Vertrauen ist die Grundlage erfolgreicher Geschäftsbeziehungen.
Warum Sie uns vertrauen können und wie wir sicherstellen, Ihr Vertrauen auch zu verdienen, haben wir hier transparent zusammengefasst.
Erfahren Sie mehr über Mindbreeze!
SaaS Assurance - Überblick
SaaS Assurance umfasst mehr als die Qualität (Quality Assurance) eines SaaS-Dienstes. Immer mehr Unternehmen überlegen, SaaS-Dienste für Geschäftsprozesse in Anspruch zu nehmen. Diese Firmen erwarten von ihren SaaS-Anbietern Zusicherungen für die Sicherheit und Zuverlässigkeit der SaaS-Dienste. Das „Information Assurance Framework“ der „European Network and Information Security Agency“ (ENISA) definiert einen Fragenkatalog für SaaS Assurance. ENISA empfiehlt Unternehmen, diesen Fragenkatalog von potentiellen SaaS-Anbietern beantworten zu lassen, um eine Einschätzung für die Vertrauenswürdigkeit dieser Anbieter zu erhalten.
Personnel Security
Hier geht es um Sicherheitsmaßnahmen für das Personal des SaaS-Anbieters. Welche Richtlinien und Verfahren gibt es, wenn IT-Administratoren oder andere Personen mit Systemzugang angestellt werden? Gibt es Überprüfungen bezüglich Identität, Lebenslauf und Vorstrafen vor der Einstellung? Bietet der SaaS-Anbieter seinem Personal Sicherheitschulungen an? Gibt es kontinuierliche Überprüfungen und Evaluationen für das Personal?
Fabasoft sensibilisiert alle Mitarbeiterinnen und Mitarbeiter zum Thema Informationssicherheit. Bei Eintritt ins Unternehmen ist die Vorlage eines Strafregisterauszugs sowie die Unterzeichnung einer Datenschutzerklärung und einer Informationssicherheits-Vereinbarung vorgeschrieben. In der Fabasoft Academy finden regelmäßig Schulungen zu Informationssicherheit statt. Fabasoft erfüllt darüber hinaus alle Anforderungen für personelle Sicherheit aus der Zertifizierung nach ISO 27001 und der Prüfung gemäß ISAE 3402 Type 2 durch PricewaterhouseCoopers. Dazu gehört insbesondere die lückenlose Nachvollziehbarkeit und Transparenz von Aktivitäten in den SaaS-Rechenzentren: jede Aktivität muss vor der Durchführung geplant, angekündigt und im 4-Augen-Prinzip genehmigt sein. Die Durchführung muss dokumentiert und nachvollziehbar sein.
Supply-Chain Assurance
Dieses Kriterium hat essentielle Bedeutung, wenn ein SaaS-Anbieter wichtige Operationen an einen Drittanbieter auslagert. Im Wesentlichen betrifft dies vor allem SaaS-Anbieter, die selbst "Infrastructure as a Service" Leistungen von Drittanbietern für den Betrieb ihrer SaaS-Dienste in Anspruch nehmen, also beispielsweise ihre SaaS-Dienste auf den Plattformen von Amazon oder bei der deutschen Telekom betreiben. In diesem Fall muss der SaaS-Anbieter darstellen, wie er den Drittanbietern Zugang zur Infrastruktur seiner SaaS-Dienste einräumt und welche Kontrollmechanismen für diese Drittanbieter existieren. Welche Maßnahmen stellen etwa sicher, dass die Service-Levels, die der SaaS-Anbieter seinen Kunden anbietet, auch von den Drittanbietern eingehalten werden?
Fabasoft stellt die SaaS-Dienste ausschließlich mit Fabasoft-eigener Wertschöpfung zur Verfügung. Fabasoft betreibt eigene Hardware in Hochleistungsrechenzentren und mietet sich dafür lediglich Raum inklusive Kühlung sowie ausfallsichere Strom- und Internet-Anbindungen. Der vollständige Source-Code für die Mindbreeze InSpire-Dienste liegt bei Mindbreeze, inklusive der Betriebssysteme (Enterprise Linux).
