrauenswürdigen Administrator*innen verwendet werden dürfen, wenn die reguläre Authentifizierung nicht korrekt funktioniert. Solche Nutzungen werden überwacht und müssen dokumentiert werden.

Alle privilegierten Aktionen müssen sicher protokolliert werden. Bei Rechnern, die auf unserer aktuellen Plattform basieren, wird dies durch ein lokales Logging-Journal erreicht, das von normalen Benutzer*innn nicht manipuliert werden kann. Darüber hinaus werden die Systemprotokolle an einen zentralen Protokollserver am gleichen Standort übermittelt, wo die Protokolle analysiert und überwacht werden.

SSH-Anmeldungen müssen mit SSH-Schlüsseln durchgeführt werden. Eine Passwort-Authentifizierung ist nicht zulässig und wird durch die Systemkonfiguration verhindert. Erfolgreiche SSH-Anmeldungen an Computern werden protokolliert, erfolglose SSH-Anmeldeversuche nicht. Zu viele erfolglose SSH-Anmeldeversuche führen automatisch zu einer Sperrung über Firewall-Regeln.

Zugangskontrolle

Maßnahmen zur Zugangskontrolle schützen vor dem Zugriff durch Unbefugte.

Die Benutzer*innen werden zentral verwaltet und automatisch für alle relevanten Systeme autorisiert, einschließlich des ordnungsgemäßen Entzugs von Zugriffsrechten.

cusy verwendet ein auf Berechtigungen basierendes Konzept, um Aufgaben der Anwendungswartung von privilegierten administrativen Aufgaben zu trennen, wie z. B. Software-Updates für Kund*innen oder Datenbankzugriffe von Betriebssystem-Updates oder Konfigurationsänderungen.

Privilegierter administrativer Zugriff wird den Kund*innen in der Regel nicht gewährt. In Fällen, in denen eine andere Person zur Lösung eines Problems benötigt wird, muss eine gemeinsame Sitzung zwischen Admins und der anderen Person eingerichtet werden (z. B. mit Screen).

Technisch gesehen gibt es drei Möglichkeiten, einen privilegierten Zugriff durchzuführen:

  • Über ein Benutzerkonto, das für ein bestimmtes Projekt login und wheel-Berechtigungen erhalten hat. In diesem Fall müssen sich User mit eeinem SSH-Schlüssel anmelden und auch ihr Passwort eingeben, um Zugang zu privilegierten Operationen zu erhalten.

  • Verwenden eines User-Accounts, der Mitglied der globalen Gruppe der cusy-Administrator*innen ist, die Zugriff auf alle Maschinen innerhalb der cusy-Infrastruktur gewährt.

  • Root-Logins für Notfälle (siehe oben in Zugangskontrolle).

Autorisierte und unautorisierte Zugriffe auf privilegierte Prozesse werden auf einem zentralen Log-Host am gleichen Ort protokolliert und ausgewertet.

cusy verwaltet eine Reihe von Berechtigungen, die es Nutzer*innen ermöglicht, die Wartung von Anwendungen und andere halbprivilegierte Aufgaben auszuführen, wie z. B. den Zugriff auf Service-User-Accounts oder Datenbank-Management-Rechte. Die Berechtigungen werden den einzelnen Nutzer*innen von Kund*innen auf dessen Wunsch hin zugewiesen.

Alle Berechtigungsvergaben sind nachvollziehbar und explizit dokumentiert: ihre Auswirkungen sind im Konfigurationscode und ihre Zuordnungen in der Konfigurationsdatenbank dokumentiert. Eine umfassende Liste der Benutzer*innen und ihrer Berechtigungen kann auf Wunsch erstellt werden.

Gruppen-Accounts dürfen generell keine privilegierten administrativen Operationen durchführen, um die Nachvollziehbarkeit von Aktionen zu gewährleisten.

Passwörter für Hardware-Maschinen, die Zugriff auf Root-Konten und IPMI-Controller gewähren, werden als Kopien in einem stark verschlüsselten Passwort-Manager gespeichert.

Übertragungskontrolle

Maßnahmen zur Übertragungskontrolle stellen sicher, dass Daten, die gespeichert oder übertragen werden, gegen unbefugtes Lesen, Kopieren, Ändern oder Löschen geschützt sind. Darüber hinaus müssen die Orte einer beabsichtigten Übertragung dokumentiert werden.

Alle privaten Daten, die über die Grenzen eines Rechners hinaus übertragen werden, müssen einen authentifizierten und verschlüsselten Kommunikationskanal benutzen (Ausnahmen siehe unten). Zu den Datenpfaden, über die sensible Informationen übertragen werden können, gehören

  • Anwendungsdaten (z. B. Datenbankinhalte), die von oder zu Benutzer*innen über standardisierte verschlüsselte Protokolle wie SCP/SFTP oder https übertragen werden

  • Persistente Daten, die auf Storage-Servern gespeichert sind. Der Storage-Traffic wird aus Leistungsgründen nicht verschlüsselt. Die Storage-Server sind über ein privates Netz mit den Anwendungsservern verbunden

  • Backups, die entweder über einen verschlüsselten Kommunikationskanal oder über das private Storage-Netzwerk an Backup-Server am gleichen Standort übertragen werden

  • zusätzlich zu den Anwendungsdaten Daten, die vom System zur Laufzeit erzeugt werden und sensible Informationen enthalten können, wie z. B. Protokolldateien. Diese verlassen in der Regel nicht den Rechner, auf dem sie erzeugt wurden.

