Datenschutz und Datensicherheit
Datenschutz und Datensicherheit
Inhaltsverzeichnis
- Zweck der Datenschutzerklärung
- Anwendungsbereich
- Rechtsgrundlage
- Nutzung der Webseite
- Kontakt Datenschutz
- Hosting und Serverinfrastruktur
- Datencenter
- Leistungsmerkmale der Infrastruktur
- Technische und organisatorische Massnahmen
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffkontrolle
- Trennungskontrolle
- Pseudonymisierung
- Weitergabekontrolle
- Eingangskontrolle
- Verfügbarkeitskontrolle
- Auftragskontrolle
- Organisations- und Umsetzungskontrolle
- Incident-Response Management
- Prävention & Vorbereitung
- Erkennung und Einstufung
- Restriktion
- Behebung
- Korrektur
- Reporting & Verbesserung
- Sichere Entwicklung
- Injection
- Fehler in der Authentifizierung
- Verlust der Vertraulichkeit sensibler Daten
- XML External Entities (XXE)
- Fehler in der Zugriffskontrolle
- Sicherheitsrelevante Fehlkonfiguration
- Cross-Site Scripting (XSS)
- Unsichere Deserialisierung
- Nutzung von Komponenten mit bekannten Schwachstellen
- Unzureichendes Logging & Monitoring
1. Zweck der Datenschutzerklärung
Die Swiss Digital AG ist Dienstleister für die Entwicklung massgeschneiderter Softwareanwendungen, wie Mobile Apps, webbasierter Lösungen, Desktop-Applikationen und serverseitigen Backendsystemen. Im Regelfall speichern und verarbeiten diese Anwendungen Daten und oftmals sind diese Daten personenbezogen und deshalb besonders schützenswert. Die Swiss Digital AG nimmt den Schutz persönlicher und sensibler Daten sehr ernst und behandelt diese vertrauenswürdig, gemäss aktuellen technischen Sicherheitsstandards und entsprechend den gesetzlichen Datenschutzvorschriften.
Diese Datenschutzerklärung klärt Sie über die Verarbeitung Ihrer personenbezogenen und vertrauenswürdigen Daten innerhalb unseres Unternehmens und Dienstleistungsspektrums auf.
2. Anwendungsbereich des Datenschutzes
Diese Datenschutzbestimmungen regeln den Umgang mit personenbezogenen und vertrauenswürdigen Daten in Bezug auf Speicherung, Nutzung und Verarbeitung bei der Vergabe von Projektarbeiten und dem Unterhalt von Softwareanwendungen an die Swiss Digital AG.
Diese definieren die technischen und organisatorischen Massnahmen an den Datenschutz und die Datensicherheit. Jedes Projekt ist individuell und kann besondere Anforderungen und Schutzmassnahmen erfordern, wie bspw. Systeme, Schnittstellen oder Dienstleistungen von Drittanbietern einschliessen, die ebenfalls personenbezogene und schutzwürdige Daten verarbeiten. Für jedes einzelne Projekt wird auf die spezifischen Datenschutz- und Sicherheitsvorgaben eingegangen, die vorgegebenen Sicherheitschecklisten beantwortet und umgesetzt sowie bei Bedarf zum Standard Unterhaltsvertrag (SLA) zusätzlich ein Vertrag über die Auftragsdatenverarbeitung (ADV-Vertrag) abgeschlossen.
Rechtsgrundlage
Die Swiss Digital AG erhebt und bearbeitet personenbezogene und vertrauenswürdige Daten ausschliesslich im Rahmen der Vorschriften des schweizerischen Datenschutzgesetzes (DSG) sowie der EU-Datenschutzgrundverordnung (DSGVO).
Nutzung der Webseite
Betreffend Datenschutz bei der Nutzung unserer Webseite verweisen wir Sie auf die Datenschutzbestimmungen in unserem Impressum.
3. Kontakt Datenschutz
Für Auskünfte und Anregungen zum Thema Datenschutz stehen wir Ihnen unter der Email datenschutz@theswissdigital.ch gerne zur Verfügung. Wenn Sie mit uns in Kontakt treten möchten, erreichen Sie uns wie folgt:
Swiss Digital AG
Hardturmstrasse 161
CH-8005 Zürich
Tel.: +41 (0) 44 542 45 49
Email: hello@theswissdigital.ch
Soweit gesetzlich verpflichtet, bestellt die Swiss Digital AG eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Datenschutzbeauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Die Swiss Digital AG teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt die Swiss Digital AG dem Auftraggeber unverzüglich mit.