Betriebssicherheit
Neben der Garantie von Service-Levels sollte ein Unternehmen sicher vergewissern, dass der SaaS-Anbieter angemessene Kontrollen einsetzt, um die unbefugte Offenlegung von Kundendaten zu verhindern. Dies ist in den Bereichen Software Assurance, Patch Management, Netzwerkarchitekturkontrollen, Host Architektur, Ressourcenbereitstellung, der PaaSApplikationssicherheit und SaaS-Applikationssicherheit zu hinterfragen.
Software Assurance:
Wie schützt der SaaS-Anbieter die Integrität von Betriebssystem und Applikationssoftware? Welche Standards werden dazu eingehalten? Werden Umgebungen bereitgestellt um Risiken zu reduzieren, wie z.B.: Entwicklungs-, Test und Betriebsumgebungen, und sind diese voneinander getrennt? Welche Kontrollen bieten Schutz gegen schädlichen Code? Wie sehen die Richtlinien und Vorgangsweisen für Backups aus?
Patch Management:
Nach welchem Verfahren erfolgt das Patch Management? Stellt der SaaS-Anbieter sicher, dass der Patch Management Prozess alle Schichten der SaaS-Technologie abdeckt wie z.B. Netzwerke, Server-Betriebssysteme, Virtualisierungssoftware, Applikations- und Sicherheitssubsysteme?
Netzwerkarchitektur-Kontrollen:
Welche Levels der Isolation werden genutzt (für virtuelle Maschinen, Netzwerke, Speicher, etc.)? Unterstützt die Architektur eine Systemfortsetzung der SaaS-Dienste, wenn das Unternehmen vom SaaS-Anbieter getrennt wird und auch umgekehrt? Gibt es beispielsweise eine kritische Abhängigkeit zum Benutzerverzeichnis des Kunden?
Host Architektur:
Läuft die Host Firewall mit den minimal benötigten Ports, um die Services innerhalb der virtuellen Instanz zu unterstützen?
PaaS-Applikationssicherheit:
Kann ein "Platform-as-a-Service" Anbieter die Sicherheit seiner Plattform garantieren? Wie stellt der PaaS-Anbieter sicher, dass auf unternehmensinterne Daten nur das Unternehmenspersonal und Unternehmensapplikationen Zugriff haben? Sorgt der Anbieter dafür, dass die Plattform gegen Verwundbarkeit durch Applikationen geschützt ist?
SaaS-Applikationssicherheit:
Beim SaaS Modell sorgt der SaaS-Anbieter für das Management der Anwendungen. Damit ist der SaaS-Anbieter auch Hauptverantwortlicher für die Sicherheit dieser Applikationen. Welche Administratoren-Kontrollen sind etabliert? Können diese auch genutzt werden, um anderen Benutzern Schreib- und Leserechte zu erteilen? Gibt es detaillierte Zugriffskontrollen und kann diese auch an die eigenen Organisationsrichtlinien angepasst werden?
Ressourcenbereitstellung:
Wie kann erweitert werden? Garantiert der Anbieter maximal verfügbare Ressourcen in minimaler Zeit? Welche Prozesse werden verfolgt, um Trends im Ressourcenverbrauch zu beherrschen, z.B. saisonale Effekte?
Fabasoft trennt strikt zwischen Entwicklungs-, Test- und Produktivsystemen. Die Softwareentwicklung erfolgt nach der agilen Projektmanagementmethodik SCRUM. Die SaaS- Dienste werden monatlich mit neuen SaaS-Features aktualisiert. Der Update der SaaS-Dienste erfolgt mit Zero Known Defects. Das bedeutet, zum Zeitpunkt des Updates in der Produktivumgebung sind alle bei Fabasoft gemeldeten und erfassten Defekte behoben. Jeder Software-Build durchläuft umfassende automatische Tests in einer Continuous Integration Umgebung, damit potentielle Defekte zu einem möglichst frühen Zeitpunkt erkannt werden. Jeder SaaS-Benutzer kann über den Support-Button in der SaaS-Anwendung direkte Rückmeldungen zu Defekten oder neuen SaaS-Features geben. Diese werden unmittelbar in die agile Softwareentwicklung eingebracht, priorisiert und über die monatlichen SaaS-Updates rasch adressiert (User Experience Management).