Eingabekontrolle

Maßnahmen der Eingabekontrolle stellen sicher, dass die Eingabe, Änderung und Löschung von Daten dokumentiert wird, wobei zumindest nachvollziehbar sein muss, wer wann welche Daten bearbeitet hat.

Die Sicherheit der Dateneingabe, -änderung und -löschung ist in der Regel Teil der Anwendung. Unsere Kund*innen müssen sicherstellen, dass die Eingabe, Löschung und Entfernung von Daten im Einklang mit den geltenden Datenschutzgesetzen erfolgt.

Im Rahmen von Wartungsarbeiten kann es jedoch erforderlich sein, dass cusy-Administrator*inneen auf einem niedrigen technischen Niveau Datensätze eingeben, ändern oder löschen, um den weiteren Betrieb des Gesamtsystems zu gewährleisten. Dies geschieht erst, nachdem wir die betroffenen Kund*innen informiert und dies in unserem Aufgabenmanagement dokumentiert haben.

Die von cusy geführten Log-Dateien werden von der Infrastruktur automatisch mit angemessenen Aufbewahrungsfristen rotiert.

Änderungen am cusy-Benutzerverzeichnis (z. B. SSH-Schlüssel) können von unserem Support-Team vorgenommen werden, sofern sie vorher dokumentiert wurden.

Auftragskontrolle

Maßnahmen der Auftragskontrolle stellen sicher, dass Daten nur im Auftrag der Kund*innen verarbeitet werden.

cusy stellt sicher, dass alle von Systemadministrator*innen durchgeführten Maßnahmen durch einen Vertrag oder Auftrag mit den von der Maßnahme betroffenen Kund*inneen abgedeckt sind. Dies kann auf der Basis von umfassenden Wartungsverträgen oder konkreten Supportanfragen erfolgen.

Einzelne Änderungsanfragen sollten mit einem entsprechenden Ticket in der cusy-Aufgabenverwaltung zur Nachverfolgung von Anfragen gekennzeichnet werden. Andere Mittel der Dokumentation zur Kontrolle von Änderungen sind möglich, wie z. B. erklärende Commit-Meldungen in einem Versionskontrollsystem.

Die getroffenen Maßnahmen werden den Kund*innen bei Bedarf mitgeteilt.

Verfügbarkeitskontrolle

Verfügbarkeitsmaßnahmen stellen sicher, dass Daten nicht versehentlich zerstört werden oder verloren gehen.

Die Verfügbarkeit von Ressourcen, die von den Einrichtungen des Rechenzentrums abhängen, wird an das Rechenzentrum delegiert.

Die Auswahl der Hardware erfolgt durch cusy mit Hilfe professioneller Anbieter. cusy ermöglicht Standardverfahren zur Erhöhung der Verfügbarkeit einzelner Komponenten (z. B. RAID-Speicher, redundante Netzteile, Ersatzkomponenten).

Die Daten unserer Kund*innen werden regelmäßig nach dem cusy-Backup-Plan gesichert. Die Wiederherstellung früherer Zustände kann auf Wunsch von Administrator*innen durchgeführt werden. Darüber hinaus gibt es einen Notfallplan, in dem Ausfallszenarien und unsere Präventiv- und Wiederherstellungsmaßnahmen detailliert beschrieben sind.

Trennungskontrolle

Daten, die für unterschiedliche Zwecke erhoben werden, müssen auch getrennt verarbeitet werden.

Um die Daten verschiedener Kund*innen zu trennen, ermöglicht cusy die Virtualisierung: Sowohl virtuelle Maschinen (zur Trennung des Ausführungskontextes) als auch zur Trennung des Speichers sorgen dafür, dass Kund*innen nur auf die Daten zugreifen können, die ihnen gehören. Innerhalb einer einzigen Maschine ist der Zugriff auf verschiedene Dateien und Prozesse über Standard-UNIX-Berechtigungen möglich.

Die Maschinen (sowohl virtuelle als auch physische) sind in zwei getrennte Zugriffsringe unterteilt:

  • Ring 0-Maschinen führen Infrastrukturaufgaben aus. Sie verarbeiten Daten von mehreren Kunden. Auf solchen Maschinen ist nur der administrative Zugriff erlaubt. Beispiele sind VM-Hosts und Speicherserver.

  • Ring 1-Maschinen verarbeiten Daten für einzelne Kund*innen und sind nur für die zugehörigen User zugänglich. Beispiele sind Kund*innen-VMs.

Alle Ressourcen, die logisch zusammengehören (z. B. VMs, Storages usw.), werden in Projekten gebündelt, die dieselben Accounts und Berechtigungen haben.