4. Hosting und Serverinfrastruktur
Die Swiss Digital AG betreibt seit über 10 Jahren an ihrem Hauptsitz in Zürich ein sicheres Hochleistungs-Rechenzentrum. Der Standort Zürich wurde strategisch gewählt, da er sicher und verlässlich ist, sich technologisch stets weiterentwickelt und einen hohen Grad an Anschlussmöglichkeiten bietet. Die Datenerhebung, Bearbeitung oder Nutzung der personenbezogenen und vertrauenswürdigen Daten findet grundsätzlich im Rechenzentrum der Swiss Digital AG in der Schweiz statt, sofern mit dem Auftraggeber nicht anders vereinbart.
Datencenter
Die Swiss Digital AG hostet im Rechenzentrum in Zürich eine Serverinfrastruktur die von uns gewartet, betrieben und überwacht wird, inkl. Backup aller für eine Wiederherstellung des Systems notwendigen Daten, sowie dem Einspielen von Sicherheitsupdates vom Betriebssystem und Anwendungen.
Die Swiss Digital AG ist Teil der NTH-Unternehmensgruppe. Das Datenzentrum wird unter der Firma NTH AG geführt:
NTH AG
Waaghaus-Passage 8
CH-3011 Bern
Tel.: +41 (0) 44 581 60 07
Email: dpo@nth.ch
Die Serverinfrastruktur wird auf der privaten Cloud-Infrastruktur im Datacenter am Standort der NTH AG und Swiss Digital AG in Zürich beherbergt und ist direkt mit dem Equinix Zürich IBX® Data Center und ColoZueri Data Center in Zürich über redundante Glasfaserringe verbunden um höchste Verfügbarkeit und schnellste nationale und internationale Anbindungen zu gewährleisten. Die Sicherheit ist gewährleistet mit unterbrechungsfreier Stromversorgung (Backup Generator), Kameraüberwachung, Einbruch-, Hochwasser- und Brandschutz, High-end Alarm- und Kühlungssystemen, sowie 24×7 Monitoring Operations-Center.
Leistungsmerkmale der Infrastruktur
Die Netzwerkarchitektur, Infrastruktur und Leistungsmerkmale entsprechen den heutigen Standards:
- Unterbrechungsfreie Stromversorgung dank Backup-Generator und zwei getrennte USV-Stromkreise mit zwei Power Distribution Units pro Rack
- Getrennte Rohr- und Streckenführung
- Redundante Klimaeinheiten mit gekühlten Bereichen für besonders tiefe Temperaturen (Warm-Kalt-Gang-Einhausung)
- Umfassender Brandschutz mit gasgestützter Brandlöschung (Inergen)
- 24x7h-Videoüberwachung mit Motion-Detection
- Komplette Datacenter Infrastruktur und Dienste werden überwacht (24×7 Monitoring Operations-Center)
- High-end Alarmsystem
- Höchste Einbruchssicherheit, Zutritt über Vereinzelungsanlage (biometrisch)
- Standardisierte Backup- und Recoveryszenarien
- Über 120 Tier 1/2 Carrier
- Transit und Peering mit mehreren Carriers (Border Gateway Protocol)
- Eigene Range an IP-Adressen (LIR) oder von Carriers
- Redundante Verbindungen über unsere Kollokationen (Ring Netzwerk-Topologie über eigene Glasfasern Trassen)
- Gesamte Netzwerkausstattung (Router, Switches, Firewalls) ist redundant
- Volle Redundanz ohne Single-Point of Failure
- Umgesetzt gemäss Tier-3-Level Vorgaben (konform)
5. Technische und organisatorische Massnahmen
Datenschutz und Sicherheit ist ein allgegenwärtiges Thema bei der Softwareentwicklung. Generelle Massnahmen wie die Verschlüsselung reichen je nach Sensibilität eines Projektes nicht mehr aus. Wir bieten in diesem Bereich unseren Kunden einen umfassenden Schutz auf höchstem Niveau und aus einer Hand, die den Vorschriften des schweizerischen Datenschutzgesetzes (DSG) sowie der EU-Datenschutzgrundverordnung (DSGVO) entsprechen. Dies beinhaltet insbesondere:
