Datenschutzmaßnahmen

Neben rein technischen Sicherheitsmaßnahmen implementieren wir zusätzliche Maßnahmen, um eine sichere Umgebung für deine und die Daten deiner Kunden zu schaffen, basierend auf den folgenden Standards und Vorschriften:

• Zertifiziertes Informationssicherheitsmanagementsystem (ISMS) basierend auf ISO/IEC 27001,

• Das Bundesdatenschutzgesetz (BDSG), und

• die Datenschutz-Grundverordnung (DS-GVO) der EU.

Verantwortliche Stellen

Informationssicherheitsbeauftragte:

Christian Zagrodnick (CISO)

cz@flyingcircus.io

Christian Schmidt (ISO)

cs@flyingcircus.io

Datenschutzbeauftragter:

Prof. Dr. Andre Döring

Robin Data GmbH

Fritz-Haber-Straße 9 - 06217 Merseburg

https://www.robin-data.io - datenschutz@robin-data.io

+49 3461 4798960

Allgemein

Dieses Dokument beschreibt unsere Sicherheitsmaßnahmen, gemäß GDPR Art. 32 (1). Basierend auf unserer ISO 27001-Zertifizierung betreiben wir ein risikobasiertes ISMS, aus dem sich umfangreichen Sicherheitsmaßnahmen und Dokumentationen ergeben. Wir geben hier nicht die gesamte Dokumentation wieder, sondern nur die Quintessenz.

Da einige der Anforderungen des Gesetzes von der spezifischen (vertraglichen) Situation abhängen, möchten wir zunächst die allgemeine Situation skizzieren, in die dich das Hosting im Flying Circus bringt:

Auftragsverarbeitung

gilt im Rahmen der DS-GVO. Wir werden mit dir einen zur DS-GVO passenden Vertrag zur Datenverarbeitung umsetzen.

Auskunfsrecht

Personen, die von der Datenverarbeitung betroffen sind, haben das Recht, Auskunft darüber zu verlangen, welche Daten über sie gespeichert sind und wie diese Daten gesichert werden.

Regelmäßige Überprüfung auf Einhaltung der Vorschriften:

Es liegt in der Verantwortung des Auftraggebers, routinemäßig zu überprüfen, ob die geltenden Vorschriften von seinem Auftragnehmer eingehalten werden. Jährliche Kontrollen scheinen auch bei hochsensiblen Daten (z.B. Krankenakten) ausreichend zu sein. Das Ergebnis muss in schriftlicher Form dokumentiert werden. Die Prüfung muss in der Regel durch eine dritte Partei durchgeführt werden.

Vertraulichkeit

Zutrittskontrolle

Maßnahmen zur Zutrittskontrolle stellen sicher, dass Unbefugte keinen physischen Zugang zu den Datenverarbeitungsanlagen haben.

Die physischen Anlagen (Server, Switches, Festplatten, …) befinden sich in EU-Rechenzentren, die von Dritten betrieben werden. Das Eigentum an den physischen Anlagen liegt beim Flying Circus, oder, in besonderen Fällen, bei unseren Kunden [1].

Für jedes von uns genutzte Rechenzentrum verlangen wir die folgenden Maßnahmen:

• Videoüberwachung (Außenanlagen, Innenräume und Rack-Korridore)

• Ein zweiter Faktoren für die Zugangsgewährung (z.B. persönliches Passwort und Transponderkarte) mit Protokollierung

• der physische Zugang muss dokumentiert werden

• vorzugsweise 24 Stunden Wachdienst mit vernetztem Alarmsystem

• getrennte physische Sicherheitszonen für allgemeine Bereiche, Rechenzentrumsinfrastruktur und für Kunden zugängliche Bereiche

• separat abschließbare Racks mit der Möglichkeit eigene Schlösser und Schlüssel zu verwenden.

Wir unterhalten ein separates List of data centers.

Der physische Zugang zu Datenverarbeitungsanlagen darf nur von den Flying Circus Administratoren vorgenommen werden. Administratoren können den physischen Zugang an andere Personen (z.B. Mitarbeiter des Rechenzentrums) delegieren.

