Technische und organisatorische Datenschutzmaßnahmen
Wir bieten euch ein hohes Maß an Datenschutz und Datensicherheit auf Basis des Bundesdatenschutzgesetz und der Datenschutz-Grundverordnung (DSGVO).
Allgemeines
- Auftragsdatenverarbeitung
- gilt im Rahmen der Datenschutz-Grundverordnung (DSGVO). Wir werden mit euch einen der Datenschutz-Grundverordnung (DSGVO) entsprechenden Vertrag zur Datenverarbeitung abschließen.
- Informationspflicht
- Personen, die von der Datenverarbeitung betroffen sind, haben das Recht, Auskunft darüber zu verlangen, welche Daten über sie gespeichert werden und wie diese Daten gesichert werden.
- Regelmäßige Kontrolle der Einhaltung der Vorschriften
- Ihr als Kunden seid für die regelmäßige Überprüfung verantwortlich, ob die geltenden Vorschriften von euren Vertragspartner eingehalten werden.
Controlling
- Zutrittskontrolle
Maßnahmen zur Zutrittskontrolle gewährleisten, dass Unbefugte nicht physisch auf die Geräte zur Datenverarbeitung zugreifen können.
Die Geräte (Server, Switches, Festplatten, …) werden in deutschen Rechenzentren von Dritten betrieben.
Für jedes dieser Rechenzentren verlangen wir die folgenden Maßnahmen:
- Videoüberwachung (Außenanlagen, Innenräume und Rackkorridore)
- Zwei-Faktor-Authentifizierung für den Zutritt (z.B. persönliches Passwort und Transponderkarte) mit Protokollierung des Zutritts.
- 24-Stunden Wachdienste mit verknüpftem Alarmsystem
- separate physikalische Sicherheitszonen für
- allgemeine Bereiche
- Rechenzentrums-Infrastruktur und
- Kunden zugängliche Bereiche
- Separat verriegelte Racks mit der Möglichkeit, benutzerdefinierte Schlösser und Schlüssel zu verwenden.
Der physische Zugang zu den Datenverarbeitungsanlagen darf nur von cusy-Admininstrator*innen vorgenommen werden, die den physischen Zugang an andere Personen (z.B. Mitarbeiter*innen des Rechenzentrums) delegieren können.
- Zugangskontrolle
Maßnahmen zur Zugangskontrolle stellen sicher, dass unbefugte Dritte die Datenverarbeitungssysteme nicht nutzen können.
Auf die von cusy verwalteten Maschinen kann zu Administrationszwecken über verschiedene Wege zugegriffen werden: SSH, Webinterfaces etc. Hierfür verwenden wir ein einheitliches Schema zur Identifizierung und Autorisierung von Benutzer*innen. Der Management-Zugang zu den Systemen muss über verschlüsselte Kommunikationskanäle erfolgen.
Die Identifizierung und Autorisierung von Kundenanwendungen, die nicht von der cusy-Infrastruktur verwaltet werden, fallen nicht unter die Sicherheitsverantwortung von cusy. Unsere Kunden sind verpflichtet, die Sicherheit ihrer Anwendungen selbst zu gewährleisten.
Die Identifizierung der Benutzer*innen muss mit persönlichen Zugangsdaten erfolgen, so dass Aktionen zu einer individuellen Person zurückverfolgt werden können. Die Weitergabe von Anmeldeinformationen an andere Personen ist daher verboten. Bei den Anmeldedaten kann es sich je nach Anwendbarkeit entweder um einen Benutzernamen und eine kryptografische Maßnahme (z.B. ein privates/öffentliches Schlüsselschema) oder um ein Passwort handeln.
Nutzer*innen mit einem cusy-Konto müssen ihr Passwort sicher verwalten: Passwörter dürfen nicht gefährdet werden, wenn auf ein Gerät unbefugt zugegriffen wird (logisch oder physisch). Zu beachten sind zum Beispiel folgende Punkte:
- Home-Verzeichnis auf einem Notebook
- Schlüsselbund oder Passwort-Manager-Software
- Backups
- USB-Sticks
- Smartphones.
Eine stark verschlüsselte Speicherung von Passwörtern ist erlaubt und wird sogar empfohlen.
Alle Hardware-Maschinen verfügen über Notfall-Root-Logins, die nur von cusy-Administrator*innen verwendet werden dürfen, wenn die reguläre Aauthentifizierung nicht korrekt funktioniert. Derartige Verwendungen werden überwacht und müssen dokumentiert werden.
Alle privilegierten Aktionen müssen sicher protokolliert werden. Bei Maschinen, die auf unserer aktuellen Plattform basieren, wird dies durch ein lokales Logging-Journal erreicht, das von normalen Benutzer*innen nicht manipuliert werden kann. Zusätzlich werden die Systemprotokolle an einen zentralen Protokollserver am selben Standort übermittelt, wo die Protokolle analysiert und überwacht werden.
