Skip zum Inhalt
Sicherheitskonzept - kyberio gmbh

Sicherheitskonzept
der kyberio GmbH

Sicherheit auf allen Ebenen:
physisch, digital und organisatorisch

Datensicherheit - kyberio

Gelebtes ISMS:

ISO 27001

Die Basis unserer ISO 27001-Zertifizierung nach IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik bildet eine Vielzahl klarer und gelebter Vorgaben und Prozesse.

Perfekte Ergänzung:

PCI-Zertifizierung

Der PCI-Standard entspricht einem Regelwerk, das die Sicherheitsanforderungen an den Zahlungsverkehr mit Kreditkarten abbildet.

Gut aufgestellt:

5-Zonen-Sicherheitskonzept

Im Rahmen unserer ISMS adressieren wir eine Vielzahl von Themen, um einen dauerhaft sicheren Betrieb zu gewährleisten.

Notfallpläne:

Business and Service Continuity

Im Rahmen des ISMS wurden umfangreiche Notfallpläne, Strategien und Eskalationspfade definiert.

Gelebtes ISMS

Zertifizierte Sicherheit:
Unser gelebtes ISMS

Die Basis unserer ISO 27001-Zertifizierung nach IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik bildet eine Vielzahl klarer und gelebter Vorgaben und Prozesse.

Die Zertifizierung nach BSI ISO 27001 betrachtet den Verbund des Rechenzentrums in Hannover und dessen Management. Hier sind alle Systeme und Prozesse enthalten, die zum Betrieb der Rechenzentrums-Infrastruktur, der Kundenverwaltung sowie der Leistungserbringung für die Colocation notwendig sind.

Die Anwendung von ISO 27001 auf der Basis des IT-Grundschutzes vom Bundesamt für Sicherheit in der Informationstechnik (BSI) umfasst die Maßnahmenziele und Maßnahmen aus Annex A von ISO 27001 und die damit verbundenen Ratschläge zur Umsetzung und Anleitung für allgemein anerkannte Verfahren aus ISO/IEC 27002.

Als Voraussetzung für die Zertifizierung hat kyberio verbunden mit dem Rechenzentrum und den damit einhergehenden Organistationsabläufen ein mehrstufiges Prüfverfahren durchlaufen. Dieser wird in einem regelmäßigen Zyklus wiederholt.

Im Wesentlichen umfasst die Prüfung die Bereiche:

  • Die geschäftlichen Anforderungen des Unternehmens
  • Technische Infrastruktur
  • Die Verantwortung des Managements
  • Organisatorische Abläufe
  • Risikomanagement
  • Datenschutz

Mit kyberio setzen unsere Kunden auch bezüglich der IT-Sicherheitsgesetzgebung auf ihre eigene Sicherheit. Die Anforderungen bezüglich Datenschutz und die damit verbundenen Haftungsrisiken haben sich seit Mai 2018 durch die Datenschutzgrundverordnung der EU weiter verschärft. Diese sieht bei Verstößen gegen Datenschutzrecht noch drastischere Strafen vor als das vorherige Bundesdatenschutzgesetz.

Tatsächlich ist es so, dass die Zertifizierung nicht nur eine rechtliche Absicherung darstellt, sondern verbunden mit einer Verbesserung der Sicherheit auch viele unternehmerische Vorteile bietet. Zusammengefasst sind das:

  • Verbesserte Sicherheit der IT-Infrastruktur
  • Verschärftes Sicherheitsbewusstsein vom Management bis zur Belegschaft
  • Rechtliche Absicherung und Senkung des Haftungsrisikos
  • Verbesserung der Wettbewerbsfähigkeit
  • Kosteneinsparung durch Outsourcing sicherheitsrelevanter Dienstleistungen, die im Unternehmen nur mit hohem Aufwand abgebildet werden können
  • Schaffung von Vertrauen bei Kunden und der Öffentlichkeit
  • Möglichkeit der eigenen Zertifizierung von Applikationen auf Basis der vorhandenen Zertifizierung von kyberio

 

Perfekte Ergänzung

PCI-DSS v3.2 –
Die perfekte Ergänzung

PCI-DSS Standard steht für „Payment Card Industry Data Security Standard”. Der PCI Standard entspricht einem Regelwerk, das die Sicherheitsanforderungen an den Zahlungsverkehr mit Kreditkarten abbildet. Dieser Standard ist für alle Firmen, Einrichtungen und Organisationen bindend, die Kreditkarteninhaber-Daten verarbeiten.

Unternehmen und Organisationen, die Kreditkarteninhaber-Daten (CHD – „Cardholder Data“) elektronisch auf einer Kreditkarteninhaber-Umgebung (CDE –„Cardholder Environment“) verarbeiten, müssen diese Umgebung entsprechend der PCI-Richtlinien vor Datenmissbrauch und unberechtigtem Zugriff absichern und deren fortlaufenden Betrieb schützen. Des Weiteren sieht der Standard eine eindeutige Verantwortlichkeitszuordnung für die unterschiedlichen Bereiche und Aufgaben innerhalb der CDE vor. Sämtliche Zugriffe und Arbeitsschritte müssen nachverfolgt werden können. Ein wichtiger Teil beim Betrieb einer solchen Umgebung sind die physikalische Sicherheit und die damit verbundenen Prozesse, um diese im Rechenzentrumsbetrieb zu gewährleisten.