Zutrittskontrolle
Um Unbefugten den physikalischen Zutritt auf die Serverinfrastruktur zur Datenverarbeitung zu verwehren, insbesondere auch zur Legitimation der Berechtigten, werden folgende Massnahmen eingesetzt:
- Separat, von allgemein zugänglichen Bereichen, abgeriegeltes Rechenzentrum
- Zugang nur für berechtigten Mitarbeiterkreis (Besuche sind grundsätzlich nicht gestattet)
- Zutrittskontrollsystem (biometrisch) mit Protokollierung
- Alarmanlage/Schliesssystem mit Codesperre
- 24-Stunden Wachdienste mit verknüpftem Alarmsystem
- Videoüberwachung (Aussengelände, Türen und Regalgänge)
- Separat verriegelte Racks mit der Möglichkeit, benutzerdefinierte Schlösser und Schlüssel zu verwenden
- Reinigung nur durch autorisierte Mitarbeiter
Zugangskontrolle
Die Nutzung der Datenverarbeitungssysteme durch Unbefugte wird wirkungsvoll verhindert durch:
- Einsatz von Firewalls und Intrusion-Detection-Systemen.
- Zu Verwaltungszwecken (bspw. Wartung der Infrastruktur und Systeme) kann nur ein kleiner interner Administratorenkreis über SSH und Web-Interfaces auf die Datenverarbeitungssysteme zugreifen. Dazu werden ausschliesslich verschlüsselte Kommunikationskanäle verwendet. Die Verbindung erfolgt über VPN, TLS und LDAP.
- Die Authentifikation erfolgt immer mit Benutzername und Passwort (interne Password Policy)
- Die Benutzerkennung muss mit persönlichen Anmeldedaten durchgeführt werden, damit Handlungen auf eine einzelne Person zurückverfolgt werden können. Die gemeinsame Nutzung von Anmeldedaten mit einer anderen Person ist verboten.
- Sichere Passwortverwaltung (Einsatz einer zentralen Device-Administrations-Software mit Verschlüsselung).
- Für den Notfall können Systemadministratoren mit Root-Logins auf die Server zugreifen, wenn die übliche Benutzerauthentifizierung nicht korrekt funktioniert. Die Verwendung des Root-Logins wird protokolliert.
- Die Serverinfrastruktur wird nur für Services und Kundenanwendungen aus der Unternehmensgruppe betrieben. Es wird kein Hosting von uns unbekannten Systemen und Anwendungen, oder die nicht in unserer Kontrolle liegen, angeboten.
Zugriffkontrolle
Es werden folgende Möglichkeiten genutzt, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Schutz gegen unberechtigte interne und externe Zugriffe durch Firewalls, Einsatz von Authentifizierungs- und Verschlüsselungsverfahren.
- Sichere Passwortvergabe gemäss interner Password-Policy. Je nach System oder Anwendung, Zwang zur regelmässigen Passwortänderung und automatischer Sperrung.
- Privilegierte administrative Zugänge zu Verwaltungszwecken werden nie an Kunden oder Externe gegeben (nur für berechtigte Mitarbeiter).
- Externe Zugriffsrechte auf Systeme und Anwendungen werden bedarfsgerecht und ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten vergeben (Erstellung von Benutzerprofilen und Zuordnung von Benutzerrechten). Diese müssen vertraglich vereinbart werden oder zumindest in der Spezifikation, die vom Kunden abgenommen wird, festgehalten sein (Berechtigungskonzept).
- Die Berechtigungsvergabe erfolgt nur durch den Applikationsverantwortlichen (eine interne Person), sofern im Berechtigungskonzept für die jeweilige Anwendung nicht anders vereinbart. Die Anzahl der Administratoren ist stets auf das „Notwendigste“ reduziert. Die Vergabe von zusätzlichen Zugriffsrechten auf Kundenwunsch muss schriftlich erfolgen.