SSH-Anmeldungen müssen mit SSH-Schlüsseln durchgeführt werden. Eine Passwortauthentifizierung ist nicht zulässig und wird durch die Systemkonfiguration verhindert. Erfolgreiche SSH-Anmeldungen bei Rechnern werden protokolliert, erfolglose SSH-Anmeldeversuche nicht. Zu viele erfolglose SSH-Anmeldeversuche führen automatisch zu einer Sperrung über Firewall-Regeln.
- Zugriffskontrolle
Maßnahmen zur Zugriffskontrolle schützen vor dem Zugriff durch unberechtigtes Personal.
Die Benutzer*innen werden zentral verwaltet und automatisch für alle relevanten Systeme freigeschaltet, einschließlich des ordnungsgemäßen Entzugs der Zugriffsrechte.
cusy setzt ein auf Berechtigungen basierendes Konzept ein, um Aufgaben der Anwendungswartung von privilegierten administrativen Aufgaben zu trennen, z.B. Kunden-Software-Updates oder Datenbankzugriffe von Betriebssystem-Updates oder -Konfigurationsänderungen.
Privilegierter administrativer Zugriff wird den Kunden in der Regel nicht gewährt. In Fällen, in denen eine andere Person zur Lösung eines Problems benötigt wird, muss eine gemeinsame Sitzung zwischen Administrator*in und der anderen Person eingerichtet werden (z. B. mit Screen).
Technisch gibt es drei Varianten, um privilegierte Zugriffe durchzuführen:
- Verwenden eines Benutzerkontos, dem die Berechtigungen login und wheel für ein bestimmtes Projekt erteilt wurden. Dies erfordert, dass sich der Benutzer mit seinem SSH-Schlüssel anmeldet und zusätzlich sein Passwort für den Zugriff auf privilegierte Operationen eingibt.
- Verwenden eines Benutzerkontos, das Mitglied der globalen Gruppe von cusy-Administrator*innen ist und die Zugriff auf alle Maschinen innerhalb der cusy-Infrastruktur gewährt.
- Root-Logins für den Notfall (s.o. in Zugangskontrolle).
Autorisierte und unautorisierte Zugriffe auf privilegierte Vorgänge werden auf einem zentralen Loghost innerhalb desselben Standorts protokolliert und ausgewertet.
cusy verwaltet eine Reihe von Berechtigungen, die es den Benutzer*innen ermöglicht, die Anwendungswartung und andere halbprivilegierte Aufgaben durchzuführen, z.B. den Zugriff auf Service-Benutzerkonten oder Datenbankadministrationsrechte. Die Berechtigungen werden den einzelnen Nutzer*innen vom Kunden auf Kundenwunsch erteilt.
Alle Berechtigungsvergaben sind nachvollziehbar und explizit dokumentiert: ihre Auswirkungen sind im Konfigurationscode und ihre Zuweisungen in der Konfigurationsdatenbank dokumentiert. Eine umfassende Liste der Benutzer*innen und ihrer Berechtigungen kann auf Wunsch erstellt werden.
Gruppenkonten dürfen in der Regel keine privilegierten administrativen Operationen durchführen, um die Rückverfolgbarkeit von Aktionen zu gewährleisten.
Passwörter für Hardware-Maschinen, die Zugriff auf Root-Konten und IPMI-Controller gewähren, werden als Kopien in einem stark verschlüsselten Passwort-Manager gespeichert.
- Weitergabekontrolle
Maßnahmen zur Weitergabekontrolle stellen sicher, dass Daten, die gespeichert oder weitergegeben werden, gegen unbefugtes Lesen, Kopieren, Verändern oder Löschen geschützt sind. Außerdem müssen die Orte für eine beabsichtigte Übertragung dokumentiert werden.
Alle privaten Daten, die über die Grenzen einer Maschine hinaus übertragen werden, müssen einen authentifizierten und verschlüsselten Kommunikationskanal verwenden (Ausnahmen siehe unten). Zu den Datenpfaden, über die sensible Informationen übertragen werden können, gehören:
- Anwendungsdaten (z.B. Datenbankinhalte), die vom oder zu Benutzer*innen über standardisierte verschlüsselte Protokolle übertragen werden, z.B. über SCP/SFTP oder https.
- persistente Daten, die auf Storage-Servern gespeichert werden. Der Storage-Traffic wird aus Performance-Gründen nicht verschlüsselt. Die Storage-Server sind über ein privates Netzwerk mit den Anwendungsservern verbunden.
- Backups werden entweder über einen verschlüsselten Kommunikationskanal oder über das private Speichernetz auf Backup-Server am selben Standort übertragen.
- Zusätzlich zu den Anwendungsdaten kann ein System zur Laufzeit Daten erzeugen, die sensible Informationen enthalten, z.B. Log-Dateien. Diese verlassen in der Regel nicht die Maschine, auf der sie erzeugt wurden.