Diese Anforderungen decken 12 Bereiche ab:

  • Firewall-Konzept
  • Sicherheitseinstellungen für Passwörter
  • Schutz der Daten von Kreditkarteninhabern
  • Verschlüsselung von Daten
  • Virenschutz
  • Pflege der Systeme und Anwendungen
  • Einschränkungen von Zugriffen
  • Benutzerbezogene Zugangskontrolle
  • Beschränkung und Sicherheit vom physikalischen Zugang zum Server
  • Protokollierung der Zugriffe auf Daten
  • Regelmäßige Überprüfung der Systeme
  • Einhaltung von Richtlinien der Informationssicherheit

Die Nachvollziehbarkeit von Zutritt und Zugang zur Umgebung wird durch professionelle Zutrittskontrollen und Abläufe, durch eine nahtlose Videoüberwachung rund um die Uhr und durch die Protokollierung und eindeutige Zuordnung der sich im Rechenzentrum befindenden Personen und dem Datenabgleich und dessen Plausibilitätsprüfung sichergestellt.

Als Colocation-Kunde in unserem Rechenzentrum profitieren Sie von einer bereits von einem qualifizierten Auditor („QSA“) nach PCI-zertifizierten Dienstleistung, die bis zum eigenen Rack reicht. Somit können Sie sich auf die Compliance Ihrer im Rack betriebenen Infrastruktur konzentrieren und die physikalische Sicherheit Ihres Racks (wesentliche Bestandteile der Anforderungen 9 und 12 des PCI-Anforderungskataloges sowie Anforderung 11.1 bzgl. drahtlose Zugangspunkte) durch unsere Zertifizierung attestieren. Diese Punkte fallen für Ihr eigenes Audit weg, da Sie Ihre Zertifizierung auf der zertifizierten PCI Compliance des Rechenzentrumbetreibers aufbauen.

E-Commerce-Anbieter, Content Provider, Einrichtungen und Organisationen unterschiedlicher Art, die im Netz per Kreditkarte Leistungen oder Produkte anbieten oder Spenden annehmen, haben somit die Möglichkeit dies in einer PCI-zertifizierten Rechenzentrumsumgebung in einem eigenen, individuell verschließbaren 19“ Rack (mit 21 oder 42 Höheneinheiten) umzusetzen. Gern stellen wir Ihnen zu diesem Zweck unsere Attestation of Compliance („AOC“) zur Verfügung.

 

in der Übersicht

Unser Konzept

Mehr als sicher

5-Zonen-Sicherheit
Menschen, Technik, Prozesse

Im Rahmen unserer ISMS adressieren wir eine Vielzahl von Themen, um den dauerhaft sicheren Betrieb unserer Rechenzentren und der Kundensysteme zu gewährleisten.

Durch unser durchgehend besetztes Operation Center vor Ort können wir schnell auf jegliches Ereignis reagieren und den reibungslosen Betrieb der Rechenzentren sicher stellen.

Der Gewerbepark, auf dem sich das Rechenzentrum befindet, wird durch Gittertore geschützt. Das Rechenzentrum selbst verfügt über einen zusätzlichen Perimeterschutz. Das Gittertor zum Kundenparkplatz und zum Gebäude werden durch das Operation Center gesteuert und überwacht und bleibt für Unbefugte rund um die Uhr verschlossen.

Der Außenbereich, alle Gebäudezugänge sowie die Rechenzentrumsfläche werden rund um die Uhr von Kameras mit Bewegungsserkennung überwacht. Die Live-Videosequenzen werden dabei ins Operation Center übertragen, dort kontrolliert und zusätzlich zur späteren Prüfung gespeichert.

Der Zutritt erfolgt ausschließlich nach vorheriger Anmeldung und in Begleitung von autorisierten Mitarbeitern und entsprechend des Sicherheitskonzeptes mit Zwei-Faktor-Authentifizierung (2FA). Die Authentifizierung erfolgt mit einem personalisierten RFID-Transponder des Mitarbeitenden („Besitz“) in Kombination mit erfolgreicher Eingabe der persönlichen PIN („Wissen“).

Die Gebäude-Leittechnik ist vollständig in unsere zentrale Überwachungslösung und Alarmierungsprozesse integriert. Die Einhaltung definierter Betriebsparameter und / oder Störungsmeldungen werden hierbei sowohl dem Personal vor Ort, als auch unseren über redundante Kommunikationskanäle angebundenen Sicherheitsdienstleistern umgehend signalisiert. Je nach Art der Meldung, informiert der Sicherheitsdienstleister bei Bedarf selbstständig die Polizei, Feuerwehr und Haustechnik oder hält zunächst Rücksprache mit dem Personal vor Ort.