- Auf System-Ebene werden alle Zugriffe immer per Default protokoliert. Bei besonders sensiblem Daten, sofern gesetzlich vorgeschrieben oder auf Kundenanfrage, werden die Zugriffe auch auf Applikationsebene protokolliert (Eingabe, Änderung und Löschung, wie auch das Aufrufen der Daten).
- Sichere Aufbewahrung von Datenträgern
- Sichere Vernichtung von Datenträgern durch Zerstörung
Trennungskontrolle
Zu unterschiedlichen Zwecken erhobene Daten werden getrennt verarbeitet. Dies geschieht durch:
- Physikalische Trennung funktional und zweckdienlich unterschiedlicher Systeme, Datenbanken und Datenträger.
- Definierte Prozesse wo und wie Systeme oder Anwendungen installiert, ausgeliefert und betrieben werden (Berechtigungskonzept auf Unternehmensebene)
- Trennung von Produktiv- und Testumgebung
- Funktionale und logische Mandantentrennung
- Festlegung von Datenbankrechten
Pseudonymisierung
Bei der Konzeption und dem Systementwurf gehen wir stets mit dem Grundsatz der Datenminimierung vor, d.h. es werden nur dem Zweck angemessene (notwendige) und erhebliche (bedeutende) Daten projektiert, erhoben und verarbeitet.
Bei Projekten und Anwendungen mit besonders sensiblem Personendaten oder wo branchenüblich und erforderlich, setzen wir das Prinzip der pseudonymisierten Datenverarbeitung um (ohne Hinzuziehung zusätzlicher Informationen können Daten nicht mehr einer spezifischen Person zugeordnet werden). Dabei wird die Zuordnungsdatei gesondert auf einem getrennten, abgesicherten IT-System aufbewahrt.
Weitergabekontrolle
Es wird gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist, durch:
- Die Übertragung von Daten erfolgt grundsätzlich immer mit einer sicheren Verschlüsselung. Das gilt besonders für personenbezogene Daten.
- Privilegierte Handlungen zu Verwaltungszwecken, bspw. um Migrationen vorzunehmen, können nur über VPN erfolgen. Einen VPN Zugang mit solchen Berechtigungen hat nur ein kleiner Mitarbeiterkreis.
- Alle privilegierten Handlungen auf Systemebene werden protokolliert (Activity Log), die Protokollierung kann auch auf Applikationsebene erfolgen.
- Schutzwürdige Dokumente dürfen nur verschlüsselt versandt werden (bspw. komprimiert per Mail mit Passwortschutz, wobei das Passwort separat über einen anderen Kanal mitgeteilt werden muss).
Personendaten werden grundsätzlich nie ohne Einwilligung an Dritte weitergegeben, ausgenommen aufgrund gesetzlicher Bestimmungen oder durch vollstreckbare behördliche oder gerichtliche Anordnung verpflichtet.
Eingangskontrolle
Es wird gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, durch:
- Vergabe von Zugriffsrechten zur Eingabe, Änderung und Löschung von Daten auf Basis des Berechtigungskonzepts
- Protokollierung der Eingabe, Änderung und Löschung von Daten auf Systemebene immer gegeben (Activity Log), auf Applikationsebene sofern vorgeschrieben/erforderlich oder erwünscht (Anwendungszweck und Sensibilität der Daten).
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
In der Regel ist die Dateneingabe, Änderung und Beseitigung Teil der Kundenanwendung, daher muss der Kunde sicherstellen, dass diese entsprechend den geltenden Datenschutzgesetzen angemessen vorgenommen werden. Dabei gewährleisten wir die technischen Bedingungen an Datenschutz und Sicherheit und stehen in dieser Hinsicht beratend zur Seite.
Verfügbarkeitskontrolle
Personenbezogene Daten werden gegen zufällige Zerstörung oder Verlust geschützt durch:
- Unterbrechungsfreie Stromversorgung (Dieselgenerator und redundante USV)
- Klimaanlage in Serverräumen
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Schutzsteckdosenleisten in Serverräumen (PDUs)
- Umfassender Brandschutz mit gasgestützter Brandlöschung (Inergen)
- Erstellen eines Backup- und Recoverykonzepts
- Spiegeln von Festplatten, z.B. RAID-Verfahren
- Notfallpläne, die detailliert Fehlerszenarios, Vorsichtsmassnahmen und Verfügbarkeitsmessungen beschreiben
- Serverräume nicht unter sanitären Anlagen
- Komplette Datacenter Infrastruktur und Dienste werden überwacht
- Redundante Infrastruktur
Auftragskontrolle
Es werden Massnahmen ergriffen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können durch:
- Eindeutige Vertragsgestaltung durch Auftragsdatenverarbeitungsvertrag (ADV), Unterhaltsvertrag (SLA) oder mind. durch schriftliche Abnahme der System-/Anwendungsspezifikation durch den Auftraggeber.
