Informationssicherheit

HR direkt ist eine cloudbasierte Gesamtlösung, bei der die Software auf einer eigenen Systeminfrastruktur läuft, die von E & R betrieben wird.

Diese Systeminfrastruktur wird als Cloud-Serversystem in Rechenzentren in Düsseldorf gehostet. Der Zugriff der Anwender erfolgt über ein Online-Portal. Eine Softwareinstallation in Ihrer Organisation ist dadurch nicht erforderlich. Sie benötigen deshalb für den Betrieb der Software keinen Support von der eigenen IT-Abteilung. Diese hat keinen Zugriff auf die sensiblen Personaldaten.

HR direkt bietet durch unsere zertifizierten Rechenzentren in Deutschland ein hohes Maß an Sicherheit und durch das DSGVO-konforme Datenmanagementsystem einen besonders hohen Schutz der gespeicherten und verwalteten Daten.

Folgende Sicherheitsmaßnahmen werden u. a. ergriffen:

Auslagerung der gesamten IT in externes Rechenzentrum

Alle für das Webportal relevanten Systeme sind in einem hochmodernen und hochpräsenten Rechenzentrum von MESH in Deutschland untergebracht. Die Betreuung der Systeme wird von der E&R AG und dem Dienstleister ITSM GmbH gleichermaßen sichergestellt. Durch die Auslagerung der Systeme in ein dazu ausgelegtes Rechenzentrum werden die Gefahren wie unbefugter Zutritt oder Umwelteinflüsse wie z. B. Feuer, Hochwasser minimiert, da geeignete Redundanzen und Gegenmaßnahmen (z. B. Löschanlage, Zutrittskontrolle etc.) eingesetzt werden.

Vorhalten eines Ausweichrechenzentrums

Um eine höchstmögliche Ausfallsicherheit zu gewährleisten, werden die wichtigsten Systeme in einem Backup-Rechenzentrum in den eigenen EDV-Räumlichkeiten bereitgestellt. Diese Erweiterung, der im Rechenzentrum ohnehin gegebenen Redundanz, um eine weitere Ebene minimiert zusätzlich Risiken, z. B. durch schwerwiegende Naturkatastrophen oder An-schläge auf das Rechenzentrum bzw. die allgemeine Infrastruktur.

Überprüfung der Wirksamkeit interner Kontrollsysteme

Das interne Kontrollsystem (IKS) von E&R wird regelmäßig nach IDW PS 951 zertifiziert. Das Informationssicherheitssystem hat ein Zertifikat nach ISO/IEC: 27001.

Penetrationstests und Systemaudits

E&R lässt von der TÜV Trust IT GmbH regelmäßige Penetrationstests und Systemaudits durchführen, bei denen Software als auch Infrastruktur hinsichtlich System-Härtung und sicherer Architektur überprüft werden. Darüber hinaus führt E&R interne Audits durch, in denen die Wirksamkeit und Einhaltung von Kontrollen zur Informationssicherheit geprüft werden.

Backup und Monitoring

E&R sorgt für eine ständige Sicherung von Systemzuständen, so dass eine Wiederherstellung der Datenbestände im Notfall Szenario jederzeit gegeben ist. Darüber hinaus überwacht die E&R ständig die Systemauslastungen, um für eine permanente Erreichbarkeit der HR Lösungen zu sorgen. Die Einhaltung dieser IT-Kontrollen wird regelmäßig überprüft.

Bereitstellung des Webportals über eine gesicherte Verbindung

Das Webportal ist nur über eine verschlüsselte Verbindung (HTTPS) zu erreichen. Andere Verbindungsversuche werden blockiert bzw. an HTTPS weitergeleitet. Zur Verschlüsslung kommt der Standard TLSv1 bzw. SSLv3 zum Einsatz. Unsichere Chiffrierungsmethoden sind dabei explizit ausgeschlossen. Die Echtheit der Datenpakete wird durch ein „PositiveSSL Certificate“ (derzeit 2048 Bit) der Comodo CA Limited bestätigt.

Filterung des Datenverkehrs

Der gesamte Datenverkehr über das Internet wird durch ein zweistufiges Paketfiltersystem (Firewall) geregelt. An dieser Stelle werden restriktiv alle nicht explizit erlaubten Verbindungsversuche unterbunden. Zusätzlich zum allgemeinen Virenschutz werden alle Verbindungen auf Schadcode gescannt. Die Webportale befinden sich in einer als DMZ bezeichneten Zone und können nur auf festgelegte Schnittstellen zugreifen.

Verschlüsselung von Passwörtern

Die Benutzer melden sich mit einer Kombination aus Benutzername und Passwort an. Die Anmeldeinformationen befinden sich in einer Datenbank. Die Ablage der Passwörter erfolgt in Form von SHA1 Hashes, die mit Hilfe einer als „Salting“ bezeichneten Methode mit einem Zufallswert kombiniert wurden. Das sogenannte Salting erschwert im Falle eines unerlaubten Zugriffs auf die Datenbank den Einsatz von zuvor erstellten Hashwert-Tabellen (Rainbow-Tables), um die Klartext-Passwörter zu ermitteln.

2-Faktoren-Authentifzierung

Zusätzlich zum Passwort ist optional noch ein zweiter Faktor für die Anmeldung zum HR direkt Account gefordert werden. Sie entscheide, ob eine Anmeldung nur über eine 2-Faktoren Authentifizierung möglich sein soll. Der zweite Faktor kann über kostenfreie Apps (Microsoft oder Google-Authentificator) generiert oder per E-Mail zugesendet werden.

Mitarbeiter Briefing und kontinuierliche Schulungen

Alle E&R Mitarbeitenden werden bei Eintritt in das Unternehmen intensiv auf ihre Arbeit mit hochsensitiven Daten vorbereitet. Die Vorbereitung umfasst sowohl Unterweisungen zur sicheren Nutzung der Datenverarbeitungsanlagen als auch den allgemeinen Umgang mit im Unternehmen verarbeiteten Daten jeder Art. Weiter verpflichten sich alle Mitarbeitenden durch Unterzeichnung einer Verschwiegenheitserklärung dazu, gegenüber Dritten Stillschweigen über sämtliche ihnen anvertrauten Informationen und Daten zu wahren. Alle Mitarbeitenden nehmen regelmäßig an Weiter- und Fortbildungen durch interne und externe Schulungen teil.

Allgemeine Sicherheitsmaßnahmen

Zu den oben aufgeführten Sicherheitsmaßnahmen kommen die in Unternehmen üblichen Sicherheitsvorkehrungen wie aktueller Virenschutz, Zutrittskontrolle zu den Räumlichkeiten, Brandschutz, redundante Internetanbindung, regelmäßige Wartung technischer Anlagen, etc.

Die Informationssicherheit ist zertifiziert nach ISO/IEC 27001

Bei der Zertifizierung nach ISO/IEC 27001 handelt es sich um die international führende Norm für Informationssicherheits-Managementsysteme (ISMS), sie ist die wichtigste Sicherheits-Zertifizierung im Internet. E&R legt mit diesem nach ISO/IEC 27001 zertifizierten Informationssicherheits-Managementsystem einen wichtigen Grundstein für die Sicherheit von Daten, Informationen und Systemen. So bieten wir Ihnen und unseren Partnern eine verlässliche und belastbare IT, die in Zeiten der Digitalisierung unabdingbar ist.