Zur frühzeitigen Identifikation und Vermeidung von Bränden kommen hochsensible Rauchmelder zur Brandfrühsterkennung (VESDA) zum Einsatz. Sollten ergänzend weitere Brandmelder (2-Linien-Abhängigkeit) einen potenziellen Brand detektieren, wird nach einer Vorwarnung zum Schutz etwaiger Personen auf der Technikfläche eine automatische Stickstoff-Löschung (N²-Löschung) ausgelöst. Parallel werden die Feuerwehr, das Operation Center und die Haustechnik informiert und ein Notfallplan aktiviert.

Eine batteriegestützte unterbrechungsfreie Stromversorgung (USV) verbunden mit einer Diesel-Netz-Ersatzanlage (NEA), sichern den Betrieb bei Ausfall des öffentlichen Energienetzes. Diese sind so dimensioniert, dass alle Komponenten inklusive Klimatisierung ohne Einschränkungen weiter betrieben werden können.

Der Schutz von Netzwerken und IT-Systemen vor Cyberangriffen ist für uns essenziell und wird permanent von uns an aktuelle Bedrohungslagen angepasst. Sowohl für Kunden, als auch für unsere eigenen Systeme haben wir ein mehrschichtiges Sicherheitskonzept, unter anderem basierend auf DDos-Protection, Threat-Detection (IDS / IPS), Next Generation Firewalls, Malware-Protection und manipulationssicheren Backups, entwickelt.

BETRIEBSSICHERHEIT ODER „WAS PASSIERT, WENN DOCH EINMAL ...“

Business and
Service Continuity

Im Rahmen des ISMS wurden umfangreiche Notfallpläne, Strategien und Eskalationspfade definiert, um selbst in Krisenszenarien (z. B. im Brandfall, bei Stromausfällen oder Cyberangriffen) einen möglichst unterbrechungsfreien Betrieb essenzieller Systeme bzw. deren möglichst schnelle Wiederherstellung zu gewährleisten.

Neben der regelmäßigen Überprüfung der hierfür notwendigen Dokumentationen, Prozesse und Systeme führen wir wiederkehrend Notfallübungen und Schulungen mit allen Mitarbeitern und externen Dienstleistern (z. B. Wartungsfirmen) durch. Für den Betrieb notwendige kritische Systeme (wie etwa unser Monitoring) sind redundant ausgelegt und auf unsere zwei unabhängigen Rechenzentren verteilt.

Sämtliche Systeme werden kontinuierlich gewartet und regelmäßigen Funktionstests (inklusive Lastübernahme der NEA) unterzogen. Durch vertraglich vereinbarte Bereitschaftsdienste mit unseren Wartungsfirmen stellen wir zudem die schnelle Reaktion im Störungsfall sicher.

Überwachung und Schutz von Systemen

Security Operations Center

Das Security Operations Center (SOC) steht im Mittelpunkt der Cyber-Sicherheitsstrategie Ihres Unternehmens. Es überwacht kontinuierlich Ihre Informationssysteme, um Sicherheitsvorfälle frühzeitig zu erkennen und darauf zu reagieren. Durch maßgeschneiderte Sicherheitskonzepte und modernste Technologien gewährleistet unser SOC einen umfassenden Schutz gegen Cyberbedrohungen. Nutzen Sie unsere erweiterten Services, wie die proaktive Bedrohungsanalyse und die schnelle Behebung von Sicherheitslücken, um die Resilienz Ihres Unternehmens zu stärken.

Ihr Sicherheits-Vorteil:

  • Fachkundiges Sicherheitspersonal, das rund um die Uhr im Einsatz ist
  • Unmittelbare Reaktionsfähigkeit bei Sicherheitsvorfällen
  • Partnerschaften mit führenden Anbietern von Sicherheitstechnologien
  • Direkte Unterstützung bei der Abwehr und Analyse von Cyberangriffen
  • Schnelle Eindämmung und Behebung von Sicherheitsvorfällen
  • Tiefgehende Bedrohungsanalysen und kontinuierliches Monitoring
  • Managed Security Services und individuell angepasste Service Level Agreements (SLAs)
  • Integration von Cyber-Sicherheit in alle Aspekte des IT-Betriebs
  • Kompetente Begleitung und Umsetzung von Sicherheitsprojekten aus einer Hand

Unser SOC dient als Ihre vorgeschobene Verteidigungslinie gegen Cyberbedrohungen und sorgt für die Sicherheit Ihrer Daten und Systeme. Durch die Kombination aus fortschrittlicher Technologie, bewährten Methoden und erfahrenem Personal bieten wir einen Sicherheits-Service, der speziell auf die Bedürfnisse und Herausforderungen Ihres Unternehmens zugeschnitten ist.

Florian Dierks
Managing Director

Gemeinsam finden wir die
passende Lösung

Wir nehmen uns Zeit, um Ihre Anforderungen zu verstehen und passende Lösungen zu entwickeln. Dabei erklären wir auch komplexe technische Sachverhalte verständlich und präzise.

Sprechen Sie mich gerne direkt an und wir finden eine Lösung.