- Eingabekontrolle
Maßnahmen zur Eingabekontrolle stellen sicher, dass die Eingabe, Änderung und Löschung von Daten dokumentiert wird, wobei zumindest ersichtlich sein muss, wer wann an welchen Daten gearbeitet hat.
Die Sicherheit der Dateneingabe, -änderung und -löschung ist im Allgemeinen Teil der Kund*innen-Anwendung. Unsere Kund*innen müssen sicherstellen, dass die Eingabe, Löschung und Entfernung von Daten entsprechend den geltenden Datenschutzgesetzen gehandhabt wird.
Im Rahmen von Wartungsarbeiten kann es jedoch erforderlich sein, dass cusy-Administrator*innen auf einem niedrigen technischen Niveau Datensätze eingeben, ändern oder löschen müssen, um den weiteren Betrieb des Gesamtsystems zu gewährleisten. Dies geschieht erst, nachdem wir die betroffenen Kund*innen informiert und dies in unserer Aufgabenverwaltung dokumentiert haben.
Von cusy erwaltete Logfiles werden von der Infrastruktur automatisch mit sinnvollen Aufbewahrungszeiten rotiert.
Änderungen im cusy-Benutzerverzeichnis (z.B. SSH-Schlüssel) können durch unseren Support vorgenommen werden, sofern diese vorher dokumentiert wurde.
- Auftragskontrolle
Maßnahmen zur Auftragskontrolle stellen sicher, dass Daten nur gemäß den Aufträgen der Auftraggeber*innen verarbeitet werden.
cusy stellt sicher, dass alle von Systemadministrator*innen durchgeführten Maßnahmen durch einen Vertrag oder Auftrag mit den von der Maßnahme betroffenen Kunden abgedeckt sind. Dies kann aufgrund von umfassenden Wartungsverträgen oder aufgrund spezifischer Supportanfragen geschehen.
Einzelne Änderungsanfragen sollten mit einem entsprechenden Ticket in der cusy-Aufgabenverwaltung zur Nachverfolgung von Anfragen versehen werden. Andere Mittel der Dokumentation zur Kontrolle von Änderungen sind möglich, z.B. erklärende Commit-Meldungen in einem Versionskontrollsystem.
Die durchgeführten Maßnahmen werden dem Kunden bei Bedarf mitgeteilt.
- Verfügbarkeitskontrolle
Maßnahmen zur Verfügbarkeit stellen sicher, dass Daten nicht versehentlich zerstört werden oder verloren gehen.
Die Verfügbarkeit von Ressourcen, die von den Einrichtungen des Rechenzentrums abhängen, wird an das Rechenzentrum delegiert.
Die Auswahl der Hardware erfolgt durch cusy mit Hilfe von professionellem Equipment und Anbieter*innen. cusy ermöglicht Standardverfahren zur Erhöhung der Verfügbarkeit einzelner Komponenten (z.B. RAID-Speicher, redundante Netzteile, Ersatzkomponenten).
Die Daten unserer Kund*innen werden regelmäßig nach dem Backup-Plan von cusy gesichert. Die Wiederherstellung früherer Zustände kann auf Anfrage von Administrator*innen durchgeführt werden. Darüber hinaus gibt es einen Notfallplan, in dem Ausfallszenarien sowie unsere Präventiv- und Wiederherstellungsmaßnahmen detailliert beschrieben sind.
- Trennungskontrolle
Daten, die für verschiedene Zwecke erhoben werden, müssen auch getrennt verarbeitet werden.
Um die Daten verschiedener Kunden zu trennen, ermöglicht cusy die Virtualisierung: Sowohl virtuelle Maschinen (zur Trennung des Ausführungskontextes) als auch zur Trennung des Speichers sorgen dafür, dass Kund*innenen nur auf die ihnen gehörenden Daten zugreifen können. Innerhalb einer einzigen Maschine ist der Zugriff auf verschiedene Dateien und Prozesse über Standard-UNIX-Berechtigungen möglich.
Maschinen (sowohl virtuelle wie auch physische) werden in zwei getrennten Access-Rings separiert:
- Ring 0-Maschinen führen Infrastrukturaufgaben durch. Sie verarbeiten Daten mehrerer Kund*innen. Auf solchen Maschinen sind nur administrative Zugriffe erlaubt. Beispiele sind VM-Hosts und Storage-Server.
- Ring 1-Maschinen verarbeiten Daten für einzelne Kund*innen und sind nur für die zugehörigen Benutzer*innen zugänglich. Beispiele sind Kund*innen-VMs.
Alle Ressourcen, die logisch zusammengehören (z.B. VMs, Storages etc.) werden in Projekte gebündelt, die sich dieselben Konten und Berechtigungen teilen.