Standorte mit niedriger Sicherheit

Der Flying Circus betreibt eine Zone mit geringerer Sicherheit, die development (für die Entwicklung der Infrastruktur des Flying Circus) genannt wird.

Diese Standorte dürfen derzeit nicht für die Speicherung von Kundendaten genutzt werden, da sie nicht ausreichend geschützt sind.

Aufgrund dieser Einschränkungen dürfen die Dienste in Hochsicherheitsbereichen nicht von den Diensten in Niedrigsicherheitsbereichen abhängen.

Zugangskontrolle

Maßnahmen zur Zugangskontrolle stellen sicher, dass unbefugte Dritte nicht auf die Datenverarbeitungssysteme zugreifen können.

Maschinen, die von des Flying Circus verwaltet werden, können über eine Vielzahl von Wegen zu Verwaltungszwecken erreicht werden: SSH, Webinterfaces und andere. Für diese verwenden wir ein einheitliches Schema, um Benutzer innerhalb des Flying Circus zu identifizieren und zu autorisieren. Der Zugriff zur Verwaltung der Systeme muss über verschlüsselte Kommunikationskanäle erfolgen.

Die Identifizierung und Autorisierung durch Kundenanwendungen, die nicht von der Flying Circus Infrastruktur verwaltet werden, fallen nicht unter unsere Sicherheitsverantwortung. Unsere Kunden sind verpflichtet, die Sicherheit ihrer Anwendungen selbst zu gewährleisten.

Die Benutzeridentifikation muss mit persönlichen Anmeldedaten erfolgen, damit Aktionen zu einem individuellen Urheber zurückverfolgt werden können. Daher ist es verboten, seine Anmeldedaten mit einer anderen Person zu teilen. Abhängig von der Anwendung können Anmeldedaten entweder ein Benutzername und eine kryptographische Maßnahme (z.B. ein privates/öffentliches Schlüsselschema) oder ein Passwort sein.

Nutzer mit einem Flying-Circus-Konto sind verpflichtet, ihr Passwort sicher zu verwalten: Passwörter dürfen nicht kompromittiert werden, wenn auf ein Gerät unbefugt zugegriffen wird (logisch oder physisch). Zu beachtende Dinge sind z.B.: Home-Verzeichnis auf einem Notebook, Schlüsselbund oder Passwortmanager-Software, Backups, USB-Sticks, Smartphones. Stark verschlüsselte Speicherung von Passwörtern ist erlaubt und sogar angeraten. Für Flying Circus Mitarbeiter gibt es eine separate Richtlinie zum Umgang mit geheimen Authentifizierungsinformationen.

Alle Hardware-Maschinen haben Notfall-Root-Logins, die nur von Flying Circus-Administratoren verwendet werden dürfen, wenn die reguläre Benutzerauthentifizierung nicht korrekt funktioniert. Solche Verwendungen werden überwacht müssen dokumentiert werden.

Alle privilegierten Aktionen müssen sicher protokolliert werden. Für Maschinen, die auf unserer aktuellen (NixOS) Plattform basieren, wird dies über ein lokales Logging-Journal erreicht, das von normalen Benutzern nicht manipuliert werden kann. Zusätzlich werden die Systemlogs an einen zentralen Logserver innerhalb des gleichen Standorts versendet, wo die Logs analysiert und überwacht werden.

SSH-Logins müssen mit SSH-Schlüsseln durchgeführt werden. Passwortauthentifizierung ist nicht erlaubt und wird durch die Systemkonfiguration verhindert. Erfolgreiche SSH-Anmeldungen an Maschinen werden protokolliert, erfolglose SSH-Anmeldeversuche nicht [2]. Übermäßige fehlschlagende Login-Versuche per SSH werden automatisch per Firewall unterbunden.

Zugriffskontrolle

Maßnahmen zur Zugriffskontrolle schützen vor dem Zugriff durch unautorisiertes Personal.

Auf kundeneigene virtuelle Maschinen können alle Flying Circus Administratoren implizit zugreifen. In Projekten können weitere Mitarbeiter (z.B. Support-Mitarbeiter) expliziten Zugriff erhalten. Der Zugriff durch andere (z.B. Kundenpersonal, Dritte) muss durch einen Kundenvertreter autorisiert werden.