Identitäts- und Zugriffsmanagement
Ein Unternehmen sollte die Identitäts- und Zugriffsmanagementsysteme eines SaaS-Providers hinterfragen: Autorisierung, Identitätsbereitstellung, Management von persönlichen Daten, Key Management, Encryption, Authentifizierung, Berichtigungsschäden oder Diebstahl, angebotene Identitäts- und Zugriffsmanagementsysteme.
Autorisierung:
Gibt es Benutzerkonten, welche systemweite Sonderrechte für die gesamten SaaS-Dienste haben und wenn ja, welche Rechte sind das (Lese-, Schreibe-, Löschrechte)? Wie werden die Konten mit den höchsten Rechten authentifiziert und gemanagt?
Identitätsbereitstellung:
Welche Überprüfungen gibt es bzgl. Identität der Benutzerkonten bei der Registrierung und werden dabei Standards verfolgt?
Management von persönlichen Daten:
Sind die Verzeichnisse der Nutzerdaten in einem kompatiblen Format exportierbar? Welche Datenspeicherungs- und Sicherungskontrollen treffen auf die Nutzerverzeichnisse zu?
Key Management:
Hierbei geht es nur um jene Keys (Schlüssel), welche unter der Kontrolle des SaaS-Providers stehen. Gibt es Sicherheitskontrollen für das Lesen und Schreiben solcher Keys, also zum Beispiel strenge Passwortrichtlinien, Keys in einem separaten System gespeichert, Hardware Sicherheitsmodule, kurze Laufzeit der Keys etc.?
Verschlüsselung (Encryption):
Wo wird Verschlüsselung eingesetzt (Daten im Prozessor, Daten im Speicher etc.)? Wird Verschlüsselung bei User-Namen und Passwörter eingesetzt? Gibt es eine definierte Richtlinie wofür Verschlüsselung eingesetzt werden muss?
Authentifizierung:
Welche Form der Authentifizierung wird für Operationen, welche hohe Assurance benötigen, eingesetzt?
Berichtigungsschäden oder Diebstahl:
Gibt es eine Erkennung für Unregelmäßigkeiten, also die Möglichkeit anormalen oder potentiell schädliche IP-Verkehr zu detektieren?
Identitäts- und Zugriffsmanagementsysteme:
Hier geht es um Identitäts- und Zugriffsmanagementsysteme die vom SaaS-Provider dem SaaS-Kunden zur Nutzung und Kontrolle angeboten werden. Ist der SaaS-Provider kompatibel mit Identitätsprovidern von Dritten? Gibt es die Möglichkeit zum Single-Sign-On? Lässt das System des Client zu, dass Rollen und Verantwortung sowie multiple Domains getrennt werden oder gibt es einen einzigen Key für multiple Domains, Rollen und Verantwortungen? Wie identifiziert der SaaS-Provider sich beim Kunden (z.B.: multiple Authentifizierung)?
Jede Kommunikation zwischen den Anwendergeräten und den Mindbreeze InSpire-Diensten ist ausnahmslos über SSL-Verschlüsselung nach dem RSA-Verfahren geschützt (HTTPS Standard). In den Fabasoft Rechenzentren erfolgt die Datenverschlüsselung über Self Encrpyting Disks.
Asset Management
Ein SaaS-Anbieter muss eine aktuelle Liste über sein Inventar an Hardware und Software (Applikationen) führen. Dies gibt dem SaaS-Kunden die Sicherheit, dass alle Systeme angemessen kontrolliert werden und es keine Hintertür in die Infrastruktur gibt. Führt der Anbieter eine Liste der Assets, die ein Kunde über eine bestimmte Zeitperiode genutzt hat? Verwendet der SaaS-Provider eine automationsgestützte Inventarisierung?
Fabasoft ist zertifiziert nach dem Standard ISO 20000 und erfüllt damit alle Anforderungen dieses Standards für die automationsgestützte Führung des Hardware- und Software-Inventars.
Data and Services Portability
Unternehmen müssen das Lock-in Risiko bei einem SaaS-Anbieter hinterfragen. Gibt es dokumentierte Prozeduren oder APIs für den Datenexport aus den SaaS-Diensten? Stellt der Lieferant kompatible Formate für den Export von Daten zur Verfügung? Sind APIs standardisiert?
