Infrastruktur

Auslagerung der gesamten IT in ein Rechenzentrum

Alle für das Webportal relevanten Systeme sind in einem hochmodernen und hochpräsenten Rechenzentrum von MESH in Deutschland untergebracht. Die Betreuung der Systeme wird von der E&R AG und dem Dienstleister ITSM GmbH gleichermaßen sichergestellt. Durch die Auslagerung der Systeme in ein dazu ausgelegtes Rechenzentrum werden die Gefahren wie unbefugter Zutritt oder Umwelteinflüsse wie z. B. Feuer, Hochwasser minimiert, da geeignete Redundanzen und Gegenmaßnahmen (z. B. Löschanlage, Zutrittskontrolle etc.) eingesetzt werden.

Vorhalten eines Ausweichrechenzentrums

Um eine höchstmögliche Ausfallsicherheit zu gewährleisten, werden die wichtigsten Systeme in einem Backup-Rechenzentrum in den eigenen EDV-Räumlichkeiten bereitgestellt. Diese Erweiterung, der im Rechenzentrum ohnehin gegebenen Redundanz, um eine weitere Ebene minimiert zusätzlich Risiken, z. B. durch schwerwiegende Naturkatastrophen oder An-schläge auf das Rechenzentrum bzw. die allgemeine Infrastruktur.

Überprüfung der Wirksamkeit von Kontroll- und Management Systemen

Das interne Kontrollsystem (IKS) der E&R AG wird regelmäßig nach IDW PS 951 zertifiziert. Die Softwareinfrastruktur wird hinsichtlich Datenschutz und Informationssicherheit durch die TÜV TRUST IT GmbH regelmäßig geprüft. In diesem Rahmen wird die TÜV TRUSTED APPLICATION Zertifizierung ausgestellt. E&R hat darüber hinaus Ende 2021 eine ISO/IEC: 27001 Zertifizierung erlangt..

Penetrationstests und Systemaudits

Die E&R AG lässt von der TÜV Trust IT GmbH regelmäßige Penetrationstests und Systemaudits durchführen, bei denen Software als auch Infrastruktur hinsichtlich System-Härtung und sicherer Architektur überprüft werden. Darüber hinaus führt E&R interne Audits durch in denen die Wirksamkeit und Einhaltung von Kontrollen zur Informationssicherheit geprüft werden.

Backup und Monitoring

Die E&R AG sorgt für eine ständige Sicherung von Systemzuständen, so dass eine Wiederherstellung der Datenbestände im Notfall Szenario jederzeit gegeben ist. Darüber hinaus überwacht die E&R ständig die Systemauslastungen, um für eine permanente Erreichbarkeit der HR Lösungen zu sorgen. Die Einhaltung dieser IT-Kontrollen wird regelmäßig überprüft.

Bereitstellung des Webportals über eine gesicherte Verbindung

Das Webportal ist nur über eine verschlüsselte Verbindung (HTTPS) zu erreichen. Andere Verbindungsversuche werden blockiert bzw. an HTTPS weitergeleitet. Zur Verschlüsslung kommt der Standard TLSv1 bzw. SSLv3 zum Einsatz. Unsichere Chiffrierungsmethoden sind dabei explizit ausgeschlossen. Die Echtheit der Datenpakete wird durch ein „PositiveSSL Certificate“ (derzeit 2048 Bit) der Comodo CA Limited bestätigt.

Filterung des Datenverkehrs

Der gesamte Datenverkehr über das Internet wird durch ein zweistufiges Paketfiltersystem (Firewall) geregelt. An dieser Stelle werden restriktiv alle nicht explizit erlaubten Verbindungs-versuche unterbunden. Zusätzlich zum allgemeinen Virenschutz werden alle Verbindungen auf Schadcode gescannt. Die Webportale befinden sich in einer als DMZ bezeichneten Zone und können nur auf festgelegte Schnittstellen zugreifen.

Verschlüsselung von Passwörtern

Die Benutzer melden sich mit einer Kombination aus Benutzername und Passwort auf Ren-tenmanager.com (portal.hr-direkt.de/Login/#/login) an. Die Anmeldeinformationen befinden sich in einer Datenbank. Die Ablage der Passwörter erfolgt in Form von SHA1 Hashes, die mit Hilfe einer als „Salting“ bezeichneten Methode mit einem Zufallswert kombiniert wurden. Das sogenannte Salting erschwert im Falle eines unerlaubten Zugriffs auf die Datenbank den Einsatz von zuvor erstellten Hashwert-Tabellen (Rainbow-Tables), um die Klartext-Passwörter zu ermitteln.

Gesonderter Versand der Authentifizierungsfaktoren

Die Benutzer bekommen nach der Erstanmeldung die Kombination aus Benutzername und Passwort in zwei separaten Briefen (PIN-Briefe mit Sicherheitssiegel) mitgeteilt. Mit dem Erstpasswort können sie sich nur dreimal anmelden. Während der ersten drei Anmeldungen werden die Benutzer aufgefordert ihr Passwort zu ändern. Wenn das Passwort nicht rechtzeitig geändert wird, wird der Benutzer-Account gesperrt. Zur Änderung eines Passwortes muss das neue Passwort eine definierte Mindestkomplexität erfüllen. Das Versenden der einzelnen Authentifizierungsfaktoren in getrennter Post stellt sicher, dass falsch zugestellte oder unberechtigt geöffnete Einzelsendungen nicht zum Erlangen aller zur Authentifizierung notwendigen Faktoren führen. Durch die begrenzte Gültigkeit des Passwortes und die Verwendung eines versiegelten PIN-Feldes wird eine Manipulation erschwert.

Plausibilitätsprüfung

Alle in den Geschäftsprozessen erstellten Daten werden einer maschinellen Plausibilitätsprüfung unterzogen. Ergebnisse der automatischen Prüfung werden durch Mitarbeiter geprüft und dokumentiert.

Mitarbeiter Briefing und kontinuierliche Schulungen

Alle Mitarbeiter werden bei Eintritt in das Unternehmen intensiv auf ihre Arbeit mit hochsensitiven Daten vorbereitet. Die Vorbereitung umfasst sowohl Unterweisungen zur sicheren Nutzung der Datenverarbeitungsanlagen als auch den allgemeinen Umgang mit im Unternehmen verarbeiteten Daten jeder Art. Weiter verpflichten sich alle Mitarbeiter durch Unterzeichnung einer Verschwiegenheitserklärung dazu, gegenüber Dritten Stillschweigen über sämtliche ihnen anvertrauten Informationen und Daten zu wahren. Alle Mitarbeiter nehmen regelmäßig an Weiter- und Fortbildungen anhand interner und externer Schulungen teil.

Allgemeine Sicherheitsmaßnahmen

Zu den oben aufgeführten Sicherheitsmaßnahmen kommen die in Unternehmen üblichen Sicherheitsvorkehrungen wie aktueller Virenschutz, Zutrittskontrolle zu den Räumlichkeiten, Brandschutz, redundante Internetanbindung, regelmäßige Wartung technischer Anlagen, etc.