Benutzer werden zentral über https://my.flyingcircus.io verwaltet. Benutzer werden automatisch auf alle relevanten Systeme provisioniert, einschließlich der ordnungsgemäßen Entfernung von Zugriffsrechten.

Flying Circus implementiert ein auf Berechtigungen basierendes Konzept, um Aufgaben der Anwendungswartung von privilegierten administrativen Aufgaben zu trennen: zum Beispiel Kundensoftware-Updates oder Datenbankzugriff versus Betriebssystem-Updates oder Betriebssystemkonfiguration.

Privilegierter administrativer Zugriff wird generell nicht an Kunden gewährt. In Fällen, in denen eine andere Person, die kein Administrator ist, benötigt wird, um ein Problem zu lösen, muss eine gemeinsame Sitzung zwischen einem Administrator und der anderen Person eingerichtet werden (z.B. mit screen).

Technisch gesehen gibt es drei Zugangsvarianten, um privilegierte administrative Operationen durchzuführen:

1. Verwendung eines Benutzerkontos, dem die ‚login‘ und ‚wheel‘ Berechtigungen für ein bestimmtes Projekt erteilt wurden. Dies erfordert, dass der Benutzer sich mit seinem SSH-Schlüssel in einen regulären Account einloggt und zusätzlich sein Passwort angibt, um auf privilegierte Operationen zuzugreifen.

2. Die Verwendung eines Benutzerkontos, das Mitglied der globalen Gruppe der Administratoren ist (siehe List of administrators), die Zugriff auf alle Maschinen innerhalb der Flying Circus Infrastruktur gewährt.

3. Notfall-Root-Logins (siehe oben in Zugangskontrolle).

Autorisierte und unautorisierte Zugriffe auf privilegierte Operationen werden auf einem zentralen Loghost innerhalb desselben Standorts protokolliert und analysiert. [3]

Flying Circus unterhält eine Reihe von Berechtigungen, die es den Nutzern ermöglichen, Anwendungswartung und andere semi-privilegierte Aufgaben durchzuführen, z.B. Zugriff auf Service-Benutzerkonten oder Datenbank-Administrationsrechte. Die Berechtigungen werden den einzelnen Nutzern durch den Kunden oder auf Kundenwunsch gewährt.

Alle Berechtigungsvergaben sind nachvollziehbar und explizit dokumentiert: ihre Auswirkungen werden im Konfigurationscode und ihre Zuordnungen in der Konfigurationsdatenbank dokumentiert. Eine umfassende Liste der Benutzer und ihrer Berechtigungen kann auf Wunsch automatisch erstellt werden.

Gruppenkonten dürfen generell keine privilegierten administrativen Operationen durchführen, um die Nachvollziehbarkeit von Aktionen zu gewährleisten.

Passwörter für physische Maschinen, die Zugriff auf Root-Konten und IPMI-Controller gewähren, werden als Kopien in einem stark verschlüsselten Passwortmanager gespeichert.

Trennung

Maßnahmen zur Trennung stellen sicher, dass Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden müssen.

Um die Daten verschiedener Kunden zu trennen, nutzt der Flying Circus Virtualisierung: Sowohl virtuelle Maschinen (zur Trennung des Ausführungskontextes) als auch SAN (zur Trennung des Festplattenspeichers) sorgen dafür, dass Kunden nur auf die ihnen gehörenden Daten zugreifen können. Innerhalb einer einzelnen Maschine ist der Zugriff auf verschiedene Dateien und Prozesse über Standard-UNIX-Berechtigungen möglich.

Maschinen (sowohl virtuelle als auch physische) leben in einem bestimmten Access Ring (kurz: Ring):

• Ring 0 Maschinen führen Infrastrukturaufgaben aus. So müssen sie Daten verarbeiten, die zu mehreren Kunden gehören. Auf solchen Maschinen ist nur Administratoren der Zugriff erlaubt. Beispiele sind VM-Hosts und Storage-Server.