Business Continuity Management
Ein SaaS-Anbieter muss seinen Kunden die Kontinuität des SaaS-Betriebs im Schadensfall glaubhaft darstellen. Hat der Provider dokumentiert welche Auswirkungen ein Schadenfall hätte? Was wäre dabei der Wiederherstellungszeitpunkt und was die Wiederherstellungsdauer? Welche Abhängigkeiten zu Lieferanten und Outsourcing-Partnern existieren für den Wiederherstellungsprozess? Können die Auswirkungen eines störenden Ereignisses auf einem akzeptablen Niveau gehalten werden (Unfallmanagement)? Gibt es beim Provider einen formalen Prozess, welcher Vorfälle herausfindet, identifiziert, analysiert und adressiert? Wird dieser Prozess geprobt und vorbereitet, sodass bei einem richtigen Vorfall dieser effektiv bewältigt werden kann? Wie werden Vorfälle dokumentiert und Beweise gesichert?
Fabasoft erfüllt die Anforderungen für die Kontinuität des SaaS-Betriebs im Schadensfall gemäß den Anforderungen aus der Zertifizierung nach ISO 20000 und aus der Prüfung gemäß ISAE 3402 Type 2 durch PricewaterhouseCoopers.
Physical Security
Die physische Sicherheit ist deshalb so wichtig, weil viele SaaS-Anbieter die Kontrolle über ihre IT-Infrastruktur an einen Dritten weitergeben, also outsourcen. Welche Assurance können Sie dem Kunden geben bezüglich der physischen Sicherheit des Standortes? Wer hat zum Beispiel neben dem IT-Personal noch Zugriff auf die IT-Infrastruktur (z.B.: Reinigungspersonal)? Wie oft werden Zugriffsrechte erneuert? Wird das Personal, das auf sicherere Bereiche Zugriff hat, überwacht? Verwendet das Personal portables Equipment, wie Laptops oder Smartphones, welche Zugriff auf das Rechenzentrum ermöglicht?
Alle Fabasoft Rechenzentren sind mit Alarmsystemen ausgestattet, die im Falle eines nicht erlaubten Zutrittsversuches sofort die Exekutive verständigen. Zusätzlich sind die Rechenzentren mit Videoüberwachung ausgestattet.
Der Zutritt zu den Rechenzentren ist nur wenigen autorisierten Mitarbeitern gestattet. Details dazu erfahren Sie im Dokument Leistungsmerkmale Rechenzentrumsbetrieb.
Umweltbedingte Sicherheitsmaßnahmen
Welche Prozeduren oder Richtlinien gibt es, welche dafür sorgen, dass Umweltangelegenheiten keine Unterbrechungen des Services fordern? Welche Methoden werden genutzt um sich vor Schäden vor Feuer, Fluten oder Erdbeben zu schützen?
Der Betrieb der Mindbreeze InSpire-Dienste erfolgt in insgesamt zwei Rechenzentren pro Lokation. Ein aktives Rechenzentrum und ein Backup-Rechenzentrum.
Die beiden Standorte der Rechenzentren sind physisch getrennt. Beide Rechenzentren sind jeweils mit redundanter Klimatisierung und redundanter Netzwerkinfrastruktur ausgestattet.
Im Falle einer Unterbrechung der Stromversorgung können alle Rechenzentren die Stromversorgung der Komponenten für bis zu 15 Minuten aufrechterhalten. Mindestens ein Rechenzentrum pro Lokation kann die Stromversorgung der eingesetzten Komponenten über eine USV mit angeschlossenem Diesel-Notstromaggregat auch bei längerer Unterbrechung aufrechterhalten.
Im Backup-Rechenzentrum wird eine Backup-Infrastruktur zur Sicherung aller Daten betrieben. Das Backup-Rechenzentrum ist mit eigener Zutrittsregelung, redundanter Klimatisierung und Netzwerkinfrastruktur sowie einer Notstromversorgung ausgestattet.
Die Rechenzentren sind mit Brandfrühesterkennung bzw. präventivem Brandschutz ausgestattet.