- Die organisatorischen Prozesse sehen vor, dass personenbezogene Daten nach Live-Schaltung des Systems nur durch den Kunden oder gemäss Berechtigungskonzept verarbeitet werden. Sofern bei Softwarepflege oder Wartungsarbeiten an den Datenverarbeitungssystemen eine mögliche Änderung der personenbezogenen Daten nicht ausgeschlossen werden kann, informiert Swiss Digital AG den Auftraggeber über diese Wartungsfenster.
- Änderungs- und Migrationsanfragen, welche personenbezogene Daten beinhalten, müssen vom Auftraggeber in schriftlicher Form erfolgen.
- Es findet keine Datenverarbeitung ausserhalb der Unternehmensgruppe statt, ausser diese wird explizit vom Auftraggeber gewünscht (bspw. bestimmter Hostingprovider).
- Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Organisations- und Umsetzungskontrolle
Für die Verarbeitung von Daten im Unternehmen sind Prozesse und Arbeitsabläufe definiert, welche die Datenschutzgrundsätze und Sicherheitsgarantien wirksam umsetzen, um die datenschutzrechtlichen Anforderungen zu erfüllen und die Rechte von Betroffenen zu schützen.
- Regelmässige Schulung und Sensibilisierung der Mitarbeiter zu den Grundsätzen des Datenschutzes und der IT-Sicherheit
- Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse
- Ordnungsgemässer und sorgfältiger Umgang mit Daten, Dateien, Datenträgern und sonstigen Unterlagen
- Überprüfung der Umsetzung und Wirksamkeit der technischen und organisatorischen Schutzmassnahmen durch Kontrollen und Stichproben
- Prozess für Incident-Response-Management und Dokumentation von Sicherheitsvorfällen im Ticketsystem
- Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener
- Swiss Digital AG gewährleistet, dass die Leistungserbringung unter Beachtung des Datenschutzrechts erfolgt
Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit kann die Swiss Digital AG alternative adäquate Massnahmen umzusetzen, solange das Sicherheitsniveau und die technischen Anforderungen in dieser Datenschutzerklärung festgelegten Massnahmen, nicht unterschritten werden.
6. Incident-Response Management
Um bei vermuteten oder erkannten Sicherheitsvorfällen, Betriebsstörungen und Ausfällen mit klaren Prozessen und Verantwortlichkeiten schnellstmöglich zu reagieren, einen normalen Betrieb wiederherzustellen und den Schaden zu minimieren kommt das Incident-Response Management zum Einsatz.
Prävention & Vorbereitung
Swiss Digital trifft vorbeugende Massnahmen, um Sicherheitsvorfälle, Datenpannen und Betriebsstörungen auf ein Minimum zu reduzieren. Dies beinhaltet die in diesem Kapitel umschriebenen technischen und organisatorischen Massnahmen, wie das Überwachen der Serverinfrastruktur mit Einsatz von Firewalls und Intrusion-Detection-Systemen, einem 24×7 Monitoring Operations-Center und Weiteren.
Die Swiss Digital verfügt über eine überschaubare Organisation mit flachen Hierarchien, die eine agile Herangehensweise zur Unterstützung beim formalen Incident-Response Prozess erlaubt, um schnellere Reaktions- und insbesondere Korrekturzeiten zu ermöglichen. Diese Funktionen sind im nachfolgend umschriebenen Incident-Response Prozess relevant:
- Management
- Interner Security Officer
- IT-Team
- 24×7 Operations-Center
- Applikationsverantwortlicher
- Controlling
Erkennung & Einstufung
Sicherheitsvorfälle und Betriebsstörungen werden gemeldet und erfasst durch:
- Monitoring System – Ausfälle, Störungen und Unregelmässigkeiten werden im zentralen Monitoring System («BigEye») automatisch erfasst, sowie automatisch eine Email und SMS an den Zuständigen im 24×7 Operations-Center gesendet (24×7 Wachdienst). Reagiert er nicht, folgt ein automatischer Anruf. Erfolgt keine Reaktion wird der Anruf auf die zweite zuständige Nummer weitergeleitet und sofern auch hier keine Reaktion erfolgt geht der Anruf an das Management. Der 24×7 Operations-Center ist geschult gewisse Vorfälle selbst zu lösen oder muss das IT-Team und andere Verantwortliche (Kontaktliste vorhanden) sofort kontaktieren, sofern die Prioritätsstufe «Major» oder höher ist. Auf jeden Fall muss er immer ein Ticket im zentralen Ticketsystem eröffnen.