• Ring 1 Maschinen verarbeiten Daten für einen bestimmten Kunden und sind für Benutzer zugänglich, die mit diesem Kunden verbunden sind. Beispiele sind Kunden-VMs.

Alle Ressourcen, die logisch zusammengehören (z.B. VMs, Storage Volumes), werden in Ressourcen-Gruppen gebündelt. Projekte teilen sich dasselbe Set an Benutzerkonten und Berechtigungen.

Pseudonymisierung

Maßnahmen, die sicherstellen, dass personenbezogene Daten nicht mehr einer bestimmten Person zugeordnet werden können, ohne zusätzliche Informationen zu verwenden.

• Wir löschen Daten nach den steuer- oder handelsrechtlichen Aufbewahrungsfristen.

• Die Zugriffslogdateien werden anonymisiert.

• Wir löschen Kundendaten auf Wunsch des Kunden.

Integrität und Authentizität

Übertragungskontrolle

Maßnahmen zur Übertragungskontrolle stellen sicher, dass Daten, die gespeichert oder übertragen werden, gegen unbefugtes Lesen, Kopieren, Modifizieren oder Löschen geschützt sind. Außerdem wird gefordert, dass die Punkte für eine absichtliche Übertragung dokumentiert werden.

Alle privaten Daten, die über die Grenze einer Maschine hinaus übertragen werden, müssen einen authentifizierten und verschlüsselten Kommunikationskanal nutzen (Ausnahmen siehe unten). Zu den Datenpfaden, auf denen sensible Informationen übertragen werden können, gehören:

• Anwendungsdaten (z.B. Datenbankinhalte) werden vom oder zum Kunden über die standardisierten verschlüsselten Protokolle, z.B. SCP/SFTP, https, übertragen.

• Persistente Daten werden auf Storage-Servern gespeichert. Der Speicherverkehr wird aus Performance-Gründen nicht verschlüsselt. Storage-Server sind mit Anwendungsservern über ein privates Netzwerk verbunden. Maschinen, auf denen Kunden administrative Privilegien gewährt werden, dürfen sich nicht direkt mit dem Speichernetzwerk verbinden (siehe auch Network security).

• Backups werden entweder über einen verschlüsselten Kommunikationskanal oder über das private Speichernetzwerk auf Backup-Server am selben Standort übertragen. Backup-Daten können auch auf externe Backup-Server übertragen werden, um die Desaster-Recovery-Fähigkeiten zu verbessern. Die Datenübertragung muss verschlüsselt erfolgen.

• Zusätzlich zu den Anwendungsdaten kann ein System zur Laufzeit Daten erzeugen, die sensible Informationen enthalten, zum Beispiel Log-Dateien. Log-Dateien verlassen in der Regel nicht den Rechner, auf dem sie erzeugt wurden, es sei denn, der Kunde betreibt einen Logging-Server. Log-Daten können auch über einen verschlüsselten Kanal an einen von Flying Circus betriebenen Log-Server am selben Standort übertragen werden. Nur Flying Circus-Administratoren dürfen Zugriff auf den zentralen Log-Server haben.

Eingabekontrolle

Maßnahmen zur Eingabekontrolle stellen sicher, dass Eingaben, Änderungen und Löschungen von Daten dokumentiert werden, die zumindest zeigen, wer wann an welchen Daten gearbeitet hat.

Die Sicherheit der Dateneingabe, -änderung und -löschung ist generell Teil der Anwendung des Kunden. Kunden müssen sicherstellen, dass die Dateneingabe, -löschung und -entfernung entsprechend ihrer geltenden Datenschutzgesetze angemessen gehandhabt wird.

Im Rahmen von Wartungsarbeiten kann es jedoch notwendig sein, dass Administratoren auf einem niedrigen technischen Niveau Datensätze eingeben, ändern oder löschen müssen, um den weiteren Betrieb des Gesamtsystems zu gewährleisten. Dies wird nur geschehen, nachdem wir die betroffenen Kunden informiert und dies in unserem Issue-Tracking-System dokumentiert haben.

Verwaltete Log-Dateien werden von der Flying Circus Infrastruktur automatisch mit sinnvollen Aufbewahrungszeiten rotiert.