- Mitarbeiter – der Mitarbeiter muss im internen Ticketsystem die Meldung erfassen.
- Kunden – im SLA ist die Kommunikation sowie die Kontaktpersonen/-möglichkeiten definiert. Meldungen müssen schriftlich auf eine Emailadresse erfolgen, welche mit dem internen Ticketsystem verknüpft ist. Sollte die Meldung telefonisch erfolgen, wird der Kunde seitens Swiss Digital aufgefordert die Email nachträglich zu senden.
- Benutzer – der Kunde ist verantwortlich Meldungen von Benutzern anzunehmen und zu bearbeiten. Es bestehen keine formellen Meldungsmöglichkeiten und sollte eine Meldung von einem Benutzer eintreffen, so muss der Empfänger seitens Swiss Digital dies dem Kunden mitteilen. Betrifft die Meldung Sicherheitsvorfälle, Datenpannen oder Betriebsstörungen, so muss der Empfänger seitens Swiss Digital diese auch im internen Ticketsystem erfassen. Die Bearbeitung und Auskunft an den Endbenutzer erfolgen in Koordination mit dem Kunden.
Eine Meldung wird in drei Prioritätsstufen qualifiziert:
- Critical – Vorfälle, Störungen oder Ausfälle, die den üblichen Betrieb nicht ermöglichen, personenbezogene oder sensitive Daten betreffen oder erhebliche finanzielle oder Reputationsverluste mit sich tragen.
- Major – Vorfälle und Störungen, die den Betrieb nur beschränkt ermöglichen, personenbezogene oder sensitive Daten einer kleineren Personengruppe oder Anwendung betreffen oder finanzielle oder Reputationsverluste mit sich tragen können.
- Minor – Vorfälle und Störungen, die einen alltäglichen Betrieb nicht oder mit vernachlässigbarer Funktionsbeeinträchtigung behindern, keine oder unwesentliche Daten betreffen und keine oder minime finanzielle oder Reputationsverluste mit sich tragen.
Sofern die Meldung vom Kunden erfolgt, wird gemeinsam mit dem Kunden die Priorität eingestuft.
Das Incident-Response Team wird gebildet und die Verantwortlichkeiten erteilt:
- Alle Meldungen werden im Ticketsystem erfasst
- Das 24×7 Operations-Center triagiert über die Prioritätsstufe und Kontaktliste die Verantwortung (nach Kontaktaufnahme) weiter und informiert die notwendigen Personen.
- Der Incident-Response Verantwortliche formiert das Incident-Response Team, welches i.d.R. aus IT-Teammitgliedern und/oder Applikationsverantwortlichen besteht. Diese können Aufgaben auch an andere Funktionen wie System Architekten, Entwickler, Tester etc. erteilen.
- Das Controlling ist eine zuständige Person, die während den Bürozeiten alle Tickets im Ticketsystem kontrolliert. So wird sichergestellt, dass das zentrale Ticketsystem sauber geführt wird und auch Tickets mit niedriger Prioritätsstufe stets bearbeitet werden.
Restriktion
Während der Restriktion soll die Kontrolle über die Situation wiedergewonnen, der Schaden isoliert, sowie dessen Umfang minimiert werden. Die Ursachen müssen ausfindig gemacht und die Ausweitung auf weitere Systeme, Anwendungen oder Daten verhindert werden. Dies geschieht unter anderem durch:
- Sperren von Zugangsdaten, bei Bedarf Kunden benachrichtigen
- Das Zurücksetzen aller Sessionen
- Prüfen von Benutzeraktivitäten in Log Files oder Protokollen
- Backup erstellen und runterfahren von betroffenen Systemen
- Prüfen der betroffenen Backups auf einem sicheren isolierten/lokalen Test-System
- Prüfen ob weitere Systeme betroffen sind
- Testen von (betroffenen) Applikationen
- Zeitnahe System/Software/Plugin-Patches vornehmen/planen
- Bei DOS/DDOS Angriffen; WAN/ISP kontrollieren/sperren, Webportale auf Captcha prüfen/updaten
- Virus Verbreitung wird durch einzelne Virtual LAN verhindert (präventiv)
- Verlust/Zugriff auf personenbezogene Daten prüfen, Meldepflicht abklären
- Informierung von Kunden und weiteren Mitarbeitern erwägen, um Schaden zu minimieren
- Bei «Major» und «Critical» Vorfällen muss das Management und der Security Officer über den Fortschritt informiert werden
Behebung
Die Behebung versteht die Beseitigung der Störung und Symptome auf den betroffenen Systemen, Komponenten und Anwendungen, um eine Gebrauchsfähigkeit und Tauglichkeit entsprechend dem Zustand vor der Störung möglichst schnell aufrecht zu erstellen.
- Das System mit dem letzten Backup vor der Störung/Sicherheitsvorfall wiederherstellen
- Webapplikation ausbessern und updaten oder auf vorherige Versionen zurücksetzen
- System/Software/Plugin-Patches vornehmen
- Kontrollieren ob erneute Ausfälle/Störungen/Angriffe mit der Behebung verhindert werden
Korrektur
Mit der Korrektur ist die Ursache behoben und die Systeme, Anwendungen und Daten so wiederhergestellt, dass der alltägliche Betrieb wieder gewährleistet ist. Die Korrektur muss tiefgründig und ohne Workarounds vorgenommen werden, sowie Schutzmechanismen eingeführt und validiert werden, die den erneuten Angriff, Ausfall oder Störung verhindern.
Reporting & Verbesserung
Nach jeglichen Sicherheitsvorfällen und Störungen müssen die Ursachen und vorgenommenen Schritte/Lösungen/Korrekturen analysiert werden mit dem Ziel sich stets zu verbessern. Die Erkenntnisse müssen rapportiert und der Incident-Management Prozess mit Schwerpunkt auf der Prävention überarbeitet werden.
- Jeder Vorfall muss dokumentiert und folgende Informationen enthalten (Report):
- Schwerestufe
- Datum vom Vorfall
- ID und Titel des Tickets
- Aufzählung der involvierten Teammitglieder
- Problem-/Ursachenbeschreibung
- Vorgenommene Schritte zur Behebung
- Korrekturmassnahmen
- Learnings aufzählen
- Bei «Major» und «Critical» Vorfällen:
- muss der Report an das Management und den Security Officer gesendet werden
- kann das Ticket nur mit einer schriftlichen Bestätigung vom Management geschlossen werden.
- Abklärung ob Kunden, Partner oder Aufsichtsbehörden (Art. 33 DSGVO) benachrichtigt werden sollen/müssen.
- Bei Bedarf Aktivitäten zur Sensibilisierung von Mitarbeitern
7. Sichere Entwicklung
Sichere Software erfordert die konsequente Anwendung der Prinzipien des sicheren Programmierens bei allen Mitarbeitern im Unternehmen. Diese müssen im gesamten Projektlebenszyklus der Softwareentwicklung eingebunden werden, von der Anforderungsanalyse, Konzeption bis hin zur Einführung und dem Unterhalt.
Die Swiss Digital AG orientiert sich an den OWASP Secure Coding Guidelines für die Programmierung von sicherem Code, um zu gewährleisten, dass alle Anwendungen und Systeme mit einheitlich hohen Sicherheitsstandards entwickelt werden und Entwickler gängige Programmierfehler vermeiden.
Die OWASP Secure Coding Guidelines liefern Entwicklern das Konzept und Leitlinien bei der Erstellung von sicherem Code. Um sicherzustellen das alle Entwickler mit diesen vertraut sind und diese auch entsprechend anwenden, setzen wir auf jedem Projekt pro Plattform (bspw. Backend, iOS, Android etc.) stets einen Senior-Entwickler mit mind. 3 Jahre Erfahrung auf der entsprechenden Plattform ein. Zudem führen wir regelmässige Code-Reviews und Schulungen durch, um zu gewährleisten, dass die Prinzipien der sicheren Programmierung bei Softwareprojekten stets umgesetzt werden.