Änderungen im Flying Circus Benutzerverzeichnis (z.B. SSH-Schlüssel) können vom Kunden selbst oder durch unseren Support durchgeführt werden. Erfolgt die Änderung durch unseren Support, so muss diese vorher dokumentiert und nach der Änderung durch den Kunden bestätigt werden.

Auftragskontrolle

Maßnahmen zur Auftragskontrolle stellen sicher, dass Daten nur gemäß den Aufträgen des Auftraggebers verarbeitet werden.

Der Flying Circus stellt sicher, dass alle von Systemadministratoren durchgeführten Aktionen durch einen Vertrag oder Auftrag mit den von der Aktion betroffenen Kunden abgedeckt sind. Dies kann aufgrund von breit angelegten Wartungsverträgen oder aufgrund von spezifischen Supportanfragen sein.

Einzelne Änderungsanfragen sollten ein zugehöriges Ticket im Flying Circus Request-Tracking-System haben. Andere Mittel der Dokumentation zur Kontrolle von Änderungen sind möglich, z.B. erklärende Commit-Nachrichten in einem Versionskontrollsystem.

Spezifische durchgeführte Aktionen werden dem Kunden bei Bedarf mitgeteilt.

Verfügbarkeit

Maßnahmen zur Verfügbarkeit stellen sicher, dass Daten nicht versehentlich zerstört werden oder verloren gehen.

Die Verfügbarkeit von Ressourcen, in Abhängigkeit von den Rechenzentrumseinrichtungen, wird an den Betreiber des Rechenzentrums delegiert. Bereitgestellte Service Level Agreements ermöglichen dem Flying Circus, die Erwartungen an die Verfügbarkeit explizit zu machen.

Die Auswahl der Hardware wird vom Flying Circus mit professionellem Equipment und Anbietern durchgeführt. Der Flying Circus ermöglicht Standardverfahren zur Erhöhung der Verfügbarkeit einzelner Komponenten (z.B. RAID-Speicher, redundante Netzteile, Ersatzkomponenten).

Die Kundendaten werden regelmäßig nach dem Flying Circus Backup-Plan gesichert. Die Wiederherstellung vergangener Zustände kann von Administratoren auf Anfrage durchgeführt werden. Zusätzlich gibt es einen Desaster Recovery Plan, der Ausfallszenarien, unsere Präventiv- und Wiederherstellungsmaßnahmen detailliert beschreibt.

Andere Maßnahmen

• Unser Supportprozess und die Maßnahmen zur Reaktion auf Vorfälle sind unter Support-Details dokumentiert.

• Wir haben einen Prozess für Notfall- und Krisenmanagement einschließlich Notfallplänen für kritische Geschäftsprozesse (Business Continuity). Siehe auch Disaster recovery.

Fußzeile

[1]

Wenn ein Kunde Equipment besitzt, das innerhalb des Flying Circus verwaltet wird, verlangen wir, dass dieser Kunde ein separates Rack mit separater Zugangskontrolle nutzt.

[2]

Wir halten es für akzeptabel, erfolglose Logins nicht zu protokollieren, da SSH-Logins nur mit kryptographischer Private/Public-Key-Authentifizierung gültig sind. Passwort-Logins werden immer abgelehnt. Mögliche Angriffsvektoren beschränken sich somit auf gestohlene oder geknackte private Schlüssel oder Schwachstellen in der SSH-Server-Software. Geknackte Schlüssel sind mit der aktuellen Technologie praktisch unmöglich. Bekannte geknackte Schlüsselformate werden regelmäßig widerrufen/zurückgewiesen. Gestohlene Schlüssel oder Fehler in der Serversoftware lassen sich auch nicht über erfolglose Login-Datensätze nachvollziehen. Im Gegenteil: Die Menge an Passwort-Login-Versuchen, die heutzutage durchgeführt werden (aufgrund von Bot-Netzen etc.), würde zu einem Spamming der Logging-Infrastruktur führen, was wiederum ein Vektor für DOS-Angriffe sein kann.

[3]

Einzelne Aktionen, die mit administrativen Rechten durchgeführt werden, werden nur teilweise protokolliert.