Nachfolgend gehen wir kurz auf unsere Massnahmen bei der Webentwicklung ein, die wir gegen die Top 10 sicherheitskritischen Risiken gemäss OWASP für Webanwendungen einsetzen:
Injection
Verschiedene Massnahmen zur Sicherstellung, dass die Daten gesäubert und validiert werden, bevor sie weiter prozessiert werden, werden getroffen. Mehrere Schutzschichten wie z.B. die Verwendung von parametrisierten Schnittstellen mit PDO Parameter Bindung werden implementiert.
Fehler in der Authentifizierung
Die Authentifizierung wird für jeden Request durchgeführt und durch «Guards» und «Middlewares» sichergestellt, dass reine Authentifizierungsdaten eintreffen und somit der nicht berechtigte Zugang unterdrückt wird. Zusätzliche Sicherheit wird durch das regelmässige Ändern der Admin-Passwörter sichergestellt. Bei besonders sensiblen Anwendungen wird in Absprache mit dem Auftraggeber die regemässige Aufforderung zur Passwortänderung, sowie die Begrenzung und Verzögerung der Anmeldeversuche implementiert. Das OAuth2 Protokoll wird verwendet.
Verlust der Vertraulichkeit sensibler Daten
Durch die Verwendung HTTPS/SSL werden Daten nur verschlüsselt versendet. Die Daten sind an sicheren Orten untergebracht und sensitive Informationen sind zusätzlich verschlüsselt.
XML External Entities (XXE)
Generell nutzen wir kein XML für unsere Systeme oder Datenkommunikation. Sollte XML verwendet werden, dann nur von bekannten Quellen.
Fehler in der Zugriffskontrolle
Alle Anfragen gehen durch «Guards» und «Middlewares» die prüfen, ob ein Nutzer oder Nutzergruppe und deren Anfragen berechtigt sind auf gewisse Ressourcen oder Daten zu greifen. Auf der Produktionsumgebung sind nur die spezifizierten und notwendigen Files verwendet (keine Doc, Git Files oder ähnliche). Die Server Directories sind nicht zugänglich.
Sicherheitsrelevante Fehlkonfiguration
Inhouse Sicherheitsmechanismen kontrollieren, dass alle Anwendungen sicher sind. Bspw. werden alle Anwendungen periodisch (mehrmals am Tag) geprüft zum Sicherstellen ob alle Abhängigkeiten aktuell sind und keine Sicherheitslücken bestehen. Falls Server oder Instanzen falsch konfiguriert sein sollten, können die Daten wegen der verschlüsselten Kommunikation nicht durchbrochen werden.
Cross-Site Scripting (XSS)
Escaping Mechanismen stellen sicher, dass Daten nur wie vorgesehen interpretiert werden können, bei API Anfragen, dem Beschreiben von Datenbanken oder für abgehende Daten.
Unsichere Deserialisierung
Die Anwendungen nehmen keine serializierten Objekte von unbekannten Quellen an.
Nutzung von Komponenten mit bekannten Schwachstellen
Alle Abhängigkeiten und Projekt-Bibliotheken werden täglich (automatisiert) geprüft, um sicherzustellen, dass alle Sicherheitslücken gepatched sind und veraltete Bibliotheken ersetzt oder aktualisiert werden.
Unzureichendes Logging & Monitoring
Unsere Systeme loggen per Default alle wesentlichen Handlungen, die in Datenbanken gespeichert werden (mit täglichem Backup). Auf Applikationsebene sind die Entwickler sensibilisiert wichtige Handlungen und besonders solche die personenbezogene Daten verarbeiten zu protokolieren. Alle Systeme und Anwendungen werden täglich auf bekannte Sicherheitslücken, verdächtige Dateien oder Änderungen geprüft (automatisiertes Monitoring).
Detailliertere Angaben zum Thema Datenschutz und Datensicherheit können Sie unter der Email datenschutz@theswissdigital.ch anfordern.
Stand Oktober 2020.